通过SWG访问Google时排除reCAPTCHA验证故障

简介

本文档介绍在通过Umbrella安全Web网关(SWG)访问Google.com时如何排除Google reCAPTCHA验证问题。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于Cisco Umbrella SWG。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

问题

当您尝试通过Umbrella Secure Web Gateway(SWG)访问Google.com时，您会收到一条错误消息，指示“来自您计算机网络的异常流量”，并需要通过选中“我不是机器人”复选框来执行Google的reCAPTCHA过程，以验证用户是人类而不是程序（“僵尸程序”）。

解决方案

Google使用专有机制来检测和阻止自动流量。此类流量也违反了Cisco Umbrella的使用条款。思科与Google和其他服务合作，监控、阻止和/或隔离违规用户。

有时，Google会将Umbrella的SWG用于出口流量的IP地址或IP地址范围标记为可疑，并显示reCAPTCHA。

大多数Cisco Umbrella客户使用的出口IP范围与其他客户的出口IP范围重叠，称为“共享NAT”。 有关Umbrella SIG出口IP范围的详细信息，请参阅此处提到的文章。如果一个客户的操作触发reCAPTCHA，则使用该出口IP地址的其他客户也可能需要执行reCAPTCHA过程。

请尝试以下解决方法以解决此问题：

第 1 项

为Google.com启用HTTPS检查，以便Umbrella可以插入转发的(XFF)报头。此报头可减少ReCAPTCHA的发生，还可改善地理定位。

第 2 项

升级您的Umbrella服务以使用“保留IP”，而不是共享NAT。保留IP专用于您的流量，因此reCAPTCHA不能由其他客户的行为触发。

选项 3

排除Google流量通过Umbrella SWG。对于安全客户端、Anyconnect或PAC文件部署，请使用外部域处理例外项。对于IPSec隧道，可以在提供IPSec隧道的设备上配置例外项，也可以在将流量路由到IPSec隧道的设备上配置例外项。

得 1 分

使用备用搜索引擎。