針對顯式HTTPS請求修復SWA上的EUN頁面顯示錯誤

簡介

本檔案將說明EUN頁面在思科SWA上錯誤顯示明確HTTPS請求的問題。

必要條件

需求

本檔案中的資訊假定：

• 安全網路裝置(SWA)以顯式模式部署。
• SWA在7.7.0及更低版本上運行。
• HTTPS請求被阻止、警告或需要使用者確認。
• 已啟用HTTPS解密。

採用元件

本文件所述內容不限於特定軟體和硬體版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

問題

對於顯式HTTPS請求，Warning、Acknowledgement或End User Notification(EUN)頁面顯示不正確。瀏覽器顯示不完整的通知頁面，或者它完全不顯示該頁面，而是顯示錯誤頁面。

使用顯式HTTPS請求時，這些頁面周圍存在多個問題。將瀏覽器配置為使用代理時，HTTPS流量會通過HTTP定向到SWA。此請求的格式為HTTP上的HTTPS。

瀏覽器存在兩個已知問題，它們無法正確處理SWA為顯式HTTPS請求返回的HTTP應答：

1. 當顯式HTTPS請求被阻止、警告或需要使用者確認時，SWA會返回HTTP/403狀態代碼。
2. 在此回覆中，SWA包括通知內容，這些內容通常必須在螢幕上呈現，以便可以檢視。但是，在某些情況下，瀏覽器無法理解返回內容中的回覆。
   
   

觀察到的瀏覽器行為如下：

• 當使用Internet Explorer第6版(IE6)和某些版本的IE7時，這些請求無法呈現HTML回覆的完整內容。瀏覽器僅接受前幾個位元組（第一個資料包中的內容）並忽略其餘位元組。在這種情況下，您會看到只顯示幾個字元的不完整頁面。
  

  附註：如果是這種情況，思科建議您從SWA回覆中縮小預設通知頁面。有關如何編輯EUN頁面的詳細資訊，請參閱《SWA使用手冊》的直接編輯通知頁面HTML檔案部分。

• 當使用IE8和更新版本的Mozilla Firefox Release 3時，瀏覽器會完全忽略SWA返回的回覆，並使用其自己的錯誤頁面遮蔽該回覆。此瀏覽器行為會破壞403通知的用途，並導致該功能中斷。

解決方案

本節介紹在SWA上啟用HTTPS解密時發生的過程。SWA版本7.7.0-500及更高版本(思科錯誤ID CSCzv25138)已解決此問題。作為解決先前所述問題的方法，請使用所提供的資訊確保您的系統已相應地配置。

以下是傳送顯式HTTPS要求時的流量範例：

• 啟用HTTPS解密時，SWA首先根據解密策略驗證請求。
  
  
• 如果請求標籤為PASSTHROUGH，則允許流量通過（無警告或EUN）。
  
  
• 如果請求標籤為DECRYPTED，則根據訪問策略驗證該請求。在這種情況下，如果存取原則設定為WARN或BLOCK，則EUN頁面會正確顯示。很遺憾，對於「確認」，使用者必須導航到HTTP頁面和「確認」，這要求先通過Proxy導航，然後導航到HTTPS站點。
  
  
• SWA會記住客戶端IP地址，並且在計時器到期之前不需要其他確認。

相關資訊

• 思科安全網路裝置AsyncOS 14.5使用手冊 — GD（常規部署） — 思科