Cisco Cisco Web Security Appliance S370 Guia Do Utilizador
A-6
思科网络安全设备 AsyncOS 8.8 用户指南
附录 A 故障排除
HTTPS/解密/证书问题
–
–
使用路由策略的 URL 类别条件访问 HTTPS 站点
对于透明重定向的 HTTPS 请求, Web 代理必须与目标服务器连接以确定服务器名,并因此确
定其所属的 URL 类别。因此,当 Web 代理评估路由策略组成员身份时,它尚且无法知道
HTTPS 请求的 URL 类别,因为它尚未连接目标服务器。如果 Web 代理不知道 URL 类别,
它就无法将透明的 HTTPS 请求与使用 URL 类别作为成员身份条件的路由策略进行匹配。
定其所属的 URL 类别。因此,当 Web 代理评估路由策略组成员身份时,它尚且无法知道
HTTPS 请求的 URL 类别,因为它尚未连接目标服务器。如果 Web 代理不知道 URL 类别,
它就无法将透明的 HTTPS 请求与使用 URL 类别作为成员身份条件的路由策略进行匹配。
因此,透明重定向的 HTTPS 事务仅与未按 URL 类别定义路由策略组成员身份条件的路由策略
匹配。如果所有用户定义的路由策略按 URL 类别定义其成员身份,透明的 HTTPS 事务将与默
认路由策略组匹配。
匹配。如果所有用户定义的路由策略按 URL 类别定义其成员身份,透明的 HTTPS 事务将与默
认路由策略组匹配。
HTTPS 请求失败
•
具有基于 IP 的代理和透明请求的 HTTPS
根据您配置 HTTPS 的方式,如果 HTTPS 请求来自在先前的 HTTP 请求中没有身份验证信息
的客户端,则 AsyncOS 会使 HTTPS 请求失败或解密 HTTPS 请求以对用户进行身份验证。使
用“安全服务”(Security Services) >“HTTPS 代理”(HTTPS Proxy) 页面上的“HTTPS 透
明请求” (HTTPS Transparent Request) 设置来定义此行为。请参阅 “解密策略”一章的 “启
用 HTTPS 代理”一节。
的客户端,则 AsyncOS 会使 HTTPS 请求失败或解密 HTTPS 请求以对用户进行身份验证。使
用“安全服务”(Security Services) >“HTTPS 代理”(HTTPS Proxy) 页面上的“HTTPS 透
明请求” (HTTPS Transparent Request) 设置来定义此行为。请参阅 “解密策略”一章的 “启
用 HTTPS 代理”一节。
对特定网站绕过解密
当某些 HTTPS 服务器的流量未通过代理服务器 (例如 Web 代理)解密时,这些服务器不会按
预期工作。例如,某些网站及其关联的 Web 应用和小程序 (例如高度安全银行站点)维护一个
受信任证书硬编码列表,而不是依赖操作系统证书存储库。
预期工作。例如,某些网站及其关联的 Web 应用和小程序 (例如高度安全银行站点)维护一个
受信任证书硬编码列表,而不是依赖操作系统证书存储库。
您可以忽略这些服务器的 HTTPS 流量的解密,以确保所有用户可以访问这些类型的站点。
步骤 1
通过配置 “高级” (Advanced) 属性,创建包含受影响 HTTPS 服务器的自定义 URL 类别。
步骤 2
创建将
类别的操作设置为 “通过” (Pass Through)。
警报:安全证书出现问题
通常,您在设备中生成或上传的根证书信息未在客户端应用中列为受信任根证书颁发机构。默认
情况下,在大多数 Web 浏览器中,当用户发送 HTTPS 请求时,他们将看到一条来自客户端应
用的警告消息,告知他们网站的安全证书有问题。通常,错误消息指出网站的安全证书不是由受
信任证书颁发机构所颁发,或者网站是由未知颁发机构认证。一些其他客户端应用程序不会向用
户显示此警告消息,也不允许用户接受无法识别的证书。
情况下,在大多数 Web 浏览器中,当用户发送 HTTPS 请求时,他们将看到一条来自客户端应
用的警告消息,告知他们网站的安全证书有问题。通常,错误消息指出网站的安全证书不是由受
信任证书颁发机构所颁发,或者网站是由未知颁发机构认证。一些其他客户端应用程序不会向用
户显示此警告消息,也不允许用户接受无法识别的证书。