安全 : Cisco IronPort Web 安全设备

ASA配置示例的WSA WCCP

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文描述如何通过思科Web安全工具(WSA)配置思科可适应安全工具的(ASA) WEB缓存通信协议(WCCP)。

贡献用弗拉基米尔Sousa和Zack Shaikh, Cisco TAC工程师。

先决条件

要求

Cisco 建议您了解以下主题:

  • 思科WSA
  • Cisco ASA
  • WCCP
  • 透明代理部署

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco WSA版本7.x
  • Cisco ASA 版本 8.x

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

配置

请使用此部分为了配置ASA的WCCP。

配置概述

这些是在WSA被输入为了配置ASA的WCCP的命令:

hostname(config)# wccp {web-cache | service_number} [redirect-list access_list]
 [group-list access_list] [password password] 


hostname(config)# wccp interface interface_name {web-cache | service_number}
 redirect in

这些是此命令的条目说明:

  • 服务编号:这是动态服务标识符,因此意味着服务定义由缓存指明。动态服务编号能范围自0到255。最大容许的编号是256,包括web-cache服务指定与web-cache关键字。

  • redirect-list :这是一个可选条目。它与控制流量重定向给此服务组的访问列表一起使用。access-list参数是指定访问列表不大于64个字符的字符串(名称或编号)。

    注意:ASA软件版本8.1和更加早期不接受在的TCP端口redirect-list;可以使用仅网络地址。

  • Group-list :这是确定Web缓存允许参加服务组的一个可选访问列表条目。access-list参数是指定访问列表不大于64个字符的字符串(名称或编号)。

  • 密码:这是指定消息的消息摘要5的一个可选条目(MD5)验证从服务组接收。没有由验证接受的消息丢弃。

注意:标准服务是web-cache (服务ID 0),只拦截TCP端口80 (HTTP)流量。对于其他定制的服务,思科建议您使用在9097之间的一个服务ID。

配置示例

完成这些步骤为了通过WSA配置ASA的WCCP :

  1. 输入此命令为了使用默认服务服务组web-cache :

    wccp web-cache
    wccp interface inside web-cache redirect in
  2. 输入此命令为了使用动态服务Group ID HTTP和HTTPS流量的重定向:

    wccp 90 redirect-list wccp-hosts group-list wccp-routers
  3. 输入此命令为了使用WCCP安全:

    wccp 90 redirect-list wccp-hosts group-list wccp-routers password securewccp
  4. 访问列表可以配置,以便否决发送对ASA作为目的IP地址的流量并且重定向它对WSA。当ASA配置为了重定向流量到多个WSAs时,这是特别有用的。例如, WSAs也许分配这些IP地址:

    • WSA1 IP地址= 10.0.0.1
    • WSA2 IP地址= 10.0.0.2

    输入这些命令为了配置访问列表否决流量:

    access-list wccp-hosts extended deny tcp any host 10.0.0.1
    access-list wccp-hosts extended deny tcp any host 10.0.0.2
  5. 输入此命令为了允许将重定向的HTTP数据流:

    access-list wccp-hosts extended  permit tcp any any eq www
  6. 输入此命令为了允许将重定向的HTTPS流量:

    access-list wccp-hosts extended  permit tcp any any eq https
  7. 输入允许参加WCCP通信的这些命令为了定义WSAs :

    access-list wccp-routers standard permit host 10.0.0.1
    access-list wccp-routers standard permit host 10.0.0.2
  8. 如果redirect-list命令没有接受,则扩展访问列表也许是需要的。输入这些命令为了配置扩展访问列表:

    access-list wccp-routers extended permit ip host 10.0.0.1 any
    access-list wccp-routers extended permit ip host 10.0.0.2 any
  9. 输入此命令为了运用配置:

    wccp interface inside 90 redirect in

验证

为了显示与WCCP涉及的全局统计信息,请输入显示WCCP in命令特权EXEC模式:

show wccp {web-cache | service-number}[detail | view]
show run | inc wccp

注意:流量类型(HTTP, HTTPS, FTP)重定向由WSA WCCP配置定义。ASA能只过滤与使用的重定向的数据流redirect-list。

故障排除

目前没有针对此配置的故障排除信息。

相关信息



Document ID: 117810