Troubleshooting Tip: Web pages not loading or taking too long to load when a web filter is applied (Fortigate)

Mô tả: Bài viết này mô tả cách khắc phục sự cố khi trang web không tải hoặc tải quá lâu khi có bộ lọc web (web filter) được áp dụng.

Phạm vi: Tất cả các FortiGate với tất cả các phiên bản.
Giải pháp:Thay đổi từ bản cập nhật trên phiên bản Google Chrome 124.0.6367.61 và phiên bản Edge 124.0.2478.51 (Edge là một phiên bản phái sinh của Chrome) khi biến thể 'TLS 1.3 Hybridized Kyber Support' được thay đổi từ chế độ tắt sang chế độ bật, thêm dữ liệu bổ sung trong thông điệp hello của khách hàng.

Thay đổi này làm tăng thời gian tải trang web khi chính sách tường lửa đang ở chế độ flow mode. Trong một số trường hợp, trang web không tải hoàn toàn và tab trang web hiển thị biểu tượng quay vòng trong một khoảng thời gian dài.

Loại bỏ bộ lọc web khỏi chính sách tường lửa giúp tải trang nhanh hơn, nhưng điều này có thể không phải là một lựa chọn trong một số tình huống.

Có một số giải pháp có thể được áp dụng.

Tùy chọn 1: Vô hiệu hóa hỗ trợ TLS 1.3 hybridized Kyber trên trình duyệt Google Chrome/Edge.

Chrome:

• Type chrome://flags/ on the Chrome URL field.
• Search for TLS 1.3 hybridized Kyber support.
• Select Disabled.
• Select Relaunch.

Edge:

• Type edge://flags/ on the Edge URL field.
• Search for TLS 1.3 hybridized Kyber support.
• Select Disabled.
• Select Restart.

Tùy chọn 2: Thay đổi chế độ kiểm tra chính sách tường lửa từ flow-based sang proxy-based.

Tùy chọn 3: Thay đổi giá trị tcp-mss cho người gửi và người nhận thành một giá trị nhỏ hơn hoặc bằng 1450 cho các chính sách tường lửa khớp với lưu lượng HTTP và HTTPS. Tùy thuộc vào môi trường và đường dẫn MTU, giá trị TCP MSS có thể cần được điều chỉnh.

Chính sách tường lửa với các giá trị mặc định cho tcp-mss (1500):

Chính sách tường lửa sau khi thay đổi:

Tham khảo thêm tại đây.