Segurança : Cisco Cloud Web Security

Etapas da migração da Segurança da Web da nuvem e FAQ para torres da próxima geração

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (21 Abril 2016) | Feedback

Índice

Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento contém um fim do anúncio do serviço e descreve alterações de configuração para a Segurança da Web da nuvem de Cisco (CWs). Cisco CWs é em processo de promover sua arquitetura atual da nuvem a fim encontrar necessidades dos clientes. Este não é apenas apoiar o mapa rodoviário da característica, mas melhorar igualmente a escala e a Alta disponibilidade da solução total.

Como parte do comprometimento de Cisco para melhorar continuamente a qualidade de nossas ofertas do como-um-serviço da Segurança, Cisco pergunta que você se transporta a um proxy da substituição assim que a plataforma atual pode ser aposentada. Este é um processo imperativo que se assegure de que Cisco CWs possa adequadamente prestar serviços de manutenção a seus clientes. Seu proxy atual será aposentado logo (veja a tabela “fim das torres do legado CWs na seção do anúncio do serviço” por datas). Assegure-se de que você siga as instruções dentro deste documento a fim configurar o acesso à torre da próxima geração (NGT). Esteja ciente que se você falta esta data você arrisca a perda de acesso ao serviço. Cisco aprecia que este exige o tempo e o esforço em sua parte e avalia seu auxílio a fim conseguir esta melhoria a nosso serviço.

Contribuído por engenheiros da Cisco.

Fim das torres do legado CWs do anúncio do serviço

Cisco anuncia fim-das datas do serviço para cada um das torres do legado alistadas nesta tabela. O último dia a migrar para cada torre do legado está listado. Após esta data o serviço CWs já não estará disponível dessa torre. É imperativo para clientes afetados migrar à Segurança NGT da Web da nuvem de Cisco a fim evitar o rompimento do serviço.

Torre afetadaDetalhesÚltima data do serviçoTorre da substituiçãoDetalhes
Sydney (SYD2)

Proxy meados de da torre de Cisco CWs

Formato:
(= número)

15o Maio de 2015Sydney (SYD3)Proxy de Cisco CWs NGT (torre da próxima geração).
Formato: access7XX.cws.sco.cisco.com
(XX = número)
Dallas (DAL1)

Proxy meados de da torre de Cisco CWs

Formato:
(= número)

15o Maio de 2015Dallas (DAL1)Proxy de Cisco CWs NGT (torre da próxima geração).
Formato: access3XX.cws.sco.cisco.com
(XX = número)
Francoforte (FRA1 & FRA2)

Proxy meados de da torre de Cisco CWs

Formato:
(= número)

30o Junho de 2015Francoforte (FRA2)Proxy de Cisco CWs NGT (torre da próxima geração).
Formato: access5XX.cws.sco.cisco.com
(XX = número)
Chicago (CHI1)

Proxy meados de da torre de Cisco CWs

Formato:
(= número)

3ø Agosto de 2015Chicago (CHI2)Proxy de Cisco CWs NGT (torre da próxima geração).
Formato: access4XX.cws.sco.cisco.com
(XX = número)
Secaucus (SCS1 & SCS2)

Proxy meados de da torre de Cisco CWs

Formato:
(= número)

3ø Agosto de 2015Secaucus (SCS2)Proxy de Cisco CWs NGT (torre da próxima geração).
Formato: access2XX.cws.sco.cisco.com
(XX = número)
Londres (LON4)

Proxy meados de da torre de Cisco CWs

Formato:
(= número)

3ø Agosto de 2015Londres (LON5)Proxy de Cisco CWs NGT (torre da próxima geração).
Formato: access0XX.cws.sco.cisco.com
(XX = número)
SÃO JOSÉ (SJL1)

Proxy meados de da torre de Cisco CWs

Formato:
(= número)

3ø Agosto de 2015SÃO JOSÉ (SJL1)Proxy de Cisco CWs NGT (torre da próxima geração).
Formato: access8XX.cws.sco.cisco.com
(XX = número)
Sao Paulo (SAO1)

Proxy meados de da torre de Cisco CWs

Formato:
(= número)

13o Março de 2016Sao Paulo (SAO2)Proxy de Cisco CWs NGT (torre da próxima geração).
Formato: access12XX.cws.sco.cisco.com
(XX = número)

Alterações de configuração CWs

O dependente em cima do que método de conexão você usa para o serviço CWs, sua configuração deverá ser alterado a fim assegurar a conexão apropriada ao NGT. Este guia esboça as mudanças apropriadas para fazer para cada um destes conectores.

ASA como um conector ao CWs

Para o conector ASA, você precisa de mudar as opções de ScanSafe na configuração. A configuração substitui a torre do primário atual com o NGT novo. Isto pode ser feito do CLI ou da relação adaptável do Security Device Manager (ASDM). As etapas são fornecidas nesta seção.

CLI

Configuração antes
scansafe general-options
server primary {ip | fqdn} [PRIMARY TOWER] port 8080
server backup {ip | fqdn } [SECONDARY TOWER] port 8080
retry-count 5
license [AUTH KEY HERE]

Configuração em seguida
scansafe general-options
server primary {ip | fqdn} [NGT TOWER] port 8080
server backup {ip | fqdn} SECONDARY TOWER] port 8080
retry-count 5
license [AUTH KEY HERE]

Nota: Não mude a chave de licença. Se você deseja transferir arquivos pela rede uma configuração nova, reenter a chave original. A chave pode ser buscada do ASA com mais sistema: running-config | inclua o comando license.

Etapas da alteração de configuração através do CLI

Do CLI no ASA, incorpore estes comandos se você usa endereços IP de Um ou Mais Servidores Cisco ICM NT:

CCWS_ASA# configure terminal
CCWS_ASA(config)# scansafe general-options
CCWS_ASA(config)# no server primary ip [EXISTING PRIMARY PROXY IP HERE] port 8080
CCWS_ASA(config)# server primary ip [NEW PRIMARY NGT PROXY IP HERE] port 8080
CCWS_ASA(config)# exit
CCWS_ASA(config)# write memory

Do CLI no ASA, incorpore estes comandos se você usa o nome de domínio totalmente qualificado (FQDN):

CCWS_ASA# configure terminal
CCWS_ASA(config)# scansafe general-options
CCWS_ASA(config)# no server primary fqdn [EXISTING PRIMARY PROXY FQDN HERE] port 8080
CCWS_ASA(config)# server primary fqdn [NEW PRIMARY NGT PROXY FQDN HERE] port 8080
CCWS_ASA(config)# exit
CCWS_ASA(config)# write memory

ASDM

  1. Do dispositivo através do ASDM, escolha a configuração > o Gerenciamento de dispositivos.
    • Para o único contexto, escolha a Segurança da Web da nuvem do painel esquerdo.
    • Para o multi-contexto, entre no contexto do sistema e escolha então a Segurança da Web da nuvem do painel esquerdo.
  2. Nos campos do servidor primário e do endereço IP de Um ou Mais Servidores Cisco ICM NT/Domain Name do servidor de backup, incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT NGT ou o FQDN e o clique aplicam-se.

  3. Do menu de arquivo, escolha configuração running da salvaguarda piscar.

Defeito relacionado

Identificação de bug Cisco CSCuj86222 - O ASA deixar cair segmentos de OoO TCP quando conns de Proxying para a reorientação de ScanSafe

Nota: Se você executa uma liberação afetada conhecida, Cisco recomenda que você promove a uma liberação com este defeito fixado.

A fim impedir no futuro mudanças, recomenda-se usar o FQDN quando você migra a NGT. Leia esta seção para etapas para configurar a pesquisa de DNS.

Configurar a pesquisa de DNS

A configuração CWs em um ASA que use o FQDN exige o uso de server DNS a fim alcançar o proxy CWs pelo Domain Name. Uma vez que a consulta do Domain Name e o server DNS são configurados, o ASA pode resolver o FQDN do proxy. Certifique-se de que você configura o roteamento apropriado para toda a relação em que você permitir a consulta do domínio de DNS assim que você pode alcançar o servidor DNS.

CLI
hostname(config)# dns domain-lookup interface_name
hostname(config)# dns server-group DefaultDNS
hostname(config-dns-server-group)# name-server ip_address [ip_address2]..[ip_address6]

ASDM

ISR G2 como um conector ao CWs

Para Cisco ISR G2, você precisará de mudar o mapa do parâmetro da “índice-varredura”. A configuração substitui o server de ScanSafe do primário atual com o NGT novo. As etapas são mostradas nesta seção.

CLI - Liberações mais cedo do que a liberação 15.4(2)T

Configuração antes
parameter-map type content-scan global
server scansafe primary {ipv4 | name} [PRIMARY TOWER] port http 8080 https 8080
server scansafe secondary {ipv4 | name} [SECONDAY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

Configuração em seguida
parameter-map type content-scan global
server scansafe primary {ipv4 | name} [NGT TOWER] port http 8080 https 8080
server scansafe secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

Etapas da alteração de configuração através do CLI

Do CLI no ISR, incorpore estes comandos se você usa endereços IP de Um ou Mais Servidores Cisco ICM NT:

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type content-scan global
CCWS_ISRg2(config)# no server scansafe primary ipv4 [EXISTING PRIMARY PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server scansafe primary ipv4 [NEW PRIMARY NGT PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

Do CLI no ISR, incorpore estes comandos se você usa o FQDN:

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type content-scan global
CCWS_ISRg2(config)# no server scansafe primary name [EXISTING PRIMARY PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server scansafe primary name [NEW PRIMARY NGT PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

Nota: Não mude a chave de licença. Se você deseja a transferir arquivos pela rede uma configuração nova, reenter a chave original.

CLI - Liberações mais tarde do que a liberação 15.4(2)T

Configuração antes
parameter-map type cws global
server cws primary {ipv4 | name} [PRIMARY TOWER] port http 8080 https 8080
server cws secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

Configuração em seguida
parameter-map type cws global
server cws primary {ipv4 | name} [NGT TOWER] port http 8080 https 8080
server cws secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

Etapas da alteração de configuração através do CLI

Do CLI no ISR, incorpore estes comandos se você usa endereços IP de Um ou Mais Servidores Cisco ICM NT:

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type cws global
CCWS_ISRg2(config)# no server cws primary ipv4 [EXISTING PRIMARY PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server cws primary ipv4 [NEW PRIMARY NGT PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

Do CLI no ISR, incorpore estes comandos se você usa o FQDN:

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type cws global
CCWS_ISRg2(config)# no server cws primary name [EXISTING PRIMARY PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server cws primary name [NEW PRIMARY NGT PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

Nota: Não mude a chave de licença. Se você deseja a transferir arquivos pela rede uma configuração nova, reenter a chave original.

A fim impedir no futuro mudanças, recomenda-se usar o FQDN quando você migra a NGT. Leia a próxima seção para etapas para configurar a pesquisa de DNS.

Configurar a pesquisa de DNS

A configuração CWs em um ISR que use o FQDN exige o uso de um server DNS a fim alcançar o proxy CWs pelo Domain Name. Uma vez que a consulta do Domain Name e os server DNS são configurados, o ISR pode resolver o FQDN do proxy.

hostname(config)#ip domain lookup
hostname(config)#ip name-server [ vrf vrf-name ] server-address1
server-address2...server-address6]

WSA como um conector ao CWs

Para Cisco WSA, você precisará de mudar os servidores proxy CWs. Esta configuração substitui o servidor primário com o NGT novo. Isto é terminado de dentro do portal da configuração WSA. As etapas são mostradas nesta seção.

  1. Início de uma sessão ao portal da web WSA. Do menu da rede, escolha o conector da nuvem.

  2. O clique edita ajustes.

  3. Mude o endereço do servidor para refletir a torre nova. Clique em Submit.

  4. O clique compromete mudanças.

  5. Incorpore um comentário (opcional) e comprometa as mudanças ao WSA.

Conector nativo como um conector ao CWs

Para o conector nativo, você precisa de alterar o arquivo “agent.properties” com o NGT preliminar novo. A fim terminar isto, edite diretamente o arquivo para mandar “o proxy preliminar” ser o NGT. Então, reinicie o serviço do conector.

  1. Edite o arquivo “agent.properties”.
    • Para Windows, o arquivo agent.properties é ficado situado no “\ arquivos de programa (diretório de x86)\Connector".
    • Para Linux, o arquivo agent.properties é ficado situado no diretório “/opt/connector/”.

    Configuração antes
    # #############################################################
    # Configure upstream service
    defaultUpstreamPort=8080

    # Primary upstream server
    primaryProxy=[PRIMARY TOWER]
    primaryProxyPort=8080
    primaryProxyType=plain

    secondaryProxy=[SECONDARY TOWER]
    secondaryProxyPort=8080
    secondaryProxyType=plain

    tertiaryProxy=
    tertiaryProxyPort=
    tertiaryProxyType=plain

    # #############################################################

    Configuração em seguida
    # #############################################################
    # Configure upstream service
    defaultUpstreamPort=8080

    # Primary upstream server
    primaryProxy=[NGT TOWER]
    primaryProxyPort=8080
    primaryProxyType=plain

    secondaryProxy=[SECONDARY TOWER]
    secondaryProxyPort=8080
    secondaryProxyType=plain

    tertiaryProxy=
    tertiaryProxyPort=
    tertiaryProxyType=plain

    # #############################################################
  2. Reinicie o serviço.
    • Para Windows, abra Services.msc. Clicar com o botão direito o reinício do clique de Connectorand.

    • Para Linux, incorpore o comando do reinício de /etc/init.d/connector.

O ASA usa o NAT de destino a fim reorientar ao CWs

Isto é somente para o tráfego de HTTP. Um ASA que execute a liberação 8.3 e uma fonte e um NAT de destino mais atrasados dos apoios.

Para o ASA como um conector que use o NAT de destino, use o manual/duas vezes os recursos NAT disponíveis a liberação em 8.3 ASA ou em mais atrasado. Se você usa o NAT de destino a fim enviar o tráfego às torres CWs, você precisa de mudar o endereço IP de Um ou Mais Servidores Cisco ICM NT da torre na declaração NAT.

Na configuração de exemplo, há duas relações no ASA. A saber “interior” (nível de segurança 100) e “parte externa” (nível de segurança 0).

CLI

Configuração antes
! Internal Network
object network cws-protected-network
 subnet 192.168.2.0 255.255.255.0
 
! CWS existing primary tower
object network cws-primary-tower
 host [Primary Tower]
 
! Subnet to define internet
object network Internet
 subnet 0.0.0.0 0.0.0.0
 
! Destination port tcp /8080 
object service proxy-8080
 service tcp destination eq 8080
 
! Destination port tcp /80
object service original-http
 service tcp destination eq www 
 
! Nat statement to send HTTPS traffic to internet and HTTP traffic to
Cloud Web Security tower nat (inside,outside) source dynamic
cws-protected-network interface destination static Internet
cws-primary-tower service original-http proxy-8080

Configuração em seguida
 ! CWS Next Generation Tower
object network cws-ngt-tower
 host [NGT TOWER]

! Subnet to define internet
object network Internet
 subnet 0.0.0.0 0.0.0.0
 
! Destination port tcp /8080 
object service proxy-8080
 service tcp destination eq 8080
 
! Destination port tcp /80
object service original-http
 service tcp destination eq www 
 

! Nat statement to send HTTPS traffic to internet and HTTP traffic to
Cloud Web Security NGT tower nat (inside,outside) source dynamic
cws-protected-network interface destination static Internet
cws-ngt-tower service original-http proxy-8080

Etapas da alteração de configuração através do CLI

Do CLI no ASA, incorpore estes comandos se você usa endereços IP de Um ou Mais Servidores Cisco ICM NT:

CCWS_ASA# configure terminal
CCWS_ASA(conf)#object network cws-ngt-tower
CCWS_ASA(config-network-object)#host [NEW PRIMARY NGT PROXY IP ADDRESS HERE]
CCWS_ASA(config-network-object)#exit

CCWS_ASA(conf)#no nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-primary-tower service original-http proxy-8080


CCWS_ASA(conf)#nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-ngt-tower service original-http proxy-8080

Do CLI no ASA, incorpore estes comandos se você usa o FQDN:

CCWS_ASA# configure terminal
CCWS_ASA(conf)#object network cws-ngt-tower
CCWS_ASA(config-network-object)#fqdn [NEW PRIMARY NGT PROXY FQDN HERE]
CCWS_ASA(conf)#no nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-primary-tower service original-http proxy-8080

CCWS_ASA(conf)#nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-ngt-tower service original-http proxy-8080

ASDM

  1. Incorpore o ASDM e escolha a configuração > o Firewall > os objetos de rede/grupos.
  2. Escolha adicionam > objeto de rede.

     

  3. Incorpore esta informação para a torre NGT:
    • Nome: CWs-ngt-torre
    • Digite: Host/FQDN (dependente de seu ambiente)
    • Versão IP: IPv4
    • Endereço IP de Um ou Mais Servidores Cisco ICM NT /FQDN: FQDN NGT ou endereço IP de Um ou Mais Servidores Cisco ICM NT
    • Descrição: (Opcional)

  4. Clique em OK.
  5. Escolha a configuração > o Firewall > as regras NAT.

  6. Escolha a regra atual NAT e o clique edita.

  7. Edite o campo de endereço de destino.

  8. Escolha o objeto recém-criado da CWs-ngt-torre e clique a APROVAÇÃO.

  9. Aplique a configuração ao ASA.

Solução passiva do Gerenciamento de identidades com CWs

Para o uso do Gerenciamento de identidades passivo (PIM) passa pelo processo de script com integração do ative directory no produto CWs, fazem estas mudanças ao script de logon. (O exemplo abaixo dos usos “PIM-abertos” como o nome do grupo.)

Abra “pim-open.batch” e edite o arquivo de lote. Você pode encontrar o arquivo de lote ficado situado no “<Unidade> \ <Install Directory> \ PIM”. Por exemplo, “C:\PIM\pim - open.batch”.

Configuração antes
C:\PIM\PIM_1.2.3.6.exe /Verbose=Y /IP /Proxy=[PRIMARY TOWER]:8080

Configuração em seguida
C:\PIM\PIM_1.2.3.6.exe /Verbose=Y /IP /Proxy=[NGT TOWER]:8080

Dirija para elevar-se/proxy explícito/configuração hospedada como um método da reorientação ao CWs

Para a conexão direta ao serviço do ajustes do proxy do navegador, as mudanças precisam de ser feitas ao servidor proxy. Os ajustes do proxy podem ser aplicados diretamente ou com um arquivo da configuração automática do proxy (PAC). As alterações para ambos os métodos são esboçadas nesta seção.

Configuração de proxy direta dentro de um navegador

  1. Assegure-se de que as “configurações de LAN” para o valor-limite estejam permitidas de usar um servidor proxy.
  2. Na configuração do “servidor proxy”, mude a torre preliminar IP/FQDN ao NGT IP/FQDN.

Arquivo PAC

Este é um exemplo somente.

Arquivo PAC antes
function FindProxyForURL(url, host) {
// If URL has no dots in domain name, send direct.
if (isPlainHostName(host))
return "DIRECT";
// If URL matches, send direct.
if (shExpMatch(url,"*domain123.com/folder/*"))
return "DIRECT";
// If hostname matches, send direct.
if (dnsDomainIs(host, "vpn.domain.com"))
return "DIRECT";
// If hostname resolves to internal IP, send direct.
var resolved_ip = dnsResolve(host);
if (isInNet(resolved_ip, "10.0.0.0", "255.0.0.0"))
return "DIRECT";
// DEFAULT RULE: All other traffic, use below proxies, in fail-over order.
return "PROXY [PRIMARY TOWER]:8080; PROXY [SECONDARY TOWER]:8080; DIRECT";
}

Arquivo PAC em seguida
function FindProxyForURL(url, host) {
// If URL has no dots in domain name, send direct.
if (isPlainHostName(host))
return "DIRECT";
// If URL matches, send direct.
if (shExpMatch(url,"*domain123.com/folder/*"))
return "DIRECT";
// If hostname matches, send direct.
if (dnsDomainIs(host, "vpn.domain.com"))
return "DIRECT";
// If hostname resolves to internal IP, send direct.
var resolved_ip = dnsResolve(host);
if (isInNet(resolved_ip, "10.0.0.0", "255.0.0.0"))
return "DIRECT";
// DEFAULT RULE: All other traffic, use below proxies, in fail-over order.
return "PROXY [NGT TOWER]:8080; PROXY [SECONDARY TOWER]:8080; DIRECT";
}

Mudanças do Firewall exigidas com uso de EasyID

A configuração de rede recomendada para EasyID é para clientes somente às portas aberta em seus Firewall dos endereços IP de Um ou Mais Servidores Cisco ICM NT específicos do centro de dados CWs alistados no portal para alcançar os server LDAP. Antes da migração a NGTs para preliminar e/ou alternativo/secundário, atualize as regras do Firewall para incluir todos os endereços IP de Um ou Mais Servidores Cisco ICM NT novos NGT.

As torres novas da embaixada serão fornecidas junto com a atribuição NGT. Você precisa de incluir a torre da embaixada NGT na regra de entrada do Access Control List (ACL). O endereço IP de Um ou Mais Servidores Cisco ICM NT da embaixada NGT pode ser encontrado no portal de ScanCenter (reino fácil do Gerenciamento ID).

Access Control List antes
Allow inbound traffic from EXISTING EMBASSY TOWERS to LDAP SERVERS on ports tcp/389
or tcp/636 (if secured LDAP)

Access Control List em seguida
Allow inbound traffic from NEW NGT EMBASSY TOWERS to LDAP SERVERS on ports tcp/389
or tcp/636 (if secured LDAP)

Para a lista actualizado, escolha Scancenter > Admin > autenticação > Gerenciamento.

Nesta seção, o clique edita da “nos reinos ativos autenticação”. Na próxima seção, a lista actualizado de endereços IP de Um ou Mais Servidores Cisco ICM NT é mostrada neste indicador.

 

Uma vez que você tem a lista actualizado de server permitidos, o uso da “conexão verificação” a fim assegurar a Conectividade de todas as torres é bem sucedido e o estado é verde.

Da “a conexão verificação” pôde tomar alguns minutos a fim testar a Conectividade de todas as torres.

Mudanças de configuração de firewall (se for necessário)

Se o ambiente atual do Firewall permite o acesso de entrada e/ou de partida à torre, estas mudanças devem ser feitas para o NGTs.

Todo o ACL que permitir o acesso externo a sua torre atual CWs deve ser alterado a fim permitir o acesso externo a sua torre nova da próxima geração CWs.

Lista de acessos antes

access-list [NAME] extended permit tcp any [TOWER-IP] eq 8080

Lista de acessos em seguida

access-list [NAME] extended permit tcp any [NGT-TOWER-IP] eq 8080

Todo o ACL que permitir o acesso de entrada a sua torre atual CWs deve ser alterado a fim permitir o acesso de entrada de sua torre nova da próxima geração CWs.

Lista de acessos antes

access-list [NAME] extended permit tcp [TOWER-IP] eq 8080 any

Lista de acessos em seguida

access-list [NAME] extended permit tcp [NGT-TOWER-IP] eq 8080 any

Intervalos de endereço IP da saída da torre da próxima geração

Se você precisa de fornecer parceiros de negócios/vendedores externos os intervalos de endereço IP da saída porque precisam de saber onde esperar seu tráfego de, ajustam seus ACL de acordo com esta tabela.

Torre da próxima geração

Intervalos de endereço IP da saída

Londres

108.171.128.160 - 108.171.128.223

Secaucus

108.171.130.160 - 108.171.130.223

Dallas

108.171.132.160 - 108.171.132.223

Sydney

108.171.134.160 - 108.171.134.223

Chicago

108.171.131.160 - 108.171.131.223

Francoforte

108.171.129.160 - 108.171.129.223

Washington DC

108.171.133.160 - 108.171.133.223

San Jose

108.171.135.160 - 108.171.135.223

Sao Paulo

108.171.138.160 - 108.171.138.223

Perguntas mais freqüentes

1. Que é exigido para nosso pedido interno da mudança?

Baseado no método de redirecionamento/desenvolvimento, as alterações de configuração serão exigidas a fim permitir o tráfego ao proxy NGT atribuído a seu local. No script do conector device/PAC/PIM, você precisa de mudar o endereço IP de Um ou Mais Servidores Cisco ICM NT ou o FQDN do proxy preliminar. Cisco não prevê nenhuma exigência do tempo ocioso da máquina. Quando você mudar o proxy preliminar, seu serviço recuará no proxy secundário (se configurado).

2. Se eu experimento quaisquer questões técnica em NGT, eu reverto ao proxy atual?

Abra um pedido do serviço através do centro de assistência técnica da Cisco (TAC). Inclua seu nome da empresa, endereço de proxy do primário atual, endereço de proxy novo NGT, assunto: “Migração NGT” e uma breve descrição da edição.

3. Os clientes receberão um email da notificação na migração ao proxy NGT de Cisco?

Somente os clientes notificados por Cisco devem continuar com a migração. A migração NGT será conduzida nas fases e você será notificado em momento oportuno. Se você não recebe uma notificação de E-mail e acredita que você usa atualmente um proxy preliminar que tem NGT disponível no mesmos país/região, alcance para fora a cws-migrations@cisco.com para a confirmação.

4. Haverá licenciar adicional exigido a fim migrar ao proxy NGT?

Os clientes podem descansar assegurados que não há nenhuma exigência adicional da licença a fim migrar o serviço ao proxy NGT.

5. Eu preciso de mudar a chave de licença e/ou as políticas Center da varredura antes ou depois da migração?

Todas as chaves de licença e políticas permanecem inalteradas no portal do centro da varredura.

6. Eu uso o FQDN para o nome da torre em vez de um endereço IP de Um ou Mais Servidores Cisco ICM NT.  Meu tráfego será enviado automaticamente ao proxy NGT se eu mudo o registro A no DNS ou mim precisa de apontar manualmente ao proxy NGT?

Porque a migração é planejada em uma maneira posta em fase, Cisco terá o primário atual e o proxy NGT atribuído e resolvem a dois endereços IP de Um ou Mais Servidores Cisco ICM NT diferentes. O proxy NGT possui um endereço IP exclusivo; daqui é imperativo para clientes fazer uma alteração manual ao endereço IP de Um ou Mais Servidores Cisco ICM NT FQDN que pertence a NGT.

7. Que mudanças são precisadas em meu Firewall ascendente ou em extremidade ISP?

Se você tem um ACL para o tráfego de saída, permita o tráfego ao destino do NGTs em TCP/8080 (para AnyConnect e fixe o conector que (autônomo) isto igualmente precisará o TCP/443). Veja o endereço IP de Um ou Mais Servidores Cisco ICM NT FQDN atribuído a você no email da migração.

8. Em nossa organização, há as sites múltiplo que usam o CWs com as torres diferentes configuradas. Como eu me assegurarei de que locais precisam de ser migrados?

O serviço de cliente que CWs a equipe lhe fornecerá os proxys novos NGT atribuídos baseou em cada um de seus lugar. Não todos os lugar têm atualmente os proxys NGT disponíveis.

9. Em nossa organização há as sites múltiplo que foram notificadas para ser migradas. É possível migrar nas fases?

Você não tem que migrar todos os locais imediatamente. Contudo, recomenda-se migrar todos os locais durante o indicador pedido da migração.

10. Eu não sou familiar com o desenvolvimento e a configuração CWs. Há uma ferramenta da configuração automática ou da migração de Cisco a ajudar com as mudanças?

Não, Cisco não tem uma ferramenta a ajudar com configuração automática/migração. Há um guia de migração detalhado baseado no método do desenvolvimento usado para ajudar-lhe. Caso que você enfrenta todas as dificuldades, alcance para fora a cws-migration@cisco.com para o auxílio.

11. Se eu tenho um parceiro de negócios/vendedor externo que restrinja o tráfego baseado no endereço IP de Um ou Mais Servidores Cisco ICM NT, que são os intervalos de endereço IP novos da saída NGT?

Torre da próxima geração

Intervalos de endereço IP da saída

Londres

108.171.128.160 - 108.171.128.223

Secaucus

108.171.130.160 - 108.171.130.223

Dallas

108.171.132.160 - 108.171.132.223

Sydney

108.171.134.160 - 108.171.134.223

Chicago

108.171.131.160 - 108.171.131.223

Francoforte

108.171.129.160 - 108.171.129.223

Washington DC

108.171.133.160 - 108.171.133.223

San Jose

108.171.135.160 - 108.171.135.223

Sao Paulo

108.171.138.160 - 108.171.138.223

12. Haverá alguma mudança em como EasyID ou a autenticação do linguagem de marcação da afirmação da Segurança trabalham?

Sim, haverá umas mudanças ao endereço IP de Um ou Mais Servidores Cisco ICM NT de EasyID que precisa de ser permitido de entrada em seus borda/dispositivos de firewall. Você pode ver a lista de endereços IP de Um ou Mais Servidores Cisco ICM NT na seção de EasyID do portal de ScanCenter. Assegure-se de que você permita o acesso de entrada ao server do Lightweight Directory Access Protocol (LDAP) dos endereços IP de Um ou Mais Servidores Cisco ICM NT novos de EasyID nas portas TCP 389/3268 ou TCP 636/3269 (LDAP) nas políticas de firewall.

13. Quanto tempo ocioso da máquina eu preciso de programar para o switchover?

Idealmente, não espere nenhum tempo ocioso da máquina porque você tem sua torre alternativa configurada em seu conector (conector ASA/ISR/WSA/Native). O melhor prática recomendado é executar a migração em tempos do NON-pico ou após horas.

14. Que mudanças eu preciso de fazer na rede a não ser a configuração CWs?

Se você tem os ACL de partida configurados na borda/dispositivos de firewall e/ou no roteamento baseado política, atualize-o com o endereço IP de Um ou Mais Servidores Cisco ICM NT FQDN do proxy NGT atribuído a sua empresa.

15. O relatório quebrará se eu migro a NGT?

Não haverá nenhuma mudança em relatórios programados e salvar no portal de ScanCenter.

16. Que teste de conectividade posso eu executar a fim assegurar o proxy NGT sou alcançável?

Você pode executar TCP PING ou telnet a seu proxy atribuído NGT na porta TCP/8080.

17. Que devo eu verificar a fim se assegurar de que eu migre com sucesso ao proxy NGT?

Consulte a “whoami.scansafe.net” e verifique o “logicalTowerNumber”. o “logicalTowerNumber” deve ser 10000 mais o número do Access point. Por exemplo, se você é atribuído "access66.cws.sco.cisco.com", o logicalTowerNumber é 10066.

18. Eu uso o FQDN do proxy NGT ou o endereço IP de Um ou Mais Servidores Cisco ICM NT?

A fim impedir no futuro mudanças, recomenda-se usar o FQDN quando você migra a NGT.

19. Que tipos das mudanças meus usuários móvéis, que usam o módulo da Segurança da Web de AnyConnect, têm que fazer?

Para usuários no cliente de AnyConnect, NENHUMA MUDANÇA precisa de ser feita para a migração NGT.

20. Eu preciso de mudar minha torre secundária CWs assim como minha torre preliminar quando eu me transporto a NGT?

Sim, as torres preliminares e secundárias devem ser mudadas de acordo com as atribuições dadas.

Problemas de migração

Para todos os problemas de migração NGT, registre um pedido do serviço por qualquens um métodos:

  • Telefone:
    • E.U.: 1(877) 472-2680
    • EMEA: 44(0) 207-034-9400
    • APAC:  (64) 800513572

 

½ do ¿  do ½ o Prï do ¿  do ½ ï do ¿  de Notificaï - ½ o do ¿  do ½ ï do ¿  de MigraïÂ: O na Infraestrutura a Dinamarca Cisco de Melhoramentos nubla-se a Segurança da Web nenhum ½ o Paulo do ¿  de Sï do centro de dados

O parte de Como faz o continuamente Dinamarca Cisco para do compromisso melhorar um ½ o do ¿  do ½ do ¿  de Seguranï dos ofertas dos nossas do qualidade DAS um-como-um-serviïÂ, o atualmente que encontramo-NOS um ½ implementar o Cisco do ¿  do serviï do seu do providencia o do que do infraestrutura na dos veis do ½ do ¿  do considerï dos melhoramentos se nubla o ½ o Paulo do ¿  em Sï da Segurança da Web (anteriormente Scansafe), Brasil.

De forma um aceder um infraestrutura do oada do ½ do ¿  do aperfeiï do esta, como qual de “torre dos referimos no. do ½ do ¿  ï Next Gen” (OU “NGT” do ½ do ¿  do ½ ï do ¿  do geraï de torre de nova o), proxy NGT do novo de para da Segurança da Web da nuvem do ½ o do ¿  do serviï ao do aceder de para do utilizam do atualmente do que de rio do ½ do ¿  do secundï de rio e do ½ do ¿  do primï dos proxys dos do ½ o do ¿  do ½ ï do ¿  do migraï do ½ do ¿  do ¿  ½ o de proceder ï do terï um. Um cio iniciar de fevereiro de 2016 e do ½ do ¿  do inï de para o do marcada do atualmente do ½ do ¿  do estï do ½ o do ¿  do ½ ï do ¿  de para este processo de migraï do prevista dos dados um ½ o de 2016 do ¿  de Marï do ½ 13 do ¿  do atï do completada do ser do colaborador do mesma. ½ do ¿  do prï do desta do envio O - do suficiente facultar do ritmo dos clientes dos nossos aos do objetivo do como do tem do ½ o do ¿  do ½ ï do ¿  do notificaï cios agendar planear do ½ do ¿  de externo/parceiros de negï do cio do ½ do ¿  do negï de para do quer dos internos dos fin de para do quer dos rias do ½ do ¿  do necessï do ½ o do ¿  do ½ ï do ¿  de para e quaisquer janelas de manutenï (¿  ½ ósmio de proxy do endereïÂ) (saída do intervalo).

¿  ½ o de prazo para do extensï do qualquer do facultada do ½ do ¿  do serï do ½ o do ¿  do nï do que do ½ o do ¿  do ½ ï do ¿  do atenï em do tenha do favor de Por um ½ o de 2016 do ¿  do ½ s 13 de Maï do ¿  do apï do ½ o do ¿  do ½ ï do ¿  do migraïÂ. Todas do tomo do que dos agradecemos do que de Pelo como o ria preparar do ½ do ¿  do obrigatï do ½ o do ¿  do ½ ï do ¿  do migraï do esta de para dos rias do ½ do ¿  do necessï dos medidas. Um ½ O. do ¿  de na perda de serviï do ½ do ¿  do resultarï do ½ o do ¿  de Marï do ½ 13 do ¿  do atï do ½ o do ¿  do ½ ï do ¿  do migraï do ½ o do ¿  do nïÂ.

Email do novo do ½ do ¿  de Receberï um nenhuma COM de 2016 do cio do ½ do ¿  do inï um ½ o do ¿  do ½ ï do ¿  do migraï do esta de para do ria do ½ do ¿  do necessï do ½ o do ¿  do ½ ï do ¿  do informaïÂ, especificamente dos do ½ do ¿  do atribuï dos proxys NGT dos dos detalhes ósmio do incluindo um cliente do cada. Entretanto, ½ o Paulo do ¿  de para o DC de Sï da saída dos intervalos dos novos ósmio do ½ do ¿  do jï do desde do ½ o do ¿  do ½ ï do ¿  do consideraï em do tenha do favor do por: 108.171.138.160 - 108.171.138.223. Clientes dos nossos ósmio de Aconselhamos uma saída dos intervalos dos novos dos destes do cio do ½ do ¿  ósmio seus parceiros de negï do ½ do ¿  do jï do desde do informarem.

Visite do favor do por es do ½ do ¿  do ½ ï do ¿  do informaï dos mais do obter do pretenda de Caso um ½ es para do ¿  do ½ ï do ¿  do instruï do ½ do ¿  do encontrarï do onde do ½ o do ¿  do ½ ï do ¿  es para Migraï do ½ do ¿  do ½ ï do ¿  dos frequentes e Instruï dos perguntas de para da Web de Gina do ½ do ¿  do pï do nossa completar um ½ o do ¿  do ½ ï do ¿  do migraïÂ, incluindo modificar como o oada enviar do ½ do ¿  do aperfeiï do infraestrutura do esta de para do rede Dinamarca do fico do ½ do ¿  do trï de Cisco dos equipamentos no. es do ½ do ¿  do ½ ï do ¿  do configuraï dos suas (ASA, ISR, WSA, etc.) para o.

Do parceiro partilhar necessitar de do tica do ½ do ¿  COM o departamento de informï OU do tica do ½ do ¿  COM o seu departamento de informï de do ½ do ¿  do poderï do que do ½ o do ¿  do ½ ï do ¿  do informaï do ½ do ¿  do encontrarï do ½ m do ¿  de Tambï IP tal para NGT do como o novo intervalo de saída um.

Aceda do favor de Por um ½ o do ¿  do ½ ï do ¿  es de Migraï do ½ do ¿  do ½ ï do ¿  de para Perguntas Frequentes e Instruï do link do este

Como o eficiente assegurar para dos simples e do ½ o do ¿  do ½ ï do ¿  do transiï do uma de para dos veis do ½ do ¿  do disponï encontram-SE ósmio a Dinamarca Cisco do ½ do ¿  do ½ o de Serviï do ¿  do ½ ï do ¿  es e Prestaï do ½ do ¿  do ½ ï do ¿  de Operaï dos equipes um infraestrutura da nova. O ½ o do ¿  do ½ ï do ¿  es para Migraï do ½ do ¿  do ½ ï do ¿  de para Perguntas Frequentes e Instruï da Web de Gina do ½ do ¿  do pï do nossa na do encontrem SE do ½ o do ¿  do nï do que es do ½ do ¿  do conexï dos atuais dos suas do ½ o DAS do ¿  do ½ ï do ¿  do migraï do ½ do ¿  do relativamente ï es do ½ do ¿  do questï do existam de Caso, o favor contacte-NOS do por através do ½ s do ¿  do atravï do email faz o ½ o cws-migrations@cisco.com do ¿  do endereïÂ.

IMPORTANTE - FAVOR LEIA POR: ½ do ¿  do ½ o ï do ¿  do nï SE um empresa do sua Dinamarca do nome em es do ½ do ¿  do ½ ï do ¿  do notificaï dos estas do receber do devia do que do pessoa, favor ajude-NOS do por um que assegurar um vel do ½ do ¿  do possï da breve dos mais do ½ o o do ¿  do ½ ï do ¿  do informaï do importante do esta de para do alertada do ½ do ¿  do correta ï do pessoa. O pode do ½ m do ¿  de Tambï atualizar um ½ s do ¿  do atravï do empresa do sua es a Dinamarca do ½ do ¿  do ½ ï do ¿  do notificaï do ¿  ½ ósmio de email para de endereï do lista faz o início de uma sessão portal para do efetuando o de ScanCenter do seu um separador “Admin” do selecionando o e de Gina “Inicio” do ½ do ¿  do pïÂ. O seguida Em, ponteiro passe o faz o selecione de “½ es e Sua Conta” do separador de “do sobre o rato do ¿  do ½ ï do ¿  Notificaï”. A pequena associação do seguida Em nenhum ½ o do ¿  do botï de “o ½ o do ¿  do ½ ï do ¿  do ¿  ½ es de atualizaï do ½ ï do ¿  do configuraï Gerenciar faz o ½ o” e assegure-perito em software de que que do ¿  do serviï um selecionada do ½ do ¿  do estï do ½  ¿ serviï o do ½ o do ¿  do ½ ï do ¿  de verificaï do caixa de “o ½ o do ¿  do ½ ï do ¿  Enviar email de atualizaï faz”. ½ do ¿  do passarï do esta e do ½  ¿ serviï o de do lado de na caixa de texto ao do correta do pessoa do ¿  ½ o de email a Dinamarca do endereï do adicione o FIM de Por de “o ½ o do ¿  do ½ ï do ¿  Enviar email de atualizaï faz” um ½ O. do ¿  do ½ ï do ¿  de manutenï dos trabalhos do ¿  ½ es de incidentes e do ½ ï do ¿  do notificaï do receber.

Cumprimentos dos melhores ósmio COM,

Um ósmio do ½ do ¿  do ½ o de Serviï do ¿  do ½ ï do ¿  es e Prestaï do ½ do ¿  do ½ ï do ¿  de Cisco de Operaï do equipe

 

½ n do ¿  do ½ n PRE-migraciï do ¿  de NotificaciïÂ: En Sao Paulo DC da Segurança da Web de Cisco Nuvem do infraestructura do la en de Mejoras (CWs)

Ofertas mejorar de Segurança-como-um-Serviço de la calidad de nuestras do continuamente de Como parte del compromiso de Cisco de, en Sao Paulo da Segurança da Web de Cisco Nuvem do servicio EL do ofrece do que do infraestructura do la en dos significativas dos mejoras do realizando dos estamos (anteriormente ScanSafe), Brasil.

Acceder de Para um infraestructura mejorada do esta, um como de “torre dos referimos no. do que do la Next Gen” (½ do ¿  do generaciï de Torre de nueva n) o “NGT”, migrados alternativos do ser do que do ½ n do ¿  do tendrï da Segurança da Web de Cisco Nuvem do servicio do al dos asignados do primario y dos proxys dos actuales do sus um ¿  ½ n de proxys de NGT do asignaciï do nueva do una. Del 13 de marzo de 2016 das apostas do completada do ser do debe do ½ n do ¿  do migraciï do la de para principios de febrero de 2016 y do planeada do actualmente do ½ do ¿  do estï do ½ n NGT do ¿  do migraciï do esta de fecha de inicio de do La. Do suficiente proporcionar do tiempo EL dos clientes dos nuestros do ½ n para do ¿  do notificaciï do esta do ½ n do ¿  do antelaciï do engodo do enviando de Estamos necesarias programar planificar de para y las ventanas de um cambio, engodo sus socios de negocios dos internos dos sitos do ½ do ¿  do propï do engodo do mar do ya (proxys) de cambio de direcciones do/externos dos comerciales (blica do ½ do ¿  do pï de IP dos rangos).

Que do cuenta en do tenga do favor de Por nenhum del 13 de marzo de 2016 do ½ do ¿  do allï do ½ s do ¿  do mï do ½ n do ¿  do ¿  ½ n de migraciï do extensiï do ninguna do ½ do ¿  do proporcionarï SE. Tanto do lo de Por, favor do por, obligatorio do cambio do ximo do ½ do ¿  do prï do este de para do prepararse de para dos necesarias dos medidas dos las do tomo. Si nenhum ½ migrar do ¿  do traducirï EL 13 de marzo perito em software de para do pudiera um ¿  ½ rdida del servicio do pï do una en.

½ Nico do ¿  do electrï do correo do otro do ½ do ¿  do recibirï de Usted um ¿  ½ ficas de proxys NGT do especï dos asignaciones do sus do incluyendo do ½ n do ¿  do migraciï do esta de para do necesaria do ½ n do ¿  do informaciï do la do engodo de 2016 dos principios. Tanto de Mientras, favor do por, salida de Sao Paulo DC es de IP de do rango do nuevo EL do que do cuenta en do tenga: 108.171.138.160 - 108.171.138.223. Animamos clientes dos nuestros externos notificar dos socios de um sus, ½ n do ¿  do antelaciï do engodo um ½ n do ¿  do migraciï do la, brevedad do prefeito do la do engodo do adicional de salida do rango de este posible.

½ n do ¿  do informaciï do ½ s do ¿  do mï do obtener do desea do si, migraciones dos las de para dos instrucciones dos frecuentes e do ¿  ½ Gina de preguntas do pï do nuestra do visite, ½ n do ¿  do migraciï do la de para dos instrucciones dos las do ½ do ¿  do encontrarï do donde, vermelho enviar de do fico do ½ do ¿  do trï EL de Cisco dos dispositivos do ¿  ½ n de las configuraciones en do modificaciï do la do incluyendo (ASA, ISR, WSA, etc.) para mejoradas dos infraestructuras dos nuevas dos estas (NGT). IP de salida para NGT EL nuevo rango de direcciones do como dos socios do sus do engodo da TI o do departamento SU do engodo do compartir do que do tenga do que do puede do que do ½ n do ¿  do informaciï do ½ do ¿  do encontrarï do ½ n do ¿  do tambiï de Usted.

½ n do ¿  de para Preguntas Frecuentes e Instrucciones de Migraciï do ½ do ¿  do aquï do clic de Haga

Mejoradas asegurar dos infraestructuras dos nuevas dos las do hacia do eficaz do sencilla y do ½ n do ¿  do transiciï do una de para dos disponibles do ½ n do ¿  do estï de Cisco de Operaciones y Despliegue del Servicio dos equipos Los. Que usted si dos actuales dos conexiones do ¿  ½ n de sus de pregunta acerca de la migraciï do alguna do tiene nenhuns frecuentes dos preguntas dos las en do ½ do ¿  do respondiï SE, ½ Nico cws-migrations@cisco.com do ¿  do electrï do correo EL do usando dos nosotros do engodo do contato en do ngase do ½ do ¿  do pï do favor do por.

IMPORTANTE - PASTO DO FAVOR POR: O si não usted nenhum empresa de SU do nombre en dos notificaciones dos estas do recibir do debe do que da personalidade do la es, favor do por, denos do ½ do ¿  do ayï um brevedad responsável do prefeito do la en do ½ n do ¿  do informaciï do importante do esta do obtenga da personalidade asegurar do la do que posible. Do desde actualizar do empresa do ½ n de SU do ¿  do ¿  ½ n de notificaciï do ¿  ½ n de suscripciï do configuraciï do la do puede do ½ n do ¿  de Tambiï ½ “home” portal do ¿  do pestaï do la do seleccionando y de Gina de do ½ do ¿  do pï do la en do ingresando SU ScanCenter umAdmin”. Um ½ n do ¿  do continuaciïÂ, ½ do ¿  do pestaï do la do sobre do ½ n do ¿  de EL puntero del ratï do coloque da “um seleccione “Notificacions” y minha conta”. Um ½ n do ¿  do continuaciïÂ, marcada do ½ que do ¿  do estï dos email da atualização do serviço do ½ n do ¿  do ½ n do ¿  do botï EL en do clic do haga “controla o la” rese “casilla de verificaciï de que do ½ do ¿  do asegï y dos ajustes da atualização do serviço envie”. O ltimo do ½ do ¿  de Por ïÂ, junto agregar en EL cuadro de texto do responsável do ¿  ½ Nico de la personalidade do electrï do ¿  ½ n de correo do direcciï do la “envia trabajos de mantenimiento de futuro de incidentes um y do al do ¿  ½ notificaciones de cara do recibirï do sta do ½ do ¿  y ï dos email da atualização do serviço”.

Saludo cordial Un,

Os equipos de Operaciones y Despliegue del Servicio de Cisco Los nublam-se a Segurança da Web

Informações Relacionadas



Document ID: 118478