安全 : Cisco IronPort Web 安全设备

WSA和节日穿连接问题

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文描述节日穿的Citrix不通过思科Web安全工具的问题(WSA)连接。

贡献用弗拉基米尔Sousa和Zack Shaikh, Cisco TAC工程师。

先决条件

要求

Cisco 建议您了解以下主题:

  • 思科WSA
  • 节日穿的Citrix

注意:本文假设,思科WSA在透明模式部署。

使用的组件

本文档中的信息基于下列硬件和软件版本:

  • Cisco WSA版本7.x和8.x 
  • Citrix节日穿版本5和以上

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

注意:本文参考没有维护也思科不支持的软件。信息被提供作为礼貌为您的便利。对于进一步协助,请联系软件供应商。

问题

当思科WSA用于一透明代理部署时,节日穿的Citrix不通过WSA连接。并且,当您配置节日穿在解密策略时的HTTPS转接操作的,它没有效果。

正如Citrix白皮书所描述,节日穿进行这些操作为了连接:

当节日穿终端软件开始时,尝试通过终端网关(EGW)与节日穿服务经纪联系通过首次在端口8200, 443并且/或者80的一个或更多出站SSL保护的TCP连接。连接响应首先将使用,并且其他将丢弃。

在一个明确代理环境,节日穿连接HTTP连接请求,并且WSA建立隧道在客户端和服务器之间的数据。没有与此种连接的问题。然而,在透明模式,节日穿客户端无法执行验证。

解决方案

思科建议您绕过与客户端IP基于地址的(子网)标识为了应急方案的认证过程有效此问题。然而,请注意与启用的解密,节日穿应该工作,当验证禁用时。

此部分描述如何绕过节日穿流量的认证过程在WSA。完成这些步骤为了添加在一新的自定义URL类别列表的节日穿服务器IP地址:

  1. 从Web管理GUI,请导航对Web安全服务>自定义URL类别并且单击添加自定义类别

  2. 添加这些IP地址范围到站点列表:

    • 216.115.208.0/20
    • 216.219.112.0/20
    • 66.151.158.0/24
    • 66.151.150.160/27
    • 66.151.115.128/26
    • 64.74.80.0/24
    • 202.173.24.0/21
    • 67.217.64.0/19
    • 78.108.112.0/20
    • 68.64.0.0/19
    • 206.183.100.0/22

注意:这些IP地址也许在任何时间更改。思科建议您验证与Citrix IP地址列表的当前IP地址范围。

警告:被参考本文的Citrix链路提供作为仅礼貌。思科不保证他们的准确性或效果。


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 117808