отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
Объявления
Community Live

542
Просмотры
10
Полезный материал
1
Ответы

WSA Access Policies

Добрый день.

Возникли вопросы по отработке Access policies.

У нас есть 

Custom and External URL Categories:

Name: Chrome update

Sites: dl.google.com

Access policies:

Name: Chrome update
Identification Profile: All
All identified users
URL Categories: CiscoUpdate

Protocols and User Agents: No blocked items

URL Filtering: Allow "Chrome update"

Данное правило не отрабатывает, в логах:

Info: 1614140211.458 3 XXX.XXX.XXX.XXX TCP_DENIED/403 0 HEAD http://dl.google.com/release2/chrome_component/Qdsw7XqkURT7veLZROOtNA_2571/L9fXnSBeXb9FFvVh-16uAQ "XXXXX\XXXXXXXX@XXX" NONE/- - BLOCK_WEBCAT_12-Shopping-XXX-NONE-NONE-NONE-NONE-NONE <"IW_swup",6.9,-,"-",-,-,-,-,"-",-,-,-,"-",-,-,"-","-",-,-,"IW_swup",-,"-","Software Updates","-","Unknown","Unknown","-","-",0.00,0,-,"-","-",-,"-",-,-,"-","-",-,-,"-",-,-> - -

 При этом, есть

Decryption Policy:

Name: Chrome update
Identification Profile: All
All identified users
URL Categories: Chrome update

URL Filtering: Pass Through "Chrome update"

Default Action: Pass Through

Данное правило отрабатывает, в логах

Info: 1614140376.098 160602 xxx.xxx.xxx.xxx TCP_MISS/200 18473 CONNECT tunnel://dl.google.com:443/ "xxxx\xxx@xxx" DIRECT/dl.google.com - PASSTHRU_CUSTOMCAT_7-Chrome_update-XXX-NONE-NONE-NONE-DefaultGroup-NONE <"C_Chro",6.9,-,"-",-,-,-,-,"-",-,-,-,"-",-,-,"-","-",-,-,"IW_swup",-,"-","Software Updates","-","Unknown","Unknown","-","-",0.92,0,-,"-","-",-,"-",-,-,"-","-",-,-,"-",-,-> - -

Что я делаю не так?

1 ОТВЕТ 1

Из лога видно, что запрос попадает под политику Shopping, а там, по-видимому, есть запрет на скачивание исполняемых файлов.

 

Во-первых, политика Chrome update напрасно привязана к URL Categories: CiscoUpdate,  нужно её привязвать к своей кастомной Chrome update. Или можно посмотреть, к какой категории сайтов относится dl.google.com, и привязывать политику именно к этой категории. Или вообще категорию URL не указывать.

 

Во-вторых, а точно Хром вытаскивает апдейты по HTTP, а не по HTTPS? Тогда сделанного исключения в Decryption policy должно быть достаточно, трафик пройдёт без инспекции.

Создать
Выразить признание своим коллегам
Опросы
Какой контент Вы хотели бы чаще видеть в Сообществе?
Content for Community-Ad

Сообщество Cisco

Помощь по сообществу