Umbrella到思科安全訪問遷移後阻止頁面不一致

問題

使用遷移工具從Umbrella遷移到思科安全訪問(SSE)後，被阻止的網路流量被不一致的重定向到舊版Umbrella阻止頁面，而不是思科安全訪問阻止頁面。當不同的域觸發阻止規則時，DNS防禦會出現問題，導致出現不同的啟動頁和阻止原因措辭。這將在整個組織中建立不一致的終端使用者阻止通知。

觀察到的具體症狀包括：

• 阻止規則將使用者重定向到舊的Umbrella阻止頁面，而不是新的思科安全訪問阻止頁面

• 不同的域觸發阻止規則顯示不同的啟動頁

• 向終端使用者提供的塊原因措辭不一致

• 遷移後，該行為會影響DNS防禦功能

環境

• 技術：思科安全存取(SSE)
• 遷移：使用遷移工具將Umbrella遷移到SSE
• 服務型別：DNS防禦
• 部署:遷移後環境
• Web掃描：已啟用Web掃描的FTD裝置

解析

FTD裝置上的Web掃描會干擾思科安全存取自訂登入頁面的正確呈現。若要解決此問題，請針對以下三個網域繞過FTD上的Web掃描：

• opendns.com

• cisco-secure.com

• sse.cisco.com

此解決方法允許自定義Cisco Secure Access登入頁面正確呈現，而不是顯示舊版Umbrella阻止頁面。

驗證步驟

要驗證解決方案的有效性，請執行以下操作：

步驟 1:對以前顯示不一致行為的域運行策略測試

步驟 2:實施應對措施後驗證阻止頁面行為

確認被阻止的流量現在始終顯示Cisco Secure Access blocking頁面，而不是顯示舊版Umbrella頁面。

步驟 3:驗證一致的塊原因措辭

確保所有阻止域現在顯示符合思科安全訪問標準的統一阻止原因消息傳送。

原因

此問題是由於FTD裝置上的網路掃描功能妨礙正確呈現Cisco Secure Access自訂登入頁面所導致。在FTD上啟用Web掃描時，會阻止正確顯示新的阻止頁面，從而導致系統回退到舊的Umbrella阻止頁面。這會產生不一致的使用者體驗，不同的域可能會觸發不同的阻止頁面格式。

工程團隊已發現這是一個設計級別的問題，需要從Talos的角度進行更改。當前架構要求為特定思科域繞過Web掃描，以確保適當的自定義登入頁功能。

相關內容

• 思科技術支援與下載