针对显式HTTPS请求修复SWA上的EUN页面显示错误

简介

本文档介绍在Cisco SWA上为显式HTTPS请求错误显示EUN页面的问题。

先决条件

要求

本文档中的信息假设：

• 安全网络设备(SWA)以显式模式部署。
• SWA在7.7.0及更低版本上运行。
• HTTPS请求会被阻止、警告或需要用户确认。
• 已启用HTTPS解密。

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

问题

对于显式HTTPS请求，Warning、Acknowledgement或End User Notification(EUN)页面无法正确显示。浏览器显示不完整的通知页面，或者根本不会显示该页面，而是显示错误页面。

当您使用显式HTTPS请求时，这些页面周围存在几个问题。将浏览器配置为使用代理时，HTTPS流量会通过HTTP定向到SWA。此请求的格式为HTTPS over HTTP。

浏览器存在两个已知问题，它们无法正确处理SWA为显式HTTPS请求返回的HTTP应答：

1. 当显式HTTPS请求被阻止、警告或需要用户确认时，SWA会返回HTTP/403状态代码。
2. 在此回复中，SWA包括通常必须在屏幕上显示的通知内容，以便可以查看。但是，在某些情况下，浏览器无法理解返回内容中的回复。
   
   

以下是观察到的浏览器行为：

• 当使用Internet Explorer版本6(IE6)和某些版本的IE7时，这些请求无法显示HTML回复的完整内容。浏览器仅接受前几个字节（第一个数据包中的内容）并忽略其余字节。在这种情况下，您会看到只显示几个字符的不完整页面。
  

  注意：如果是这种情况，思科建议您从SWA回复中缩小默认通知页面。有关如何编辑EUN页面的详细信息，请参阅《SWA用户指南》的直接编辑通知页面HTML文件部分。

• 当使用IE8和Mozilla Firefox版本3的更新版本时，浏览器会完全忽略SWA返回的回复，并使用其自己的错误页面对其进行掩蔽。此浏览器行为会破坏403通知的用途，并导致功能中断。

解决方案

本节介绍在SWA上启用HTTPS解密时发生的过程。SWA版本7.7.0-500及更高版本(Cisco Bug ID CSCzv25138)已解决此问题。要解决上述问题，请使用提供的信息以确保相应地配置系统。

以下是发送显式HTTPS请求时的流量传输示例：

• 启用HTTPS解密时，SWA首先根据解密策略验证请求。
  
  
• 如果请求标记为PASSTHROUGH，则允许流量通过（无警告或EUN）。
  
  
• 如果请求标记为DECRYPTED，则根据访问策略验证请求。在这种情况下，如果访问策略配置为WARN或BLOCK，则EUN页面会正确显示。遗憾的是，对于Acknowledgement，用户必须导航到HTTP页面和Acknowledge，这需要通过代理导航然后导航到HTTPS站点。
  
  
• SWA会记住客户端IP地址，并且在计时器到期之前不需要其他确认。

相关信息

• 思科安全网络设备AsyncOS 14.5用户指南 — GD（通用部署） — 思科