禁用QUIC協定以確保與AnyConnect SWG相容

簡介

本文檔介紹如何在瀏覽器中禁用QUIC協定以確保AnyConnect安全Web網關正常運行。

概觀

使用AnyConnect安全移動客戶端和安全網路網關的Umbrella使用者在瀏覽器使用QUIC協定時，可能會遇到Google服務（如Gmail或YouTube）問題。QUIC使用UDP而不是AnyConnect安全移動客戶端不支援的TCP。禁用QUIC可確保通過SWG代理正確路由Web請求。

QUIC相關問題的症狀

當瀏覽器嘗試使用QUIC時，使用者可能會遇到：

• 使用QUIC的Google網站或其他網站無法載入
• SWG設定（如Application Control和Advanced Application Control）未應用
• 使用QUIC的站點的策略實施問題

載入YouTube影片時出錯：

360074357372

檢查Google Chrome中是否啟用了QUIC

要確定Chrome是否使用QUIC:

1. 開啟Chrome開發人員工具(「選單」>「更多工具」>「開發人員工具」或按Ctrl+Shift+I)。
2. 在Network頁籤中，按一下右鍵列標題，然後啟用Protocol列。
3. 導航到Google擁有的網站，例如https://www.google.com。
4. 在Protocol列中http/2+quic/39查詢條目。如果存在，則啟用QUIC。

在Google Chrome中禁用QUIC

在Chrome中手動禁用QUIC:

1. 在位址列中，輸入： chrome://flags#enable-quic
2. 將Experimental QUIC協定標誌設定為Disabled。
3. 重新啟動Chrome以應用更改。

通過策略禁用QUIC

Windows客戶端的Windows登錄檔位置：

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome

Google Chrome作業系統客戶端的Windows登錄檔位置：

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\ChromeOS

Windows值名稱(REG_DWORD):

QuicAllowed

Mac/Linux首選項名稱（布林值）：

QuicAllowed

如果此策略設定為true（或未設定），則允許使用QUIC。如果策略設定為false，則不允許使用QUIC。

用於禁用QUIC的值

Windows十進位REG_DWORD:

0

Windows十六進位制REG_DWORD:

0x00000000

Linux:

false

Mac:

<false />

Chrome Windows客戶端的Windows登錄檔示例：
22732115303572

在防火牆上阻止QUIC

如果防火牆支援第7層檢測，則通過阻止UDP埠443或通過應用名稱阻止QUIC來阻止QUIC。確保防火牆規則允許加密DNS的與Umbrella相關的IP地址，方法是引用防火牆中要允許的安全Web網關IP清單和域。

在其他瀏覽器中管理QUIC

其他瀏覽器可以使用QUIC協定。控制選項包括：

• Firefox:
  network.http.http3.enabled 在中設置配置選about:config。有關更多資訊，請參閱文章如何在Firefox中啟用HTTP 3支援
  
  
• Microsoft Edge:
  QUIC可以通過組策略控制