建议使用Chrome浏览器访问!
技术支持
互动社区
学习培训
深信服官网
合作伙伴

登录
我的Sangfor

行为管理AC

关注
深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
故障案例库
典型场景排查思路

【AC】使用谷歌/edge/火狐等浏览器无法登录控制台

更新时间:2024-01-16
  • 阅读权限:游客
  • 下载
  • 分享
  • 收藏
所属模块 设备自身问题 | 控制台异常
适用版本 通用

使用Chrome 谷歌/edge/火狐浏览器无法登录控制台,提示连接被重置、ActiveX无法正常运行或能打开但显示不全

1、确定设备是12.0.45以下,浏览器最近有更新到最新版本,比如:火狐浏览器119版本以上,edge浏览器119版本以上。 

AC12.0.45版本之前由于历史框架问题,控制台对https浏览器兼容性并不全面,新版本浏览器的对访问AC控制台的TLS请求验证不通过导致无法登录控制台(浏览器更新了ech选项之后,大于512字节的client hello不被老版本的sangfor_waf所支持),高版本经过控制台和waf等一系列加固优化操作,不会出现问题。

浏览器类型 关闭浏览器TLS1.3解决 关闭浏览器ECH功能解决  AC实施SP包解决 AC升级软件版本解决
谷歌浏览器
  1. 打开浏览器,输入地址栏中的 “chrome://flags” 并按下回车键。
  2. 在搜索框中输入 “TLS 1.3”,找到 “TLS 1.3” 选项。
  3. 将该选项设置为 “Disabled”。
  4. 重新启动浏览器以使更改生效。
  1. 打开Chrome浏览器并输入chrome://flags/进入Chrome的实验性功能页面。
  2. 在搜索框中输入“Encrypted ClientHello”以找到相关的功能选项。
  3. 将“Encrypted ClientHello”功能选项设置为“Disabled”或“Default”(如果可用)。
  4. 重新启动Chrome浏览器以使更改生效。
 通过实施SP_AC_JG_33解决。

升级AC版本到AC12.0.62/13.0.62及以上版本解决。

 

无法升级的设备请实施SP包解决。
火狐浏览器
  1. 打开浏览器,输入地址栏中的 “about:config” 并按下回车键。
  2. 在搜索框中输入 “security.tls.version.max”,找到该选项。
  3. 将该选项的值设置为 “4”,表示最高支持TLS 1.2。
  4. 在搜索框中输入 “network.dns.echconfig.enabled”,找到该选项。
  5. 将该选项的值设置为 “false”,以禁用Encrypted ClientHello功能。
  6. 重新启动浏览器以使更改生效。
  1. 在地址栏中输入about:config并按Enter键,以打开Firefox的高级设置页面。
  2. 在出现的警告页面上,点击“接受风险并继续”按钮。
  3. 在搜索栏中输入“security.tls.enable_0rtt_data”以找到相关的功能选项。
  4. 将“security.tls.enable_0rtt_data”设置为“false”以禁用Encrypted ClientHello功能。
Edge浏览器
  1. 打开浏览器,输入地址栏中的 “edge://flags” 并按下回车键。
  2. 在搜索框中输入 “TLS 1.3”,找到 “TLS 1.3” 选项。
  3. 将该选项设置为 “Disabled”。
  4. 重新启动浏览器以使更改生效。
  1. 打开Edge浏览器并输入edge://flags/进入Edge的实验性功能页面。
  2. 在搜索框中输入“Encrypted ClientHello”以找到相关的功能选项。
  3. 将“Encrypted ClientHello”功能选项设置为“Disabled”或“Default”(如果可用)。
  4. 重新启动Edge浏览器以使更改生效。

如果实施SP_AC_JG_33包后依旧未解决,则是由于SP_AC_JG_33未更新成功(md5校验导致33包切换waf失败),请按如下思路解决:

  1. 打上KB-AC-20231117-156-XXXX(找到对应支持的版本KB,恢复版本对应的md5,目的为了切换成功)
    • 该kb包已手动处理了/app/appversion,移除了JG33包信息,所以需要再次手动打上JG33包
  2. 重新打上SP_AC_JG_33包
  3. 打完包重启控制台waf进程: 
    • daemonrestart sangfor_waf
  4. 确保已正常运行了ngswaf 相关进程,如正常运行,则可测试验证是否解决: 
    • ps -ef | grep ngswaf     (这条命令有看到ngswaf相关进程在则算是正常)
  5. 如果依旧是sangfor_waf监听,则执行下述命令并发送结果给研发确认是否是md5问题导致 
    • cat /ac/var/log/SP_AC_JG_33.log

火狐浏览器解决方案

其他高版本浏览器也可以网上搜索关闭Encrypted ClientHello功能解决。或者下载360浏览器使用

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

本页目录
  • 问题描述
  • 有效排查步骤
  • 根因
  • 解决方案
  • 是否是临时解决方案
案例让我的问题处理变得简单了
选择标签:
更多意见:
手机号码:
如果未能解决您的问题,您可以使用 在线客服 寻求帮助
在线客服
案例让我的问题处理变得简单了
快速入口
友情链接
服务电话
  • 售前咨询:400-806-6868
  • 售后支持:400-630-6430
关注我们
  • 深信服科技
  • 深信服技术服务
©2000-2024 深信服科技股份有限公司 版权所有 |粤ICP备08126214号-5
您当前处于未登录状态,资料搜索或查找可能会不全面,请登录后以查找更全面的内容注册登录