安全 : Cisco IronPort Web 安全设备

采样透明重定向配置使用WCCP重定向本地FTP流量

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

目录

贡献用蒂姆戴维森和Siddharth Rajpathak, Cisco TAC工程师。

问题:

使用WCCP,如何配置WSA /Cisco路由器支持HTTP、HTTPS和本地FTP流量透明重定向?

环境: Cisco Web运行AsyncOS版本6.0或以上、本地FTP代理启用在WSA, WCCPv2兼容的Cisco路由器/交换机或者ASA防火墙的安全工具

解决方案:

当本地FTP流量是重定向透明地对WSA, WSA将典型地收到在标准的FTP端口21的流量。因此, WSA的本地FTP代理应该侦听在端口21 (默认情况下本地FTP代理是8021)。

  • 您能验证此在GUI > Security Services> FTP代理下

请遵从下面的步骤配置

WSA设置

  1. 创建FTP流量的一标识(下面GUI Web安全经理>标识)。请确保验证为此ID禁用。
  2. 创建参考上述标识的访问策略(下面GUI > Web安全经理>Access策略)
  3. 在FTP代理设置下,请修改FTP被动端口是11000-11006 (保证所有端口适合到一单路供电的组)
  4. 创建以下WCCP服务ID的。

    名称服务端口
    web-cache 0 80 (我们能二者择一使用98自定义Web缓存,如果曾经多个WSA)
    ftp本地60 21,11000,11001,11002,11003,11004,11005,11006
    https缓存80 443

以下示例重定向三个内部子网,当绕过所有私下寻址的目的地以及单个内部主机的时WCCP重定向。

示例ASA设置

wccp网站缓存redirect-list web-cache Group-list group_acl
WCCP 60 redirect-list ftp本地Group-list group_acl
Group-list WCCP 80 redirect-list https缓存group_acl

WCCP接口在Web缓存重定向里面
WCCP接口在60重定向里面       
WCCP接口在80重定向里面

group_acl访问列表扩展的permit IP主机10.1.1.160其中任一

access-list ftp本地延长拒绝ip所有10.0.0.0 255.0.0.0
access-list ftp本地延长拒绝ip所有172.16.0.0 255.240.0.0
access-list ftp本地延长拒绝ip所有192.168.0.0 255.255.0.0
access-list ftp本地延长拒绝IP主机192.168.42.120其中任一
access-list ftp本地延长的permit tcp 192.168.42.0 255.255.255.0任何eq ftp
access-list ftp本地延长的permit tcp 192.168.42.0 255.255.255.0其中任一排列11000 11006
access-list ftp本地延长的permit tcp 192.168.99.0 255.255.255.0任何eq ftp
access-list ftp本地延长的permit tcp 192.168.99.0 255.255.255.0其中任一排列11000 11006
access-list ftp本地延长的permit tcp 192.168.100.0 255.255.255.0任何eq ftp
access-list ftp本地延长的permit tcp 192.168.100.0 255.255.255.0其中任一排列11000 11006

access-list扩展的https缓存拒绝ip所有10.0.0.0 255.0.0.0
access-list扩展的https缓存拒绝ip所有172.16.0.0 255.240.0.0
access-list扩展的https缓存拒绝ip所有192.168.0.0 255.255.0.0
access-list扩展的https缓存拒绝IP主机192.168.42.120其中任一
access-list https缓存扩展了permit tcp 192.168.42.0 255.255.255.0所有eq https
access-list https缓存扩展了permit tcp 192.168.99.0 255.255.255.0所有eq https
access-list https缓存扩展了permit tcp 192.168.100.0 255.255.255.0所有eq https

access-list web-cache延长请拒绝ip所有10.0.0.0 255.0.0.0
access-list web-cache延长请拒绝ip所有172.16.0.0 255.240.0.0
access-list web-cache延长请拒绝ip所有192.168.0.0 255.255.0.0
access-list web-cache延长请拒绝IP主机192.168.42.120其中任一
access-list web-cache延长的permit tcp 192.168.42.0 255.255.255.0任何eq www
access-list web-cache延长的permit tcp 192.168.99.0 255.255.255.0任何eq www
access-list web-cache延长的permit tcp 192.168.100.0 255.255.255.0任何eq www

示例交换机设置(c3560) (在多数路由器应该太工作)

ip wccp网站缓存redirect-list web-cache Group-list group_acl
ip WCCP 60 redirect-list ftp本地Group-list group_acl
ip Group-list WCCP 80 redirect-list https缓存group_acl

interface Vlan99
IP地址192.168.99.1 255.255.255.0
ip wccp网站缓存重定向
ip WCCP 60重定向
ip WCCP 80重定向

接口Vlan100
ip address 192.168.100.1 255.255.255.0
ip wccp网站缓存重定向
ip WCCP 60重定向
ip WCCP 80重定向

接口Vlan420
IP地址192.168.42.1 255.255.255.0
ip helper-address 192.168.100.20
ip wccp网站缓存重定向
ip WCCP 60重定向
ip WCCP 80重定向

IP访问控制列表延长ftp本地
拒绝ip所有10.0.0.0 0.255.255.255
拒绝ip所有172.16.0.0 0.15.255.255
拒绝ip所有192.168.0.0 0.0.255.255
拒绝IP主机192.168.42.120其中任一
permit tcp 192.168.42.0 0.0.0.255任何eq ftp
permit tcp 192.168.42.0 0.0.0.255其中任一排列11000 11006
permit tcp 192.168.99.0 0.0.0.255任何eq ftp
permit tcp 192.168.99.0 0.0.0.255其中任一排列11000 11006
permit tcp 192.168.100.0 0.0.0.255任何eq ftp
permit tcp 192.168.100.0 0.0.0.255其中任一排列11000 11006

IP访问控制列表延长的https缓存
拒绝ip所有10.0.0.0 0.255.255.255
拒绝ip所有172.16.0.0 0.15.255.255
拒绝ip所有192.168.0.0 0.0.255.255
拒绝IP主机192.168.42.120其中任一
permit tcp 192.168.42.0 0.0.0.255任何eq 443
permit tcp 192.168.99.0 0.0.0.255任何eq 443
permit tcp 192.168.100.0 0.0.0.255任何eq 443

扩展的IP访问控制列表web-cache
拒绝ip所有10.0.0.0 0.255.255.255
拒绝ip所有172.16.0.0 0.15.255.255
拒绝ip所有192.168.0.0 0.0.255.255
拒绝IP主机192.168.42.120其中任一
permit tcp 192.168.42.0 0.0.0.255任何eq www
permit tcp 192.168.99.0 0.0.0.255任何eq www
permit tcp 192.168.100.0 0.0.0.255任何eq www

IP访问控制列表标准group_acl
permit 10.1.1.160


请注意:由于WCCP技术限制,最多8个端口可以每个WCCP服务ID分配。


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 118157