Segurança : Cisco Web Security Appliance

Prove a configuração do redirecionamento transparente usando o WCCP para reorientar o tráfego nativo FTP

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Índice

Contribuído por Tim Davidson e por Siddharth Rajpathak, engenheiros de TAC da Cisco.

Pergunta:

Como configurar WSA/roteador Cisco para apoiar o redirecionamento transparente do HTTP, do HTTPS e do tráfego nativo FTP usando o WCCP?

Ambiente:  Ferramenta de segurança da Web de Cisco que executa a versão 6.0 mais recente de AsyncOS, o proxy de FTP nativo permitido em WSA, o roteador Cisco WCCPv2/interruptor ou o Firewall compatível ASA

Solução:

Quando o tráfego nativo FTP está sendo reoriente transparentemente a WSA, WSA receberá tipicamente o tráfego na porta padrão 21 FTP. Daqui, o proxy de FTP nativo em WSA deve escutar na porta 21 (à revelia o proxy de FTP nativo é 8021).

  • Você pode verificar este sob serviços > proxy de FTP do > segurança GUI

Siga por favor as etapas abaixo para configurar

Configuração WSA

  1. Crie uma identidade para o tráfego FTP (sob GUI gerenciador de segurançaidentidades da Web). Certifique-se por favor de que a autenticação esteve desabilitada para este ID.
  2. Crie uma política de acesso (sob GUI gerenciador de segurançapolíticas de acesso da Web) que proveja a identidade acima
  3. Sob ajustes de proxy de FTP, altere portas passivas FTP para ser 11000-11006 (para se assegurar de que todas as portas cabidas em um único grupo de serviço)
  4. Crie o seguinte serviço ID WCCP.

    Portas do serviço de nome
    cache de web 0 80 (alternativamente nós podemos usar o costume-Web-esconderijo 98 se usando WSA múltiplos)
    60 21,11000,11001,11002,11003,11004,11005,11006 FTP-nativos
    https-esconderijo 80 443

O exemplo seguinte reorienta três sub-redes internas ao contornear o redirecionamento de WCCP para todos os destinos confidencialmente endereçados assim como um único host interno.

Configuração da amostra ASA

group_acl da lista de grupos do cache de web da reorientar-lista do cache de web do wccp
group_acl FTP-nativo da lista de grupos da reorientar-lista do wccp 60
group_acl da lista de grupos do https-esconderijo da reorientar-lista do wccp 80

a relação do wccp dentro do cache de web reorienta dentro
a relação 60 internos do wccp reorienta dentro       
a relação 80 internos do wccp reorienta dentro

o group_acl da lista de acesso estendeu o host 10.1.1.160 da licença IP

prolongados FTP-nativos da lista de acesso negam a IP todo o 10.0.0.0 255.0.0.0
prolongados FTP-nativos da lista de acesso negam a IP todo o 172.16.0.0 255.240.0.0
prolongados FTP-nativos da lista de acesso negam a IP todo o 192.168.0.0 255.255.0.0
prolongados FTP-nativos da lista de acesso negam o host 192.168.42.120 algum IP
licença prolongada FTP-nativa tcp 192.168.42.0 255.255.255.0 da lista de acesso algum ftp do eq
licença prolongada FTP-nativa tcp 192.168.42.0 255.255.255.0 da lista de acesso alguma escala 11000 11006
licença prolongada FTP-nativa tcp 192.168.99.0 255.255.255.0 da lista de acesso algum ftp do eq
licença prolongada FTP-nativa tcp 192.168.99.0 255.255.255.0 da lista de acesso alguma escala 11000 11006
licença prolongada FTP-nativa tcp 192.168.100.0 255.255.255.0 da lista de acesso algum ftp do eq
licença prolongada FTP-nativa tcp 192.168.100.0 255.255.255.0 da lista de acesso alguma escala 11000 11006

o https-esconderijo da lista de acesso estendido nega a IP todo o 10.0.0.0 255.0.0.0
o https-esconderijo da lista de acesso estendido nega a IP todo o 172.16.0.0 255.240.0.0
o https-esconderijo da lista de acesso estendido nega a IP todo o 192.168.0.0 255.255.0.0
o https-esconderijo da lista de acesso estendido nega o host 192.168.42.120 algum IP
o https-esconderijo da lista de acesso estendeu a licença tcp 192.168.42.0 255.255.255.0 todos os https do eq
o https-esconderijo da lista de acesso estendeu a licença tcp 192.168.99.0 255.255.255.0 todos os https do eq
o https-esconderijo da lista de acesso estendeu a licença tcp 192.168.100.0 255.255.255.0 todos os https do eq

o cache de web da lista de acesso estendido nega a IP todo o 10.0.0.0 255.0.0.0
o cache de web da lista de acesso estendido nega a IP todo o 172.16.0.0 255.240.0.0
o cache de web da lista de acesso estendido nega a IP todo o 192.168.0.0 255.255.0.0
o cache de web da lista de acesso estendido nega o host 192.168.42.120 algum IP
o cache de web da lista de acesso estendeu a licença tcp 192.168.42.0 255.255.255.0 todo o eq WWW
o cache de web da lista de acesso estendeu a licença tcp 192.168.99.0 255.255.255.0 todo o eq WWW
o cache de web da lista de acesso estendeu a licença tcp 192.168.100.0 255.255.255.0 todo o eq WWW

Prove a configuração do interruptor (c3560) (deve trabalhar na maioria de Roteadores demasiado)

group_acl da lista de grupos do cache de web da reorientar-lista do cache de web do wccp IP
group_acl FTP-nativo da lista de grupos da reorientar-lista do wccp 60 IP
group_acl da lista de grupos do https-esconderijo da reorientar-lista do wccp 80 IP

relação Vlan99
endereço IP 192.168.99.1 255.255.255.0
o cache de web do wccp IP reorienta dentro
o wccp 60 IP reorienta dentro
o wccp 80 IP reorienta dentro

relação Vlan100
endereço IP 192.168.100.1 255.255.255.0
o cache de web do wccp IP reorienta dentro
o wccp 60 IP reorienta dentro
o wccp 80 IP reorienta dentro

relação Vlan420
endereço IP 192.168.42.1 255.255.255.0
endereço auxiliar IP 192.168.100.20
o cache de web do wccp IP reorienta dentro
o wccp 60 IP reorienta dentro
o wccp 80 IP reorienta dentro

FTP-nativo prolongado da lista de acesso IP
negue a IP todo o 10.0.0.0 0.255.255.255
negue a IP todo o 172.16.0.0 0.15.255.255
negue a IP todo o 192.168.0.0 0.0.255.255
negue o host 192.168.42.120 algum IP
permita tcp 192.168.42.0 0.0.0.255 todo o ftp do eq
permita tcp 192.168.42.0 0.0.0.255 toda a escala 11000 11006
permita tcp 192.168.99.0 0.0.0.255 todo o ftp do eq
permita tcp 192.168.99.0 0.0.0.255 toda a escala 11000 11006
permita tcp 192.168.100.0 0.0.0.255 todo o ftp do eq
permita tcp 192.168.100.0 0.0.0.255 toda a escala 11000 11006

https-esconderijo prolongado da lista de acesso IP
negue a IP todo o 10.0.0.0 0.255.255.255
negue a IP todo o 172.16.0.0 0.15.255.255
negue a IP todo o 192.168.0.0 0.0.255.255
negue o host 192.168.42.120 algum IP
permita tcp 192.168.42.0 0.0.0.255 todo o eq 443
permita tcp 192.168.99.0 0.0.0.255 todo o eq 443
permita tcp 192.168.100.0 0.0.0.255 todo o eq 443

cache de web prolongado da lista de acesso IP
negue a IP todo o 10.0.0.0 0.255.255.255
negue a IP todo o 172.16.0.0 0.15.255.255
negue a IP todo o 192.168.0.0 0.0.255.255
negue o host 192.168.42.120 algum IP
permita tcp 192.168.42.0 0.0.0.255 todo o eq WWW
permita tcp 192.168.99.0 0.0.0.255 todo o eq WWW
permita tcp 192.168.100.0 0.0.0.255 todo o eq WWW

group_acl do padrão da lista de acesso IP
licença 10.1.1.160


Note por favor: Devido à limitação de tecnologia WCCP, um máximo de 8 portas pode ser atribuído pela identificação de serviço WCCP.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 118157