Sécurité : Cisco ScanSafe Cloud Web Security

Étapes et Foires aux questions de transfert de sécurité Web de nuage pour des towers de nouvelle génération

16 janvier 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (5 janvier 2016) | Commentaires

Contenu

Conversations connexes de la communauté de soutien de Cisco

Introduction

Ce document contient une fin d'annonce de service et décrit des modifications de configuration pour la sécurité Web de nuage de Cisco (CWS). Cisco CWS est en cours d'améliorer son architecture en cours de nuage afin de répondre aux besoins de clients. Ce n'est pas simplement de prendre en charge la feuille de route de caractéristique, mais d'améliorer également l'échelle et la Haute disponibilité de la solution globale.

En tant qu'élément de l'engagement de Cisco pour améliorer continuellement la qualité de nos offres de comme-un-service de Sécurité, Cisco demande que vous vous déplacez à un proxy de remplacement ainsi la plate-forme en cours peut être retirée. C'est un processus obligatoire qui s'assurera que Cisco CWS peut convenablement entretenir ses clients. Votre proxy en cours sera retiré bientôt (voyez la table dans « fin existante de towers CWS la section de service d'annonce » pendant des dates). Assurez-vous que vous suivez les instructions dans ce document afin de configurer l'accès au tower de nouvelle génération (NGT). Rendez-vous compte que si vous manquez cette date vous risquez la perte d'accès aux services. Cisco apprécie que ceci exige le temps et l'effort sur votre partie et évalue votre assistance afin de réaliser cette amélioration à notre service.

Contribué par des ingénieurs de Cisco.

Fin existante de towers CWS d'annonce de service

Cisco annonce les dates fin- service pour chacun des towers existants répertoriés dans cette table. Le dernier jour à migrer pour chaque tower existant est répertorié. Après cette date le service CWS ne sera plus fourni par ce tower. Il est obligatoire que les clients affectés migrent vers la sécurité Web NGT de nuage de Cisco afin d'éviter l'interruption de service.

Tower affectéDétailsLa date passée du serviceTower de rechangeDétails
Sydney (SYD2)

Proxy moyenne tour de Cisco CWS

Format :
(= nombre)

15ème En mai 2015Sydney (SYD3)Proxy de Cisco CWS NGT (tower de nouvelle génération).
Format : access7XX.cws.sco.cisco.com
(XX = nombre)
Dallas (DAL1)

Proxy moyenne tour de Cisco CWS

Format :
(= nombre)

15ème En mai 2015Dallas (DAL1)Proxy de Cisco CWS NGT (tower de nouvelle génération).
Format : access3XX.cws.sco.cisco.com
(XX = nombre)
Francfort (FRA1 et FRA2)

Proxy moyenne tour de Cisco CWS

Format :
(= nombre)

30ème En juin 2015Francfort (FRA2)Proxy de Cisco CWS NGT (tower de nouvelle génération).
Format : access5XX.cws.sco.cisco.com
(XX = nombre)
Chicago (CHI1)

Proxy moyenne tour de Cisco CWS

Format :
(= nombre)

31ème En août 2015Chicago (CHI2)Proxy de Cisco CWS NGT (tower de nouvelle génération).
Format : access4XX.cws.sco.cisco.com
(XX = nombre)
Secaucus (SCS1 et SCS2)

Proxy moyenne tour de Cisco CWS

Format :
(= nombre)

31ème En août 2015Secaucus (SCS2)Proxy de Cisco CWS NGT (tower de nouvelle génération).
Format : access2XX.cws.sco.cisco.com
(XX = nombre)
Londres (LON4)

Proxy moyenne tour de Cisco CWS

Format :
(= nombre)

31ème En août 2015Londres (LON5)Proxy de Cisco CWS NGT (tower de nouvelle génération).
Format : access0XX.cws.sco.cisco.com
(XX = nombre)
San Jose (SJL1)

Proxy moyenne tour de Cisco CWS

Format :
(= nombre)

31ème En août 2015San Jose (SJL1)Proxy de Cisco CWS NGT (tower de nouvelle génération).
Format : access8XX.cws.sco.cisco.com
(XX = nombre)
Sao Paulo (SAO1)

Proxy moyenne tour de Cisco CWS

Format :
(= nombre)

13ème En mars 2016Sao Paulo (SAO2)Proxy de Cisco CWS NGT (tower de nouvelle génération).
Format : access12XX.cws.sco.cisco.com
(XX = nombre)

Modifications de configuration CWS

Personne à charge sur laquelle la méthode de connexion que vous utilisez pour le service CWS, votre configuration devra être modifiée afin d'assurer la connexion correcte au NGT. Ce guide trace les grandes lignes des modifications appropriées pour faire pour chacun de ces connecteurs.

ASA comme connecteur à CWS

Pour le connecteur ASA, vous devez changer les options de ScanSafe dans la configuration. La configuration remplace le tower primaire en cours par le nouveau NGT. Ceci peut être fait du CLI ou de l'interface d'Adaptive Security Device Manager (ASDM). Les étapes sont fournies dans cette section.

CLI

Configuration avant
scansafe general-options
server primary {ip | fqdn} [PRIMARY TOWER] port 8080
server backup {ip | fqdn } [SECONDARY TOWER] port 8080
retry-count 5
license [AUTH KEY HERE]

Configuration ensuite
scansafe general-options
server primary {ip | fqdn} [NGT TOWER] port 8080
server backup {ip | fqdn} SECONDARY TOWER] port 8080
retry-count 5
license [AUTH KEY HERE]

Remarque: Ne changez pas la clé de licence. Si vous souhaitez télécharger une nouvelle configuration, ressaisissez la clé d'origine. La clé peut être cherchée de l'ASA avec plus de système : running-config | incluez la commande de permis.

Étapes de modification de configuration par l'intermédiaire du CLI

Du CLI sur l'ASA, sélectionnez ces commandes si vous utilisez des adresses IP :

CCWS_ASA# configure terminal
CCWS_ASA(config)# scansafe general-options
CCWS_ASA(config)# no server primary ip [EXISTING PRIMARY PROXY IP HERE] port 8080
CCWS_ASA(config)# server primary ip [NEW PRIMARY NGT PROXY IP HERE] port 8080
CCWS_ASA(config)# exit
CCWS_ASA(config)# write memory

Du CLI sur l'ASA, sélectionnez ces commandes si vous utilisez le nom de domaine complet (FQDN) :

CCWS_ASA# configure terminal
CCWS_ASA(config)# scansafe general-options
CCWS_ASA(config)# no server primary fqdn [EXISTING PRIMARY PROXY FQDN HERE] port 8080
CCWS_ASA(config)# server primary fqdn [NEW PRIMARY NGT PROXY FQDN HERE] port 8080
CCWS_ASA(config)# exit
CCWS_ASA(config)# write memory

ASDM

  1. Du périphérique par l'intermédiaire de l'ASDM, choisissez la configuration > la Gestion de périphériques.
    • Pour le contexte unique, choisissez la sécurité Web de nuage du panneau gauche.
    • Pour le multi-contexte, entrez le contexte de système et puis choisissez la sécurité Web de nuage du panneau gauche.
  2. Dans le serveur primaire et les domaines de sauvegarde d'adresse IP du serveur/nom de domaine, écrivez l'adresse IP NGT ou le FQDN et cliquez sur Apply.

  3. Du menu File, choisissez la configuration en cours de sauvegarde pour flasher.

Défaut relatif

ID de bogue Cisco CSCuj86222 - L'ASA relâche des segments de TCP d'OoO quand Proxying Conns pour la redirection de ScanSafe

Remarque: Si vous exécutez une release affectée connue, Cisco recommande que vous amélioriez à une release avec ce défaut réparé.

Afin d'empêcher des modifications à l'avenir, il est recommandé pour utiliser le FQDN quand vous migrez vers NGT. Lisez cette section pour des étapes pour configurer la consultation de DN.

Configurez la consultation de DN

La configuration CWS sur une ASA qui utilise le FQDN exige de l'utilisation des serveurs de DN afin d'accéder au proxy CWS par le nom de domaine. Une fois que la consultation de Domain Name et le serveur de DN est configurée, l'ASA peut résoudre le FQDN de proxy. Assurez-vous que vous configurez le routage approprié pour n'importe quelle interface sur laquelle vous activez la consultation de domaine de DN ainsi vous pouvez atteindre le serveur DNS.

CLI
hostname(config)# dns domain-lookup interface_name
hostname(config)# dns server-group DefaultDNS
hostname(config-dns-server-group)# name-server ip_address [ip_address2]..[ip_address6]

ASDM

ISR G2 comme connecteur à CWS

Pour l'ISR G2 de Cisco, vous devrez changer la carte de paramètre de « contenu-balayage ». La configuration remplace le serveur primaire en cours de ScanSafe par le nouveau NGT. Les étapes sont affichées dans cette section.

CLI - Releases plus tôt que la release 15.4(2)T

Configuration avant
parameter-map type content-scan global
server scansafe primary {ipv4 | name} [PRIMARY TOWER] port http 8080 https 8080
server scansafe secondary {ipv4 | name} [SECONDAY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

Configuration ensuite
parameter-map type content-scan global
server scansafe primary {ipv4 | name} [NGT TOWER] port http 8080 https 8080
server scansafe secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

Étapes de modification de configuration par l'intermédiaire du CLI

Du CLI sur l'ISR, sélectionnez ces commandes si vous utilisez des adresses IP :

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type content-scan global
CCWS_ISRg2(config)# no server scansafe primary ipv4 [EXISTING PRIMARY PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server scansafe primary ipv4 [NEW PRIMARY NGT PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

Du CLI sur l'ISR, sélectionnez ces commandes si vous utilisez le FQDN :

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type content-scan global
CCWS_ISRg2(config)# no server scansafe primary name [EXISTING PRIMARY PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server scansafe primary name [NEW PRIMARY NGT PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

Remarque: Ne changez pas la clé de licence. Si vous souhaitez à télécharger une nouvelle configuration, ressaisissez la clé d'origine.

CLI - Releases plus tard que la release 15.4(2)T

Configuration avant
parameter-map type cws global
server cws primary {ipv4 | name} [PRIMARY TOWER] port http 8080 https 8080
server cws secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

Configuration ensuite
parameter-map type cws global
server cws primary {ipv4 | name} [NGT TOWER] port http 8080 https 8080
server cws secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

Étapes de modification de configuration par l'intermédiaire du CLI

Du CLI sur l'ISR, sélectionnez ces commandes si vous utilisez des adresses IP :

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type cws global
CCWS_ISRg2(config)# no server cws primary ipv4 [EXISTING PRIMARY PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server cws primary ipv4 [NEW PRIMARY NGT PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

Du CLI sur l'ISR, sélectionnez ces commandes si vous utilisez le FQDN :

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type cws global
CCWS_ISRg2(config)# no server cws primary name [EXISTING PRIMARY PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server cws primary name [NEW PRIMARY NGT PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

Remarque: Ne changez pas la clé de licence. Si vous souhaitez à télécharger une nouvelle configuration, ressaisissez la clé d'origine.

Afin d'empêcher des modifications à l'avenir, il est recommandé pour utiliser le FQDN quand vous migrez vers NGT. Lisez la section suivante pour des étapes pour configurer la consultation de DN.

Configurez la consultation de DN

La configuration CWS sur un ISR qui utilise le FQDN exige de l'utilisation d'un serveur de DN afin d'accéder au proxy CWS par le nom de domaine. Une fois que la consultation de Domain Name et les serveurs de DN sont configurés, l'ISR peut résoudre le FQDN de proxy.

hostname(config)#ip domain lookup
hostname(config)#ip name-server [ vrf vrf-name ] server-address1
server-address2...server-address6]

WSA comme connecteur à CWS

Pour Cisco WSA, vous devrez changer les serveurs proxys CWS. Cette configuration remplace le serveur primaire par le nouveau NGT. Ceci est terminé du portail de configuration WSA. Les étapes sont affichées dans cette section.

  1. Procédure de connexion au portail web WSA. Du menu de réseau, choisissez le connecteur de nuage.

  2. Cliquez sur Edit les configurations.

  3. Changez l'adresse du serveur pour refléter le nouveau tower. Cliquez sur Submit.

  4. Modifications de validation de clic.

  5. Écrivez un commentaire (facultatif) et commettez les modifications au WSA.

Connecteur indigène comme connecteur à CWS

Pour le connecteur indigène, vous devez modifier le fichier « agent.properties » avec le nouveau NGT primaire. Afin de se terminer ceci, éditez directement le fichier pour faire être « le proxy primaire » le NGT. Puis, redémarrez le service de connecteur.

  1. Éditez le fichier « agent.properties ».
    • Pour Windows, le fichier agent.properties se trouve dans « \ fichiers de programme (répertoire de x86)\Connector".
    • Pour le Linux, le fichier agent.properties se trouve dans le répertoire « /opt/connector/ ».

    Configuration avant
    # #############################################################
    # Configure upstream service
    defaultUpstreamPort=8080

    # Primary upstream server
    primaryProxy=[PRIMARY TOWER]
    primaryProxyPort=8080
    primaryProxyType=plain

    secondaryProxy=[SECONDARY TOWER]
    secondaryProxyPort=8080
    secondaryProxyType=plain

    tertiaryProxy=
    tertiaryProxyPort=
    tertiaryProxyType=plain

    # #############################################################

    Configuration ensuite
    # #############################################################
    # Configure upstream service
    defaultUpstreamPort=8080

    # Primary upstream server
    primaryProxy=[NGT TOWER]
    primaryProxyPort=8080
    primaryProxyType=plain

    secondaryProxy=[SECONDARY TOWER]
    secondaryProxyPort=8080
    secondaryProxyType=plain

    tertiaryProxy=
    tertiaryProxyPort=
    tertiaryProxyType=plain

    # #############################################################
  2. Redémarrez le service.
    • Pour Windows, ouvrez Services.msc. Reprise de clic de Connectorand de clic droit.

    • Pour le Linux, sélectionnez la commande de reprise de /etc/init.d/connector.

L'ASA utilise le redirect to NAT CWS de destination

C'est seulement pour le trafic http. Une ASA qui exécute la source et la destination de supports de version 8.3 et ultérieures NAT.

Pour l'ASA comme connecteur qui utilise la destination NAT, utilisez le manuel/deux fois la caractéristique NAT disponibles sur version 8.3 ASA ou plus tard. Si vous employez la destination NAT afin d'envoyer le trafic aux towers CWS, vous devez changer l'adresse IP de tower dans la déclaration NAT.

Dans la configuration d'échantillon, il y a deux interfaces sur l'ASA. À savoir « intérieur » (niveau de Sécurité 100) et « extérieur » (niveau de Sécurité 0).

CLI

Configuration avant
! Internal Network
object network cws-protected-network
 subnet 192.168.2.0 255.255.255.0
 
! CWS existing primary tower
object network cws-primary-tower
 host [Primary Tower]
 
! Subnet to define internet
object network Internet
 subnet 0.0.0.0 0.0.0.0
 
! Destination port tcp /8080 
object service proxy-8080
 service tcp destination eq 8080
 
! Destination port tcp /80
object service original-http
 service tcp destination eq www 
 
! Nat statement to send HTTPS traffic to internet and HTTP traffic to
Cloud Web Security tower nat (inside,outside) source dynamic
cws-protected-network interface destination static Internet
cws-primary-tower service original-http proxy-8080

Configuration ensuite
 ! CWS Next Generation Tower
object network cws-ngt-tower
 host [NGT TOWER]

! Subnet to define internet
object network Internet
 subnet 0.0.0.0 0.0.0.0
 
! Destination port tcp /8080 
object service proxy-8080
 service tcp destination eq 8080
 
! Destination port tcp /80
object service original-http
 service tcp destination eq www 
 

! Nat statement to send HTTPS traffic to internet and HTTP traffic to
Cloud Web Security NGT tower nat (inside,outside) source dynamic
cws-protected-network interface destination static Internet
cws-ngt-tower service original-http proxy-8080

Étapes de modification de configuration par l'intermédiaire du CLI

Du CLI sur l'ASA, sélectionnez ces commandes si vous utilisez des adresses IP :

CCWS_ASA# configure terminal
CCWS_ASA(conf)#object network cws-ngt-tower
CCWS_ASA(config-network-object)#host [NEW PRIMARY NGT PROXY IP ADDRESS HERE]
CCWS_ASA(config-network-object)#exit

CCWS_ASA(conf)#no nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-primary-tower service original-http proxy-8080


CCWS_ASA(conf)#nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-ngt-tower service original-http proxy-8080

Du CLI sur l'ASA, sélectionnez ces commandes si vous utilisez le FQDN :

CCWS_ASA# configure terminal
CCWS_ASA(conf)#object network cws-ngt-tower
CCWS_ASA(config-network-object)#fqdn [NEW PRIMARY NGT PROXY FQDN HERE]
CCWS_ASA(conf)#no nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-primary-tower service original-http proxy-8080

CCWS_ASA(conf)#nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-ngt-tower service original-http proxy-8080

ASDM

  1. Écrivez l'ASDM et choisissez la configuration > le Pare-feu > les objets de réseau/groupes.
  2. Choisissez ajoutent > objet de réseau.

     

  3. Écrivez ces informations pour le tower NGT :
    • Nom : cws-ngt-tower
    • Type : Hôte/FQDN (dépendant de votre environnement)
    • Version d'IP : Ipv4
    • Adresse IP /FQDN : FQDN NGT ou adresse IP
    • Description : (Facultatif)

  4. Cliquez sur OK.
  5. Choisissez la configuration > le Pare-feu > les règles NAT.

  6. Choisissez la règle NAT en cours et cliquez sur Edit.

  7. Éditez le champ d'adresse de destination.

  8. Choisissez l'objet de création récente de cws-ngt-tower et cliquez sur OK.

  9. Appliquez-vous la configuration à l'ASA.

Solution passive de Gestion de l'identité avec CWS

Pour l'utilisation des scripts passifs de la Gestion de l'identité (PIM) avec l'intégration de Répertoire actif dans le produit CWS, apportez ces modifications au script de connexion. (L'exemple au-dessous des utilisations « pim-ouvertes » comme nom en lots.)

Ouvrez « pim-open.batch » et éditez le fichier batch. Vous pouvez trouver le fichier batch localisé au « <Drive> \ au <Install Directory> \ PIM ». Par exemple, « C:\PIM\pim - open.batch ».

Configuration avant
C:\PIM\PIM_1.2.3.6.exe /Verbose=Y /IP /Proxy=[PRIMARY TOWER]:8080

Configuration ensuite
C:\PIM\PIM_1.2.3.6.exe /Verbose=Y /IP /Proxy=[NGT TOWER]:8080

Dirigez pour dominer/proxy explicite/avez hébergé la configuration comme méthode de redirection à CWS

Pour la liaison directe au service du paramètre de proxy du navigateur, des modifications doivent être apportées au serveur proxy. Les paramètres de proxy peuvent être appliqués directement ou avec un fichier automatique de la configuration de proxy (PAC). Des modifications pour les deux méthodes sont tracées les grandes lignes dans cette section.

Configuration de proxy directe chez un navigateur

  1. Assurez que les « configurations de RÉSEAU LOCAL » pour le point final sont activées utiliser un serveur proxy.
  2. Dans la configuration de « serveur proxy », changez le tower primaire IP/FQDN au NGT IP/FQDN.

Fichier PAC

C'est un exemple seulement.

Fichier PAC avant
function FindProxyForURL(url, host) {
// If URL has no dots in domain name, send direct.
if (isPlainHostName(host))
return "DIRECT";
// If URL matches, send direct.
if (shExpMatch(url,"*domain123.com/folder/*"))
return "DIRECT";
// If hostname matches, send direct.
if (dnsDomainIs(host, "vpn.domain.com"))
return "DIRECT";
// If hostname resolves to internal IP, send direct.
var resolved_ip = dnsResolve(host);
if (isInNet(resolved_ip, "10.0.0.0", "255.0.0.0"))
return "DIRECT";
// DEFAULT RULE: All other traffic, use below proxies, in fail-over order.
return "PROXY [PRIMARY TOWER]:8080; PROXY [SECONDARY TOWER]:8080; DIRECT";
}

Fichier PAC ensuite
function FindProxyForURL(url, host) {
// If URL has no dots in domain name, send direct.
if (isPlainHostName(host))
return "DIRECT";
// If URL matches, send direct.
if (shExpMatch(url,"*domain123.com/folder/*"))
return "DIRECT";
// If hostname matches, send direct.
if (dnsDomainIs(host, "vpn.domain.com"))
return "DIRECT";
// If hostname resolves to internal IP, send direct.
var resolved_ip = dnsResolve(host);
if (isInNet(resolved_ip, "10.0.0.0", "255.0.0.0"))
return "DIRECT";
// DEFAULT RULE: All other traffic, use below proxies, in fail-over order.
return "PROXY [NGT TOWER]:8080; PROXY [SECONDARY TOWER]:8080; DIRECT";
}

Modifications de Pare-feu requises avec l'utilisation d'EasyID

La configuration réseau recommandée pour EasyID est pour des clients seulement aux ports ouverts dans leurs Pare-feu des adresses IP de la particularité CWS Data Center répertoriées dans le portail pour accéder aux serveurs de LDAP. Avant le transfert à NGTs pour primaire et/ou de sauvegarde/secondaire, mettez à jour les règles de Pare-feu d'inclure toutes les nouvelles adresses IP NGT.

Les nouveaux towers d'ambassade seront fournis avec l'allocation NGT. Vous devez inclure le tower d'ambassade NGT dans la règle d'arrivée de liste de contrôle d'accès (ACL). L'adresse IP d'ambassade NGT peut être trouvée dans le portail de ScanCenter (royaume facile de Gestion d'ID).

Liste de contrôle d'accès avant
Allow inbound traffic from EXISTING EMBASSY TOWERS to LDAP SERVERS on ports tcp/389
or tcp/636 (if secured LDAP)

Liste de contrôle d'accès ensuite
Allow inbound traffic from NEW NGT EMBASSY TOWERS to LDAP SERVERS on ports tcp/389
or tcp/636 (if secured LDAP)

Pour la liste mise à jour, choisissez Scancenter > admin > authentification > Gestion.

Dans cette section, cliquez sur Edit dans les « royaumes d'authentification » actifs. Dans la section suivante, la liste d'adresses IP mise à jour sont affichées dans cet affichage.

 

Une fois que vous avez la liste mise à jour de serveurs permis, l'utilisation « connexion de contrôle » afin d'assurer la Connectivité de tous les towers est réussie et l'état est vert.

La « connexion de contrôle » pourrait prendre quelques minutes afin de tester la Connectivité de tous les towers.

Modifications de configuration de Pare-feu (s'il y a lieu)

Si l'environnement en cours de Pare-feu permet l'accès d'arrivée et/ou sortant au tower, ces modifications doivent être apportées pour le NGTs.

Tout ACL qui permet l'accès sortant à votre tower du courant CWS doit être modifié afin de permettre l'accès sortant à votre nouveau tower de la nouvelle génération CWS.

Liste d'accès avant

access-list [NAME] extended permit tcp any [TOWER-IP] eq 8080

Liste d'accès ensuite

access-list [NAME] extended permit tcp any [NGT-TOWER-IP] eq 8080

Tout ACL qui permet l'accès entrant à votre tower du courant CWS doit être modifié afin de permettre l'accès entrant de votre nouveau tower de la nouvelle génération CWS.

Liste d'accès avant

access-list [NAME] extended permit tcp [TOWER-IP] eq 8080 any

Liste d'accès ensuite

access-list [NAME] extended permit tcp [NGT-TOWER-IP] eq 8080 any

Plages d'adresses IP de sortie de tower de nouvelle génération

Si vous devez fournir à des partenaires commerciaux/constructeurs externes des plages d'adresses IP de sortie parce qu'ils doivent savoir où s'attendre à votre trafic de, ajustent votre ACLs selon cette table.

Tower de nouvelle génération

Plages d'adresses IP de sortie

Londres

108.171.128.160 - 108.171.128.223

Secaucus

108.171.130.160 - 108.171.130.223

Dallas

108.171.132.160 - 108.171.132.223

Sydney

108.171.134.160 - 108.171.134.223

Chicago

108.171.131.160 - 108.171.131.223

Francfort

108.171.129.160 - 108.171.129.223

Washington DC

108.171.133.160 - 108.171.133.223

San Jose

108.171.135.160 - 108.171.135.223

Sao Paulo

108.171.138.160 - 108.171.138.223

Forum aux questions

1. Qu'est exigé pour notre demande de modification interne ?

Basé sur la méthode/déploiement de redirection, des modifications de configuration seront exigées afin de permettre le trafic au proxy NGT assigné à votre site. Sur le script du connecteur device/PAC/PIM, vous devez changer l'adresse IP ou le FQDN du proxy primaire. Cisco ne prévoit aucune condition requise de temps d'arrêt. Tandis que vous changez le proxy primaire, votre service tombera de retour sur le proxy secondaire (si configuré).

2. Si j'éprouve n'importe quels problèmes techniques sur NGT, est-ce que je retourne au proxy en cours ?

Ouvrez une demande de service par l'intermédiaire du centre d'assistance technique Cisco (TAC). Incluez votre nom de la société, adresse primaire en cours de proxy, nouvelle adresse de proxy NGT, sujet : « Transfert NGT » et une brève description de la question.

3. Les clients recevront-ils un courrier électronique de notification sur le transfert au proxy NGT de Cisco ?

Seulement les clients annoncés par Cisco devraient poursuivre le transfert. Le transfert NGT sera conduit en quelques phases et vous serez annoncé en temps utile. Si vous ne recevez pas une notification par courrier électronique et croyez que vous utilisez actuellement un proxy primaire qui a NGT disponible dans le mêmes pays/région, atteignez à cws-migrations@cisco.com pour la confirmation.

4. Y aura-t-il de l'autorisation supplémentaire exigée afin de migrer vers le proxy NGT ?

Les clients peuvent reposer assurément qu'il n'y a aucune condition requise de licence supplémentaire afin de migrer le service vers le proxy NGT.

5. Est-ce que je dois changer la clé de licence et/ou balayer des stratégies centrales avant ou après le transfert ?

Toutes les clés de licence et stratégies demeurent sans changement sur le portail de centre de balayage.

6. J'utilise le FQDN pour le nom de tower au lieu d'une adresse IP.  Est-ce que mon trafic sera-t-il automatiquement expédié au proxy NGT si je change l'enregistrement A dans des DN ou je doit indiquer manuellement le proxy NGT ?

Car le transfert est prévu d'une manière échelonnée, Cisco aura le primaire en cours et le proxy NGT assigné et eux les résolvent à deux adresses IP différentes. Le proxy NGT possède une adresse IP unique ; par conséquent il est obligatoire que les clients apportent une modification manuelle à l'adresse IP FQDN qui appartient à NGT.

7. Quelles modifications sont nécessaires sur mon Pare-feu en amont ou extrémité ISP ?

Si vous avez un ACL pour le trafic sortant, permettez le trafic à la destination du NGTs sur TCP/8080 (pour AnyConnect et connecteur (autonome) Secure ceci aura besoin également de TCP/443). Voyez l'adresse IP FQDN assignée à vous dans le courrier électronique de transfert.

8. Dans notre organisation, il y a des plusieurs sites qui utilisent CWS avec différents towers configurés. Comment est-ce que je m'assurerai quels sites doivent être migrés ?

Le service client CWS que l'équipe fournira les nouveaux proxys NGT alloués à vous a basé sur chacun de vos emplacements. Non tous les emplacements ont actuellement des proxys NGT disponibles.

9. Dans notre organisation il y a des plusieurs sites qui ont été annoncés pour être migrés. Est-il possible de migrer en quelques phases ?

Vous ne devez pas migrer tous les sites immédiatement. Cependant, il est recommandé pour migrer tous les sites pendant la fenêtre demandée de transfert.

10. Je ne suis pas au courant du déploiement et de la configuration CWS. Y a-t-il un outil de configuration automatique ou de transfert de Cisco à aider avec les modifications ?

Non, Cisco n'a pas un outil à assister la configuration automatique/transfert. Il y a un guide détaillé de transfert basé sur la méthode de déploiement utilisée pour vous aider. Au cas où vous feriez face à toutes les difficultés, atteignez à cws-migration@cisco.com pour l'assistance.

11. Si j'ai un partenaire commercial/constructeur externe qui limite le trafic basé sur l'adresse IP, quelles sont les nouvelles plages d'adresses IP de sortie NGT ?

Tower de nouvelle génération

Plages d'adresses IP de sortie

Londres

108.171.128.160 - 108.171.128.223

Secaucus

108.171.130.160 - 108.171.130.223

Dallas

108.171.132.160 - 108.171.132.223

Sydney

108.171.134.160 - 108.171.134.223

Chicago

108.171.131.160 - 108.171.131.223

Francfort

108.171.129.160 - 108.171.129.223

Washington DC

108.171.133.160 - 108.171.133.223

San Jose

108.171.135.160 - 108.171.135.223

Sao Paulo

108.171.138.160 - 108.171.138.223

12. Y aura-t-il un changement de la façon dont l'authentification d'EasyID ou de Langage SAML fonctionne ?

Oui, il y aura des modifications à l'adresse IP d'EasyID qui doit être permise d'arrivée sur vos périphériques de périphérie/Pare-feu. Vous pouvez visualiser la liste d'adresses IP dans la section d'EasyID du portail de ScanCenter. Assurez que vous avez permis l'accès entrant au serveur de Protocole LDAP (Lightweight Directory Access Protocol) des nouvelles adresses IP d'EasyID sur le TCP 389/3268 de ports ou le TCP 636/3269 (LDAP) dans les stratégies de Pare-feu.

13. Combien de temps d'arrêt est-ce que je dois programmer pour le basculement ?

Dans le meilleur des cas, ne vous attendez à aucun temps d'arrêt car vous faites configurer votre tower de sauvegarde sur votre connecteur (connecteur ASA/ISR/WSA/Native). La pratique recommandée recommandée est d'exécuter le transfert en quelques temps de non-crête ou après des heures.

14. Quelles modifications est-ce que je dois apporter dans le réseau autre que la configuration CWS ?

Si vous avez ACLs sortant configuré sur des périphériques de périphérie/Pare-feu et/ou le routage basé par stratégie, mettez- à jourle avec l'adresse IP FQDN de proxy NGT assignée à votre société.

15. L'enregistrement se cassera-t-il si je migre vers NGT ?

Il n'y aura aucun changement de programmer et des rapports enregistrés dans le portail de ScanCenter.

16. Quel essai de Connectivité est-ce que je peux réaliser afin d'assurer le proxy NGT est accessible ?

Vous pouvez exécuter le PING ou le telnet de TCP à votre proxy assigné NGT sur le port TCP/8080.

17. Queest-ce que je devrais vérifier afin de m'assurer que j'ai avec succès migré vers le proxy NGT ?

Parcourez à « whoami.scansafe.net » et vérifiez le « logicalTowerNumber ». le « logicalTowerNumber » devrait être 10000 plus le nombre de Point d'accès. Par exemple, si vous êtes alloué "access66.cws.sco.cisco.com", le logicalTowerNumber est 10066.

18. Est-ce que j'utilise le FQDN de proxy NGT ou l'adresse IP ?

Afin d'empêcher des modifications à l'avenir, il est recommandé pour utiliser le FQDN quand vous migrez vers NGT.

19. Quels genres de modifications est-ce que mes utilisateurs nomades, qui utilisent le module de sécurité Web d'AnyConnect, doivent faire ?

Pour des utilisateurs sur le client d'AnyConnect, MODIFICATION ne doit pas être apportée pour le transfert NGT.

20. Est-ce que je dois changer mon tower secondaire CWS aussi bien que mon tower primaire quand je me déplace à NGT ?

Oui, les towers primaires et secondaires devraient être changés selon les affectations données.

Questions de transfert

Pour toutes les questions de transfert NGT, connectez-vous une demande de service par l'un de ces méthodes :

  • Téléphone :
    • LES USA : 1(877) 472-2680
    • EMEA : 44(0) 207-034-9400
    • Asie :  (64) 800513572

 

NotificaÝÝo PrÝ-MigraÝÝo : Na Infraestrutura DA Cisco de Melhoramentos opacifient la sécurité Web aucun Data Center de SÝo Paulo

Le parte de Como font les ofertas melhorar De de nossas du qualidade un DAS de continuamente du DA Cisco Para de compromisso SeguranÝa-como-um-serviÝo, l'atualmente encontramo-no. qu'un serviÝo implementar Cisco de seu du providencia o de que d'infraestrutura Na de considerÝveis de melhoramentos opacifient la fin de support SÝo Paulo de sécurité Web (anteriormente Scansafe), le Brésil.

De forma un aceder un infraestrutura d'aperfeiÝoada d'esta, como qual « tower de referimos no. de Ý de Nouvelle Génération » (OU « NGT » de geraÝÝo) de torre de nova, proxy NGT de novo de Para de sécurité Web de nuage de serviÝo d'aceder ao de Para d'utilizam d'atualmente de que de secundÝrio de primÝrio e de proxys DOS de migraÝÝo de Ý de terÝo de proceder um. Un inÝcio iniciar de Fevereiro de 2016 e de Para o de marcada d'atualmente d'estÝ de Para este processo de migraÝÝo de prevista de données un atÝ 13 de MarÝo de 2016 de completada de ser de développeur de mesma. NegativeÝcio agendar planear externo/parceiros de negativeÝcios (de sortie de Para de quer d'internos de FINS de Para de quer de necessÝrias de Para e quaisquer janelas de manutenÝÝo AOS d'objetivo de como de tem de prÝ-notificaÝÝo de desta d'envio O de nossos de clientes de suficiente facultar de rythme (endereÝos de proxy) d'intervalo).

Facultada qualquer extensÝo de prazo Para de serÝ de nÝo de que d'atenÝÝo fin de support de tenha d'avantage de Por apÝs 13 de MaÝo de 2016 d'un migraÝÝo. Todas de tome de que d'agradecemos de que de Pelo en tant qu'obrigatÝria preparar de migraÝÝo d'esta de Para de necessÝrias de medidas. Un perda De serviÝo. Na de resultarÝ de MarÝo de l'atÝ 13 de migraÝÝo de nÝo.

Courrier électronique de novo de ReceberÝ um aucune COM de l'inÝcio De 2016 un migraÝÝo d'esta de Para de necessÝria d'informaÝÝo, especificamente d'atribuÝdos des proxys NGT DOS de detalhes de système d'exploitation d'incluindo un cliente de cada. Entretanto, C.C de SÝo Paulo de Para o de sortie d'intervalos de novos de système d'exploitation de jÝ de desde de consideraÝÝo fin de support de tenha d'avantage de por : 108.171.138.160 - 108.171.138.223. Clientes de nossos de système d'exploitation d'Aconselhamos un de sortie d'intervalos de novos de destes de seus parceiros de negativeÝcio de système d'exploitation de jÝ de desde d'informarem.

Visite d'avantage de por d'informaÝÝes de mais d'obter de pretenda de Caso instruÝÝes Para d'un encontrarÝ d'onde des frequentes e InstruÝÝes Para MigraÝÝo de perguntas de Para de Web de pÝgina de nossa completar un migraÝÝo, incluindo modificar en tant qu'aperfeiÝoada enviar d'infraestrutura d'esta de Para de rede du DA de trÝfico de Cisco d'equipamentos no. de configuraÝÝes de suas (ASA, ISR, WSA, etc.) Para o.

IP tal Para NGT du como o novo intervalo de egress De de que d'informaÝÝo d'encontrarÝ de TambÝm COM o seu departamento de informÝtica ou du poderÝ de parceiro partilhar necessitar COM o departamento de informÝtica de um.

Aceda d'avantage de Por un lien Para Perguntas Frequentes e InstruÝÝes de MigraÝÝo d'este

En tant qu'eficiente assegurar Para des simples e de transiÝÝo d'uma de Para de disponÝveis encontram-expert en logiciel de OperaÝÝes e PrestaÝÝo de ServiÝos DA Cisco d'equipas un infraestrutura de nova. Le Web Para Perguntas Frequentes e InstruÝÝes Para MigraÝÝo de pÝgina de nossa Na d'encontrem expert en logiciel de nÝo de que de conexÝes d'atuais de suas du migraÝÝo DAS de Ý de relativamente de questÝes d'existam de Caso, des contacte-no. d'avantage de por par l'intermédiaire des atravÝs de courrier électronique font l'endereÝo cws-migrations@cisco.com.

IMPORTANTE - AVANTAGE LEIA POR : Ý de nÝo expert en logiciel un empresa de sua du DA de nome fin de support de notificaÝÝes d'estas de receber de devia de que de pessoa, ajude-no. d'avantage de por un que assegurar un possÝvel de brève de mais de l'informaÝÝo o d'importante d'esta de Para d'alertada de Ý de correta de pessoa. Les atravÝs atualizar d'un empresa de sua du DA de notificaÝÝes de Para de courrier électronique de endereÝos de lista de pode de TambÝm font la procédure de connexion portaile Para de l'efetuando o de ScanCenter de seu un separador « admin » du selecionando o e de « Inicio » de pÝgina. Le seguida fin de support, ponteiro passe o font le selecione « NotificaÝÝes » e de « Sua Conta » de separador du sobre o RATO. La clique de seguida fin de support aucun botÝo « Gerenciar configuraÝÝes de atualizaÝÝo font le serviÝo » e assegure-expert en logiciel de que qu'un selecionada d'estÝ font serviÝo de verificaÝÝo de caixa « Enviar e-mails de atualizaÝÝo ». PassarÝ d'esta e font serviÝo du lado De de na caixa de texto ao de correta de pessoa d'o endereÝo de e-mail DA d'adicione FIM de Por « Enviar e-mails de atualizaÝÝo » les trabalhos De manutenÝÝo. de notificaÝÝes de incidentes e de receber.

Cumprimentos de melhores de système d'exploitation COM,

Un equipa Cisco de OperaÝÝes e PrestaÝÝo de ServiÝos

 

NotificaciÝn Pre-migraciÝn : C.C en Sao Paulo de la sécurité Web de Cisco Cloud d'infraestructura de La en de Mejoras (CWS)

Ofertas mejorar de Sécurité-comme-un-Service de la calidad de nuestras de continuamente de Como parte del compromiso de Cisco De, en Sao Paulo de sécurité Web de Cisco Cloud de servicio EL d'ofrece de que d'infraestructura de La en de significativas de mejoras de realizando d'estamos (anteriormente ScanSafe), le Brésil.

Acceder de Para un infraestructura mejorada d'esta, un como « tower de referimos no. de que de La de Nouvelle Génération » (generaciÝn) o « NGT » de Torre de nueva, migrados de sauvegarde de ser de que de tendrÝn de sécurité Web de Cisco Cloud de servicio d'Al d'asignados de primario y de proxys d'actuales de sus un una nueva asignaciÝn de proxys de NGT. Le completada de ser de debe de migraciÝn de La de Para principios de febrero de 2016 y de planeada d'actualmente d'estÝ du migraciÝn NGT d'esta de fecha de inicio de La mise le del 13 de marzo de 2016. Necesarias programar planificar de Para y las ventanas de cambio de nuestros de Para de notificaciÝn d'esta d'antelaciÝn d'escroquerie d'enviando d'Estamos de clientes EL de suficiente proporcionar de tiempo, escroc sus socios de negocios d'internos de propÝsitos d'escroquerie de mer de yum (proxys de cambio de direcciones de) o/externos de comerciales (pÝblica de IP de rangos).

Que de cuenta en de tenga d'avantage de Por aucun del 13 de marzo de 2016 d'allÝ de mÝs de ninguna extensiÝn de migraciÝn de proporcionarÝ expert en logiciel. Tanto de lo de Por, avantage de por, obligatorio de cambio de prÝximo d'este de Para de prepararse de Para de necesarias de medidas de las de tome. SI aucune en migrar una pÝrdida del servicio de traducirÝa EL 13 de marzo se de Para de pudiera.

ElectrÝnico de correo d'otro de recibirÝ d'Usted un sus asignaciones especÝficas de proxys NGT d'incluyendo de migraciÝn d'esta de Para de necesaria d'informaciÝn de La d'escroquerie des principios De 2016. Tanto de Mientras, avantage de por, C.C es du salida De Sao Paulo de IP de rango de nuevo EL de que de cuenta en de tenga : 108.171.138.160 - 108.171.138.223. Animamos clientes de nuestros externos notificar de socios d'un sus, antelaciÝn d'escroquerie un migraciÝn de La, brevedad de maire de La d'escroquerie d'adicional de salida de rango de este posible.

InformaciÝn de mÝs d'obtener de desea SI, migraciones de las de Para d'instrucciones des frecuentes e de nuestra pÝgina de preguntas de visite, migraciÝn de La de Para d'instrucciones de las d'encontrarÝ de donde, rouge enviar du trÝfico De EL de Cisco de dispositivos de la modificaciÝn de las configuraciones en d'incluyendo (ASA, ISR, WSA, etc.) Para mejoradas d'infraestructuras de nuevas d'estas (NGT). IP de salida Para NGT EL nuevo rango de direcciones de como de socios de sus d'escroquerie de IT o de departamento du su d'escroquerie de compartir de que de tenga de que de puede de que d'informaciÝn d'encontrarÝ de tambiÝn d'Usted.

AquÝ clic Para Preguntas Frecuentes e Instrucciones de MigraciÝn de Haga

Mejoradas asegurar d'infraestructuras de nuevas de las de hacia d'eficaz du sencilla y de transiciÝn d'una de Para de disponibles d'estÝn de Cisco de Operaciones y Despliegue del Servicio d'equipos visibilité directe. Le SI usted le que d'actuales de conexiones de sus de pregunta acerca de la migraciÝn d'alguna de tiene aucun frecuentes de preguntas de las en de respondiÝ expert en logiciel, electrÝnico cws-migrations@cisco.com de correo EL d'usando de nosotros d'escroquerie de contacto en de pÝngase d'avantage de por.

IMPORTANTE - AVANTAGE LEA POR : Le SI pas usted aucun empresa du nombre De su en de notificaciones d'estas de recibir de debe de que de Person de La es, avantage de por, des ayÝdenos un brevedad responsable de maire de La en d'informaciÝn d'importante d'esta d'obtenga de que de Person asegurar de La posible. PestaÝa « de La en d'ingresando du su ScanCenter de la configuraciÝn de suscripciÝn de puede de TambiÝn du notificaciÝn De su de desde actualizar d'empresa à la maison » portail « admin » de La de seleccionando y du pÝgina De. Un continuaciÝn, pestaÝa de La de sobre d'el puntero del ratÝn de coloque seleccione « Notificacions » y de « mon compte ». Un continuaciÝn, que marcada clic d'estÝ « envoyez de service de casilla de verificaciÝn de La de botÝn « EL en de haga gèrent les configurations » y de que asegÝrese de mise à jour de service de mise à jour emails ». Le Ýltimo de Por, junto responsable agregar en el cuadro de texto de la persona d'electrÝnico de la direcciÝn de correo des trabajos de mantenimiento de futuro de incidentes y d'Al de recibirÝ notificaciones de cara de Ýsta y « envoient de service de mise à jour emails ».

Saludo cordial ONU,

Les equipos de Operaciones y Despliegue del Servicio de Cisco visibilité directe opacifient la sécurité Web

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118478