Sécurité : Dispositifs de sécurité Web Cisco IronPort

WSA WCCP pour l'exemple de configuration ASA

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit comment configurer le Web Cache Communication Protocol (WCCP) pour l'appliance de sécurité adaptable Cisco (ASA) par l'appliance de sécurité Web de Cisco (WSA).

Contribué par Vladimir Sousa et Zack Shaikh, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Cisco WSA
  • Cisco ASA
  • WCCP
  • Déploiements transparents de proxy

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Version 7.x de Cisco WSA
  • Version 8.x de Cisco ASA

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Configurez

Employez cette section afin de configurer le WCCP pour l'ASA.

Aperçu de configuration

Ce sont les commandes qui sont sélectionnées sur le WSA afin de configurer le WCCP pour l'ASA :

hostname(config)# wccp {web-cache | service_number} [redirect-list access_list]
 [group-list access_list] [password password] 


hostname(config)# wccp interface interface_name {web-cache | service_number}
 redirect in

Ce sont les descriptions d'entrée pour cette commande :

  • service-nombre : C'est un indentifiant de service dynamique, ainsi il signifie que la définition de service est dictée par le cache. Le nombre dynamique de service peut s'étendre de 0 à 255. Le nombre maximal permis est 256, qui inclut le service de Web-cache qui est spécifié avec le mot clé de Web-cache.

  • réorienter-liste : C'est une entrée facultative. Il est utilisé avec une liste d'accès qui contrôle le trafic qui est réorienté à ce groupe de service. L'argument de liste d'accès est une chaîne de pas plus de 64 caractères (nom ou nombre) qui spécifie la liste d'accès.

    Remarque: Les versions de logiciel 8.1 ASA et plus tôt ne reçoivent pas le port de TCP dans la réorienter-liste ; seulement des adresses réseau peuvent être utilisées.

  • groupe-liste : C'est une entrée de liste d'accès facultative qui détermine les caches de Web qui sont permis pour participer au groupe de service. L'argument de liste d'accès est une chaîne de pas plus de 64 caractères (nom ou nombre) qui spécifie la liste d'accès.

  • mot de passe : C'est une entrée facultative qui spécifie l'authentification de Message Digest 5 (MD5) pour les messages qui sont reçus du groupe de service. Les messages qui ne sont pas reçus par l'authentification sont jetés.

Remarque: Le service standard est le Web-cache (ID de service 0), qui intercepte seulement le trafic du port TCP 80 (HTTP). Pour tous les autres services personnalisés, Cisco recommande que vous utilisiez un ID de service entre 90 et 97.

Exemple de configuration

Terminez-vous ces étapes afin de configurer le WCCP pour l'ASA par l'intermédiaire du WSA :

  1. Sélectionnez cette commande afin d'utiliser le Web-cache par défaut de groupe de service :

    wccp web-cache
    wccp interface inside web-cache redirect in
  2. Sélectionnez cette commande afin d'utiliser une identification groupe dynamique de service pour la redirection du trafic de HTTP et HTTPS :

    wccp 90 redirect-list wccp-hosts group-list wccp-routers
  3. Sélectionnez cette commande afin d'utiliser la Sécurité WCCP :

    wccp 90 redirect-list wccp-hosts group-list wccp-routers password securewccp
  4. La liste d'accès peut être configurée de sorte qu'elle refuse le trafic qui est envoyé à l'ASA comme adresse IP de destination et le réoriente au WSA. C'est particulièrement utile quand l'ASA est configurée afin de réorienter le trafic à plusieurs WSAs. Par exemple, le WSAs pourrait être assigné ces adresses IP :

    • Adresse IP WSA1 = 10.0.0.1
    • Adresse IP WSA2 = 10.0.0.2

    Sélectionnez ces commandes afin de configurer la liste d'accès pour refuser le trafic :

    access-list wccp-hosts extended deny tcp any host 10.0.0.1
    access-list wccp-hosts extended deny tcp any host 10.0.0.2
  5. Sélectionnez cette commande afin de permettre le trafic http à réorienter :

    access-list wccp-hosts extended  permit tcp any any eq www
  6. Sélectionnez cette commande afin de permettre le trafic HTTPS à réorienter :

    access-list wccp-hosts extended  permit tcp any any eq https
  7. Sélectionnez ces commandes afin de définir le WSAs qui sont permises pour participer à la transmission WCCP :

    access-list wccp-routers standard permit host 10.0.0.1
    access-list wccp-routers standard permit host 10.0.0.2
  8. Si la commande de réorienter-liste n'est pas reçue, alors une liste d'accès étendue pourrait être nécessaire. Sélectionnez ces commandes afin de configurer la liste d'accès étendue :

    access-list wccp-routers extended permit ip host 10.0.0.1 any
    access-list wccp-routers extended permit ip host 10.0.0.2 any
  9. Sélectionnez cette commande afin d'appliquer la configuration :

    wccp interface inside 90 redirect in

Vérifiez

Afin d'afficher les statistiques globales qui sont liés au WCCP, sélectionnez la commande de wccp d'exposition dans le mode d'exécution privilégié :

show wccp {web-cache | service-number}[detail | view]
show run | inc wccp

Remarque: Le type de trafic (HTTP, HTTPS, FTP) qui est réorienté est défini par la configuration WSA WCCP. L'ASA peut seulement filtrer le trafic redirigé avec l'utilisation de la réorienter-liste.

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Informations connexes



Document ID: 117810