소개
이 문서에서는 Warning(경고), Acknowledgement(승인) 또는 EUN(End User Notification) 페이지가 명시적 HTTPS 요청에 대해 올바르게 표시되지 않을 때 Cisco WSA(Web Security Appliance)에서 발생하는 문제에 대해 설명합니다. 이 문제에 대한 해결 방법도 제공됩니다.
사전 요구 사항
요구 사항
이 문서의 내용은 다음을 가정합니다.
- WSA 프록시 주소는 명시적 모드에서 구축됩니다.
- HTTPS 요청은 차단되거나 경고되거나 사용자 승인이 필요합니다.
사용되는 구성 요소
이 문서의 정보는 Cisco WSA를 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
문제
Warning(경고), Acknowledgement(승인) 또는 EUN 페이지는 명시적 HTTPS 요청에 대해 올바르게 표시되지 않습니다. 브라우저에 불완전한 알림 페이지가 표시되거나, 페이지가 전혀 표시되지 않고 오류 페이지가 표시됩니다.
명시적 HTTPS 요청을 사용하는 경우 이러한 페이지를 둘러싼 몇 가지 문제가 있습니다. 프록시를 사용하도록 브라우저를 구성하면 HTTPS 트래픽이 HTTP를 통해 WSA로 전달됩니다. 이 요청은 HTTP를 통한 HTTPS로 포맷됩니다.
WSA에서 명시적 HTTPS 요청에 대해 반환하는 HTTP 회신을 올바르게 처리하지 못하는 브라우저에는 두 가지 알려진 문제가 있습니다. 명시적 HTTPS 요청이 차단되거나 경고되거나 사용자 승인이 필요한 경우 WSA는 403 상태 코드를 반환합니다. 이 응답 내에 WSA는 화면에 렌더링되어야 하는 알림 콘텐츠를 포함하므로 볼 수 있습니다. 그러나 경우에 따라 브라우저는 반환된 내용 내의 회신을 이해할 수 없습니다.
이는 관찰된 브라우저 동작입니다.
솔루션
이 섹션에서는 WSA에서 HTTPS 암호 해독이 활성화된 경우 발생하는 프로세스에 대해 설명합니다. 앞에서 설명한 문제를 해결하려면 제공된 정보를 사용하여 시스템이 적절하게 구성되었는지 확인합니다.
다음은 명시적 HTTPS 요청을 전송할 때의 트래픽 흐름의 예입니다.
- HTTPS 암호 해독이 활성화된 경우 WSA는 먼저 암호 해독 정책에 대해 요청을 검증합니다.
- 요청이 PASSTHROUGH로 표시된 경우 트래픽이 허용됩니다(경고 또는 EUN 없음).
- 요청이 DECRYPTED로 표시된 경우 액세스 정책에 대해 요청이 검증됩니다. 이 경우 WARN 또는 BLOCK을 위해 액세스 정책이 구성되면 EUN 페이지가 올바르게 표시됩니다. Acknowledgement(확인 응답)의 경우 사용자는 HTTP 페이지 및 Acknowledgement(확인 응답)로 이동해야 합니다. 이 경우 프록시를 통해 이동한 다음 HTTPS 사이트로 이동해야 합니다.
- WSA는 클라이언트 IP 주소를 기억하며 타이머가 만료될 때까지 다른 Acknowledgement를 요구하지 않습니다.