禁用QUIC协议以确保与AnyConnect SWG兼容

简介

本文档介绍如何在浏览器中禁用QUIC协议，以确保AnyConnect安全Web网关正常运行。

概述

当浏览器使用QUIC协议时，使用AnyConnect安全移动客户端和安全网关的Umbrella用户可能会遇到Google服务（如Gmail或YouTube）问题。QUIC使用UDP而不是AnyConnect安全移动客户端不支持的TCP。禁用QUIC可以确保Web请求通过SWG代理正确路由。

QUIC相关问题的症状

当浏览器尝试使用QUIC时，用户可能会遇到：

• 无法加载使用QUIC的Google站点或其他站点
• SWG设置，例如应用控制和高级应用控制，不应用
• 使用QUIC的站点的策略实施问题

加载YouTube视频时出现的错误示例：

360074357372

检查Google Chrome中是否启用了QUIC

要确定Chrome是否使用QUIC:

1. 打开Chrome开发人员工具(“菜单”>“更多工具”>“开发人员工具”或按Ctrl+Shift+I)。
2. 在Network选项卡中，右键点击列标题，然后启用Protocol列。
3. 导航到Google拥有的网站，例如https://www.google.com。
4. 在Protocol列中http/2+quic/39查找条目。如果存在，则启用QUIC。

在Google Chrome中禁用QUIC

在Chrome中手动禁用QUIC:

1. 在地址栏中，输入： chrome://flags#enable-quic
2. 将Experimental QUIC协议标志设置为Disabled。
3. 重新启动Chrome以应用更改。

通过策略禁用QUIC

Windows客户端的Windows注册表位置：

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome

Google Chrome操作系统客户端的Windows注册表位置：

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\ChromeOS

Windows值名称(REG_DWORD):

QuicAllowed

Mac/Linux首选项名称（布尔值）：

QuicAllowed

如果此策略设置为true（或未设置），则允许使用QUIC。如果策略设置为false，则不允许使用QUIC。

用于禁用QUIC的值

Windows十进制REG_DWORD:

0

Windows十六进制REG_DWORD:

0x00000000

Linux:

false

MAC :

<false />

Chrome Windows客户端的Windows注册表示例：
22732115303572

在防火墙上阻止QUIC

如果防火墙支持第7层检测，则通过阻止UDP端口443或通过应用名称阻止QUIC来阻止QUIC。确保您的防火墙规则允许加密DNS的与Umbrella相关的IP地址，方法是参考防火墙中允许的安全Web网关IP列表和域。

在其他浏览器中管理QUIC

其他浏览器可以使用QUIC协议。控制选项包括：

• Firefox:
  在中设置network.http.http3.enabled“配置”选about:config项。有关详细信息，请参阅文章如何在Firefox中启用HTTP 3支持
  
  
• Microsoft Edge:
  QUIC可以通过组策略控制