Segurança : Cisco Web Security Appliance

WSA WCCP para o exemplo de configuração ASA

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve como configurar o Protocolo de Comunicação de Cache da Web (WCCP) para a ferramenta de segurança adaptável de Cisco (ASA) através da ferramenta de segurança da Web de Cisco (WSA).

Contribuído por Vladimir Sousa e por Zack Shaikh, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Cisco WSA
  • Cisco ASA
  • WCCP
  • Disposições do proxy transparente

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versão 7.x de Cisco WSA
  • Versão ASA 8.x de Cisco

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Configurar

Use esta seção a fim configurar o WCCP para o ASA.

Visão geral sobre a configuração

Estes são os comandos que são incorporados no WSA a fim configurar o WCCP para o ASA:

hostname(config)# wccp {web-cache | service_number} [redirect-list access_list]
 [group-list access_list] [password password] 


hostname(config)# wccp interface interface_name {web-cache | service_number}
 redirect in

Estas são as descrições da entrada para este comando:

  • número do serviço: Este é um identificador do serviço dinâmico, assim que significa que a definição de serviço está ditada pelo esconderijo. O número do serviço dinâmico pode variar de 0 a 255. O máximo - o número permissível é o 256, que inclui o serviço do cache de web que é especificado com a palavra-chave do cache de web.

  • reorientar-lista: Esta é uma entrada opcional. É usada com uma lista de acessos que controle o tráfego que é reorientado a este grupo de serviço. O argumento da lista de acesso é uma corda de não mais de 64 caráteres (nome ou número) que especifique a lista de acessos.

    Nota: As versões de software 8.1 ASA e mais adiantado não aceitam a porta TCP na reorientar-lista; somente os endereços de rede podem ser usados.

  • lista de grupos: Esta é uma entrada de lista de acesso opcional que determine os caches de web que são permitidos participar no grupo de serviço. O argumento da lista de acesso é uma corda de não mais de 64 caráteres (nome ou número) que especifique a lista de acessos.

  • senha: Esta é uma entrada opcional que especifique a autenticação do message digest 5 (MD5) para as mensagens que são recebidas do grupo de serviço. As mensagens que não são aceitadas pela autenticação são rejeitadas.

Nota: O serviço padrão é o cache de web (ID de serviço 0), que intercepta somente o tráfego da porta TCP 80 (HTTP). Para todos os outros serviços personalizados, Cisco recomenda que você usa um ID de serviço entre 90 e 97.

Exemplo de configuração

Termine estas etapas a fim configurar o WCCP para o ASA através do WSA:

  1. Incorpore este comando a fim usar o cache de web do grupo de serviço padrão:

    wccp web-cache
    wccp interface inside web-cache redirect in
  2. Incorpore este comando a fim usar um ID de grupo do serviço dinâmico para a reorientação do tráfego HTTP e HTTPS:

    wccp 90 redirect-list wccp-hosts group-list wccp-routers
  3. Incorpore este comando a fim usar a Segurança WCCP:

    wccp 90 redirect-list wccp-hosts group-list wccp-routers password securewccp
  4. A lista de acessos pode ser configurada de modo que negue o tráfego que é enviado ao ASA como um endereço IP de destino e o reoriente ao WSA. Isto é particularmente útil quando o ASA é configurado a fim reorientar o tráfego a WSAs múltiplo. Por exemplo, o WSAs pôde ser atribuído estes endereços IP de Um ou Mais Servidores Cisco ICM NT:

    • Endereço IP de Um ou Mais Servidores Cisco ICM NT WSA1 = 10.0.0.1
    • Endereço IP de Um ou Mais Servidores Cisco ICM NT WSA2 = 10.0.0.2

    Incorpore estes comandos a fim configurar a lista de acessos para negar o tráfego:

    access-list wccp-hosts extended deny tcp any host 10.0.0.1
    access-list wccp-hosts extended deny tcp any host 10.0.0.2
  5. Incorpore este comando a fim permitir que o tráfego de HTTP seja reorientado:

    access-list wccp-hosts extended  permit tcp any any eq www
  6. Incorpore este comando a fim permitir que o tráfego HTTPS seja reorientado:

    access-list wccp-hosts extended  permit tcp any any eq https
  7. Incorpore estes comandos a fim definir o WSAs que são permitidos participar na comunicação WCCP:

    access-list wccp-routers standard permit host 10.0.0.1
    access-list wccp-routers standard permit host 10.0.0.2
  8. Se o comando redirect-list não é aceitado, a seguir uma lista de acesso extendida pôde ser precisada. Incorpore estes comandos a fim configurar a lista de acesso extendida:

    access-list wccp-routers extended permit ip host 10.0.0.1 any
    access-list wccp-routers extended permit ip host 10.0.0.2 any
  9. Incorpore este comando a fim aplicar a configuração:

    wccp interface inside 90 redirect in

Verificar

A fim indicar as estatísticas globais que são relacionadas ao WCCP, incorpore o comando do wccp da mostra ao modo de exec privilegiado:

show wccp {web-cache | service-number}[detail | view]
show run | inc wccp

Nota: O tipo de tráfego (HTTP, HTTPS, FTP) que é reorientado é definido pela configuração de WCCP WSA. O ASA pode somente filtrar o tráfego redirecionado com o uso da reorientar-lista.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 117810