思科接口和模块 : Cisco ASA 内容安全和控制(CSC)安全服务模块

ASA CSC安全服务模块如何作为HTTP数据流的一个代理?

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


问题


简介

本文描述思科ASA内容安全和控制(CSC)安全服务模块如何能作为HTTP数据流的一个代理服务器。

有关文档规则的信息,请参阅 Cisco 技术提示规则

注意: 贡献用马格纳斯Mortensen, Cisco TAC工程师。

Q. ASA CSC安全服务模块如何作为HTTP数据流的代理?

A. 了解在设立HTTP连接涉及的步骤通过CSC模块将帮助您了解其他问题(例如页错误和性能问题) :

  1. 当用户设法连接到站点时,他们的浏览器发送SYN数据包对该站点的IP地址。

  2. CSC模块,作为代理,代表站点拦截SYN数据包和回复与SYN-ACK。

  3. Web浏览器,没有察觉到, CSC模块作为代理,与ACK的回复和连接形成在客户端机器和CSC模块HTTP代理引擎之间。

    注意: 前半此连接指客户端Socket (CSS)。

  4. 这时,浏览器认为对站点的连接启用和工作,并且发送HTTP GET请求。

  5. HTTP GET请求由CSC模块处理;即根据URL阻塞/filtering/WRS设置核对。如果请求允许, CSC模块开始建立对Web服务器的连接在站点。

  6. HTTP代理引擎发送与源IP地址的一个TCP Syn信息包,并且匹配原始TCP SYN客户端的源端口认为发送到Web服务器(如接收在CSS)。与SYN ACK的Web服务器回复和HTTP代理引擎回应ACK。这时,服务器端的socket (SSS)是UP。

  7. HTTP代理引擎发送客户端的HTTP GET到Web服务器和Web服务器回复以内容。

  8. 此内容被扫描/已勾选。如果它是干净的,内容转发回到客户端。

  9. 这些同样步骤为从客户端的其他Web请求被重复所有Web服务器的。

注意客户端浏览器从未确实连接到站点;它连接对CSC假装是站点如此镜像所示的模块:

http://www.cisco.com/c/dam/en/us/support/docs/interfaces-modules/asa-content-security-control-csc-security-services-module/115747-01.png


相关信息


Document ID: 115747