簡介
本檔案將說明EUN頁面在思科SWA上錯誤顯示明確HTTPS請求的問題。
必要條件
需求
本檔案中的資訊假定:
- 安全網路裝置(SWA)以顯式模式部署。
- SWA在7.7.0及更低版本上運行。
- HTTPS請求被阻止、警告或需要使用者確認。
- 已啟用HTTPS解密。
採用元件
本文件所述內容不限於特定軟體和硬體版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
問題
對於顯式HTTPS請求,Warning、Acknowledgement或End User Notification(EUN)頁面顯示不正確。瀏覽器顯示不完整的通知頁面,或者它完全不顯示該頁面,而是顯示錯誤頁面。
使用顯式HTTPS請求時,這些頁面周圍存在多個問題。將瀏覽器配置為使用代理時,HTTPS流量會通過HTTP定向到SWA。此請求的格式為HTTP上的HTTPS。
瀏覽器存在兩個已知問題,它們無法正確處理SWA為顯式HTTPS請求返回的HTTP應答:
- 當顯式HTTPS請求被阻止、警告或需要使用者確認時,SWA會返回HTTP/403狀態代碼。
- 在此回覆中,SWA包括通知內容,這些內容通常必須在螢幕上呈現,以便可以檢視。但是,在某些情況下,瀏覽器無法理解返回內容中的回覆。
觀察到的瀏覽器行為如下:
解決方案
本節介紹在SWA上啟用HTTPS解密時發生的過程。SWA版本7.7.0-500及更高版本(思科錯誤ID CSCzv25138)已解決此問題。作為解決先前所述問題的方法,請使用所提供的資訊確保您的系統已相應地配置。
以下是傳送顯式HTTPS要求時的流量範例:
- 啟用HTTPS解密時,SWA首先根據解密策略驗證請求。
- 如果請求標籤為PASSTHROUGH,則允許流量通過(無警告或EUN)。
- 如果請求標籤為DECRYPTED,則根據訪問策略驗證該請求。在這種情況下,如果存取原則設定為WARN或BLOCK,則EUN頁面會正確顯示。很遺憾,對於「確認」,使用者必須導航到HTTP頁面和「確認」,這要求先通過Proxy導航,然後導航到HTTPS站點。
- SWA會記住客戶端IP地址,並且在計時器到期之前不需要其他確認。
相關資訊