安全 : Cisco PIX 500 系列安全设备

配置PIX防火墙发送认证的用户名到Websense服务器

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2014 年 9 月 30 日) | 反馈


目录


简介

PIX防火墙可以配置为与Websense服务器连通,以限制出站的HTTP数据流(FTP and HTTPS in 6.3)。Websense服务器的重要责任是创建和强制执行一套策略允许或拒绝对特定URL的访问。Websense策略可以分配在用户级。这能Websense管理员能力分配特定访问权限个人用户。PIX防火墙有功能发送认证的用户名到Websense服务器。这用于评估特定用户的策略。PIX防火墙发送认证的用户名对Websense的机制取决于在已经验证用户的PIX通过直通代理功能。当PIX配置以Websense时,使用TCP版本4协议通过认证的用户名的PIX功能对Websense只是可用的。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco Secure PIX防火墙软件版本6.2.2

  • Websense管理器,版本4.4.0

  • Cisco Secure ACS for Windows版本3.0

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

Websense设置

本文假设, Websense管理员已经适当地配置Websense服务器。也被假设得此处PIX验证的每个用户被添加作为在Websense管理器的一个目录对象,并且配置提示此用户输入目录验证。参见您的Websense文档或访问Websense站点leavingcisco.com 关于关于怎样的详细信息配置Websense服务器。

Cisco Secure ACS设置

本文假设, Cisco Secure ACS管理员配置ACS服务器查询Websense使用的同一个活动Directory/NT数据库。关于如何完成Cisco Secure ACS for Windows的此任务的信息,参考工作与用户数据库

本文还假设,Cisco Secure ACS服务器已经把PIX添加为客户端。关于关于怎样的详细信息完成此任务,参考安装和管理网络配置的AAA Client Configuration部分

PIX防火墙设置

这些命令在已经有Internet连接的PIX被输入


!--- Specify AAA server protocols.

aaa-server TACACS protocol tacacs+

!--- This specifies that the authentication server 
!--- with the IP address 192.168.253.111 resides on the inside 
!--- interface.  It is in the default TACACS+ server group.

aaa-server TACACS (inside) host 192.168.253.111 letmein timeout 10

!--- Enable TACACS+ user authentication to the above AAA server.  
!--- Users are prompted for authentication credentials.

aaa authentication include http inside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 TACACS

!--- Designates server 192.168.253.111 that runs Websense. It is used 
!--- in tandem with the filter url command.

url-server (inside) vendor websense host 192.168.253.111 protocol tcp version 4

!--- Enable URL filtering on port 80 (the port that receives Internet traffic).

filter url 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 allow

这些命令的新增内容导致此配置:

PIX Version 6.2(2)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
nameif ethernet3 intf3 security15
nameif ethernet4 intf4 security20
nameif ethernet5 intf5 security25
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname TestPIX
domain-name ciscopix.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
pager lines 24
logging on
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 10.0.0.1 255.255.255.0
ip address inside 192.168.253.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
ip address intf3 127.0.0.1 255.255.255.255
ip address intf4 127.0.0.1 255.255.255.255
ip address intf5 127.0.0.1 255.255.255.255
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address intf2 0.0.0.0
failover ip address intf3 0.0.0.0
failover ip address intf4 0.0.0.0
failover ip address intf5 0.0.0.0
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.253.0 255.255.255.0 0 0
route outside 0.0.0.0 0.0.0.0 10.0.0.254 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323
0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
aaa-server TACACS protocol tacacs+
aaa-server TACACS (inside) host 192.168.253.111 letmein timeout 10
url-server (inside) vendor websense host 192.168.253.111 timeout 5 protocol
TCP version 4
aaa authentication telnet console TACACS
aaa authentication include http inside 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
TACACS
filter url http 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 allow
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
no sysopt route dnat
ssh timeout 5
terminal width 80
Cryptochecksum:d18e45ed25d122af34a5e4f3a183cdff
: end

用户看到的内容

从内部网络的一个客户端,打开浏览器。一旦浏览器设法通过PIX访问互联网网站,用户就被提示输入用户名和密码。PIX然后发送用户名和密码对Cisco Secure ACS for Windows验证出站HTTP会话。一旦Cisco Secure ACS服务器准许访问,PIX就向Websense服务器发送认证的用户名。Websense服务器然后查寻策略关联与用户。它通过发送对PIX的一答复准许或拒绝访问。如果此答复设计准许用户访问,在客户端和服务器之间的HTTP处理完成。如果答复是拒绝用户访问, PIX从Web服务器下降HTTP响应。浏览器显示" access restriction "消息。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 41060