Sécurité : Dispositifs de sécurité Web Cisco IronPort

Échantillonnez la configuration transparente de redirection utilisant le WCCP pour réorienter le trafic FTP indigène

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Contenu

Contribué par Tim Davidson et Siddharth Rajpathak, ingénieurs TAC Cisco.

Question :

Comment configurer WSA/routeur de Cisco pour prendre en charge la redirection transparente du HTTP, du HTTPS et du trafic FTP indigène utilisant le WCCP ?

Environnement :  Appliance de sécurité Web de Cisco exécutant la version 6.0 ou plus récentes d'AsyncOS, le proxy indigène de FTP activé sur WSA, le routeur WCCPv2 Cisco/commutateur ou le Pare-feu compatible ASA

Solution :

Quand le trafic FTP indigène est réorientez d'une manière transparente à WSA, WSA recevra typiquement le trafic sur le port standard 21 de FTP. Par conséquent, le proxy indigène de FTP sur WSA devrait écouter sur le port 21 (par défaut le proxy indigène de FTP est 8021).

  • Vous pouvez vérifier ceci sous GUI > Services de sécurité > proxy de FTP

Veuillez suivre les étapes ci-dessous pour configurer

Config WSA

  1. Créez une identité pour le trafic FTP (sous GUI gestionnaireidentités de sécurité Web). Veuillez s'assurer que l'authentification a été désactivée pour cet ID.
  2. Créez une stratégie d'accès (sous GUI gestionnaire de sécurité Web stratégies d'Access) qui met en référence l'identité ci-dessus
  3. Sous des paramètres de proxy de FTP, modifiez les ports passifs de FTP pour être 11000-11006 (pour assurer à cela tous les ports insérés dans un groupe à usage unique)
  4. Créez l'id de service suivant WCCP.

    Ports de service de nom
    Web-cache 0 80 (alternativement nous pouvons utiliser le coutume-Web-cache 98 si utilisant le multiple WSA)
    60 21,11000,11001,11002,11003,11004,11005,11006 FTP-indigènes
    https-cache 80 443

Les exemples suivants réorientent trois sous-réseaux internes tout en sautant la redirection WCCP pour toutes les destinations en privé adressées aussi bien qu'un hôte interne simple.

Config de l'échantillon ASA

group_acl de groupe-liste de Web-cache de réorienter-liste de Web-cache de wccp
group_acl FTP-indigène de groupe-liste de réorienter-liste du wccp 60
group_acl de groupe-liste de https-cache de réorienter-liste du wccp 80

l'interface de wccp à l'intérieur du Web-cache réorientent dedans
l'interface 60 intérieurs de wccp réorientent dedans       
l'interface 80 intérieurs de wccp réorientent dedans

hôte 10.1.1.160 d'IP d'autorisation étendu par group_acl de liste d'accès

étendus FTP-indigènes de liste d'accès refusent à IP tout 10.0.0.0 255.0.0.0
étendus FTP-indigènes de liste d'accès refusent à IP tout 172.16.0.0 255.240.0.0
étendus FTP-indigènes de liste d'accès refusent à IP tout 192.168.0.0 255.255.0.0
étendus FTP-indigènes de liste d'accès en refusent l'hôte 192.168.42.120 d'IP
TCP étendu FTP-indigène 192.168.42.0 255.255.255.0 d'autorisation de liste d'accès tout FTP d'eq
le TCP étendu FTP-indigène 192.168.42.0 255.255.255.0 d'autorisation de liste d'accès s'en étendent 11000 11006
TCP étendu FTP-indigène 192.168.99.0 255.255.255.0 d'autorisation de liste d'accès tout FTP d'eq
le TCP étendu FTP-indigène 192.168.99.0 255.255.255.0 d'autorisation de liste d'accès s'en étendent 11000 11006
TCP étendu FTP-indigène 192.168.100.0 255.255.255.0 d'autorisation de liste d'accès tout FTP d'eq
le TCP étendu FTP-indigène 192.168.100.0 255.255.255.0 d'autorisation de liste d'accès s'en étendent 11000 11006

le https-cache de liste d'accès étendu refusent à IP tout 10.0.0.0 255.0.0.0
le https-cache de liste d'accès étendu refusent à IP tout 172.16.0.0 255.240.0.0
le https-cache de liste d'accès étendu refusent à IP tout 192.168.0.0 255.255.0.0
le https-cache de liste d'accès étendu en refusent l'hôte 192.168.42.120 d'IP
le https-cache de liste d'accès a étendu le TCP 192.168.42.0 255.255.255.0 d'autorisation tous les https d'eq
le https-cache de liste d'accès a étendu le TCP 192.168.99.0 255.255.255.0 d'autorisation tous les https d'eq
le https-cache de liste d'accès a étendu le TCP 192.168.100.0 255.255.255.0 d'autorisation tous les https d'eq

le Web-cache de liste d'accès étendu refusent à IP tout 10.0.0.0 255.0.0.0
le Web-cache de liste d'accès étendu refusent à IP tout 172.16.0.0 255.240.0.0
le Web-cache de liste d'accès étendu refusent à IP tout 192.168.0.0 255.255.0.0
le Web-cache de liste d'accès étendu en refusent l'hôte 192.168.42.120 d'IP
le Web-cache de liste d'accès a étendu le TCP 192.168.42.0 255.255.255.0 d'autorisation tout eq WWW
le Web-cache de liste d'accès a étendu le TCP 192.168.99.0 255.255.255.0 d'autorisation tout eq WWW
le Web-cache de liste d'accès a étendu le TCP 192.168.100.0 255.255.255.0 d'autorisation tout eq WWW

Échantillonnez le config de commutateur (c3560) (devrait travailler à la plupart des Routeurs trop)

group_acl de groupe-liste de Web-cache de réorienter-liste de Web-cache d'ip wccp
group_acl FTP-indigène de groupe-liste de réorienter-liste de l'ip wccp 60
group_acl de groupe-liste de https-cache de réorienter-liste de l'ip wccp 80

interface Vlan99
IP address 192.168.99.1 255.255.255.0
le Web-cache d'ip wccp réorientent dedans
l'ip wccp 60 réorientent dedans
l'ip wccp 80 réorientent dedans

interface Vlan100
IP address 192.168.100.1 255.255.255.0
le Web-cache d'ip wccp réorientent dedans
l'ip wccp 60 réorientent dedans
l'ip wccp 80 réorientent dedans

interface Vlan420
IP address 192.168.42.1 255.255.255.0
helper-address 192.168.100.20 d'IP
le Web-cache d'ip wccp réorientent dedans
l'ip wccp 60 réorientent dedans
l'ip wccp 80 réorientent dedans

FTP-indigène étendu d'ip access-list
refusez à IP tout 10.0.0.0 0.255.255.255
refusez à IP tout 172.16.0.0 0.15.255.255
refusez à IP tout 192.168.0.0 0.0.255.255
en refusez l'hôte 192.168.42.120 d'IP
TCP 192.168.42.0 0.0.0.255 d'autorisation tout FTP d'eq
permettez à TCP 192.168.42.0 0.0.0.255 n'importe quelle plage 11000 11006
TCP 192.168.99.0 0.0.0.255 d'autorisation tout FTP d'eq
permettez à TCP 192.168.99.0 0.0.0.255 n'importe quelle plage 11000 11006
TCP 192.168.100.0 0.0.0.255 d'autorisation tout FTP d'eq
permettez à TCP 192.168.100.0 0.0.0.255 n'importe quelle plage 11000 11006

https-cache étendu d'ip access-list
refusez à IP tout 10.0.0.0 0.255.255.255
refusez à IP tout 172.16.0.0 0.15.255.255
refusez à IP tout 192.168.0.0 0.0.255.255
en refusez l'hôte 192.168.42.120 d'IP
TCP 192.168.42.0 0.0.0.255 d'autorisation tout eq 443
TCP 192.168.99.0 0.0.0.255 d'autorisation tout eq 443
TCP 192.168.100.0 0.0.0.255 d'autorisation tout eq 443

Web-cache étendu d'ip access-list
refusez à IP tout 10.0.0.0 0.255.255.255
refusez à IP tout 172.16.0.0 0.15.255.255
refusez à IP tout 192.168.0.0 0.0.255.255
en refusez l'hôte 192.168.42.120 d'IP
TCP 192.168.42.0 0.0.0.255 d'autorisation tout eq WWW
TCP 192.168.99.0 0.0.0.255 d'autorisation tout eq WWW
TCP 192.168.100.0 0.0.0.255 d'autorisation tout eq WWW

group_acl de norme d'ip access-list
autorisation 10.1.1.160


Notez s'il vous plaît : En raison de la limite de technologie WCCP, un maximum de 8 ports peut être assigné par identification de service WCCP.


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118157