Cisco Cisco Web Security Appliance S670 ユーザーガイド
A-12
思科网络安全设备 AsyncOS 8.8 用户指南
附录 A 故障排除
策略问题
策略匹配失败
•
•
•
•
策略从未应用
如果多个标识配置文件具有相同的条件, AsyncOS 会将事务分配给匹配的第一个标识配置文件。
因此,事务从不与其他相同的标识配置文件匹配,从不匹配或应用适用于这些后续相同的标识配
置文件的任何策略。
因此,事务从不与其他相同的标识配置文件匹配,从不匹配或应用适用于这些后续相同的标识配
置文件的任何策略。
HTTPS 和 FTP over HTTP 请求仅匹配不需要身份验证的访问策略
在启用了凭证加密的情况下,将设备配置为使用 IP 地址作为代理。
当凭证加密已启用并配置为使用 Cookie 作为代理类型时,则身份验证不适用于 HTTPS 或 FTP
over HTTP 请求。这是因为 Web 代理将客户端重定向到 Web 代理本身以便启用凭证加密时使
用 HTTPS 连接进行身份验证。身份验证成功后, Web 代理将客户端重定向回源网站。为了继
续识别用户, Web 代理必须使用代理 (IP 地址或 Cookie)。但是,如果请求使用 HTTPS 或
FTP over HTTP,则使用 Cookie 跟踪用户会导致以下行为:
over HTTP 请求。这是因为 Web 代理将客户端重定向到 Web 代理本身以便启用凭证加密时使
用 HTTPS 连接进行身份验证。身份验证成功后, Web 代理将客户端重定向回源网站。为了继
续识别用户, Web 代理必须使用代理 (IP 地址或 Cookie)。但是,如果请求使用 HTTPS 或
FTP over HTTP,则使用 Cookie 跟踪用户会导致以下行为:
•
HTTPS。 Web 代理必须在分配解密策略之前解析用户身份 (并因此解密事务),但只有在
解密事务后才能获取识别用户的 Cookie。
解密事务后才能获取识别用户的 Cookie。
•
FTP over HTTP。使用 FTP over HTT 访问 FTP 服务器所面临的难题与访问 HTTPS 站点
类似。 Web 代理必须在分配访问策略之前解析用户身份,但其无法通过 FTP 事务设置
Cookie。
类似。 Web 代理必须在分配访问策略之前解析用户身份,但其无法通过 FTP 事务设置
Cookie。
因此, HTTPS 和 FTP over HTTP 请求将仅匹配不需要进行身份验证的访问策略。通常,它们
会与全局访问策略匹配,因为其从不需要进行身份验证。
会与全局访问策略匹配,因为其从不需要进行身份验证。
用户匹配 HTTPS 和 FTP over HTTP 请求的全局策略
设备使用基于 Cookie 的身份验证时, Web 代理不会从 HTTPS 和 FTP over HTTP 请求客户
端获取 Cookie 信息。因此,无法从 Cookie 获取用户名。
端获取 Cookie 信息。因此,无法从 Cookie 获取用户名。
HTTPS 和 FTP over HTTP 请求仍根据其他成员身份条件匹配标识配置文件,但是即使标识配
置文件需要身份验证, Web 代理也不会提示客户端进行身份验证。相反, Web 代理会将用户名
设置为 NULL 并将该用户视为未经过身份验证的用户。
置文件需要身份验证, Web 代理也不会提示客户端进行身份验证。相反, Web 代理会将用户名
设置为 NULL 并将该用户视为未经过身份验证的用户。
然后,当根据策略对未经身份验证的请求进行评估时,它仅与指定 “所有身份”并应用于 “所
有用户”的策略匹配。通常,这是全局策略,例如全局访问策略。
有用户”的策略匹配。通常,这是全局策略,例如全局访问策略。