セキュリティ : Cisco Web セキュリティ アプライアンス

FTP ネイティブ トラフィックをリダイレクトするために WCCP を使用して透過的なリダイレクション 設定を見本抽出して下さい

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

目次

ティム デイヴィッドソンおよび Siddharth Rajpathak によって貢献される、Cisco TAC エンジニア。

質問:

WSA/Ciscoルータを WCCP を使用して HTTP、HTTPS および FTP ネイティブ トラフィックの透過的なリダイレクションをサポートするために設定する方法か。

環境:  AsyncOS バージョン 6.0 または それ 以降、WSA で有効に なる FTP ネイティブ プロキシ WCCPv2 互換性のある Ciscoルータ/スイッチまたは ASA ファイアウォールを実行する Cisco Web セキュリティ アプライアンス

解決策:

FTP ネイティブ トラフィックが WSA へリダイレクトの透過的にとき、WSA は一般的に FTP 標準ポート 21 のトラフィックを受信します。 それ故に、WSA の FTP ネイティブ プロキシはポート 21 で受信する必要があります(FTP ネイティブ プロキシは 8021)デフォルトであります。

  • GUI > Security サービス > FTP プロキシの下でこれを確認できます

設定するために下記のステップに従って下さい

WSA 構成

  1. FTP トラフィックのための識別を作成して下さい(の下で GUI Web セキュリティ マネージャ 識別)。 認証がこの ID のためにディセーブルにされたことを確かめて下さい。
  2. 上記の識別を参照するアクセスポリシーを作成して下さい(の下で GUI > Web セキュリティ マネージャ > アクセスポリシー
  3. FTP プロキシ 設定の下で、11000-11006 はであるために FTP 受動ポートを変更して下さい(それにシングル サービス グループに合うすべてのポートを確認するため)
  4. 次の WCCP サービスID を作成して下さい。

    ネーム サービス ポート
    複数の WSA を使用する場合 web-cache 0 80 (カスタム Web キャッシュを代わりに 98 使用できます)
    ftp ネイティブ 60 21,11000,11001,11002,11003,11004,11005,11006
    https キャッシュ 80 443

次の例はすべての個人的に 当たった 宛先、また単一 内部ホストのための WCCP リダイレクションをバイパスしている間 3 つの内部 サブネットをリダイレクトします。

サンプル ASA 構成

wccp web-cache redirect-list web-cache group-list group_acl
wccp 60 redirect-list ftp ネイティブ group-list group_acl
wccp 80 redirect-list https キャッシュ group-list group_acl

wccp インターフェイス内部 Webキャッシュ リダイレクト
60 リダイレクトの中の wccp インターフェイス       
80 リダイレクトの中の wccp インターフェイス

access-list group_acl 拡張割り当て IPホスト 10.1.1.160

access-list ftp ネイティブ拡張拒否 IP 10.0.0.0 255.0.0.0
access-list ftp ネイティブ拡張拒否 IP 172.16.0.0 255.240.0.0
access-list ftp ネイティブ拡張拒否 IP 192.168.0.0 255.255.0.0
access-list ftp ネイティブ拡張拒否 IPホスト 192.168.42.120
access-list ftp ネイティブ拡張割り当て TCP 192.168.42.0 255.255.255.0 eq ftp
access-list ftp ネイティブ拡張割り当ては TCP 192.168.42.0 255.255.255.0 11000 11006 及びます
access-list ftp ネイティブ拡張割り当て TCP 192.168.99.0 255.255.255.0 eq ftp
access-list ftp ネイティブ拡張割り当ては TCP 192.168.99.0 255.255.255.0 11000 11006 及びます
access-list ftp ネイティブ拡張割り当て TCP 192.168.100.0 255.255.255.0 eq ftp
access-list ftp ネイティブ拡張割り当ては TCP 192.168.100.0 255.255.255.0 11000 11006 及びます

access-list https キャッシュは拒否 IP をあらゆる 10.0.0.0 255.0.0.0 伸ばしました
access-list https キャッシュは拒否 IP をあらゆる 172.16.0.0 255.240.0.0 伸ばしました
access-list https キャッシュは拒否 IP をあらゆる 192.168.0.0 255.255.0.0 伸ばしました
access-list https キャッシュ延長拒否 IPホスト 192.168.42.120
access-list https キャッシュは割り当て TCP 192.168.42.0 255.255.255.0 をあらゆる eq https 拡張しました
access-list https キャッシュは割り当て TCP 192.168.99.0 255.255.255.0 をあらゆる eq https 拡張しました
access-list https キャッシュは割り当て TCP 192.168.100.0 255.255.255.0 をあらゆる eq https 拡張しました

access-list web-cache は拒否 IP をあらゆる 10.0.0.0 255.0.0.0 伸ばしました
access-list web-cache は拒否 IP をあらゆる 172.16.0.0 255.240.0.0 伸ばしました
access-list web-cache は拒否 IP をあらゆる 192.168.0.0 255.255.0.0 伸ばしました
access-list web-cache 延長拒否 IPホスト 192.168.42.120
access-list web-cache は割り当て TCP 192.168.42.0 255.255.255.0 をあらゆる eq www 拡張しました
access-list web-cache は割り当て TCP 192.168.99.0 255.255.255.0 をあらゆる eq www 拡張しました
access-list web-cache は割り当て TCP 192.168.100.0 255.255.255.0 をあらゆる eq www 拡張しました

スイッチ構成(c3560)を見本抽出して下さい(ほとんどのルータに余りに取り組むべきです)

IP wccp web-cache redirect-list web-cache group-list group_acl
IP wccp 60 redirect-list ftp ネイティブ group-list group_acl
IP wccp 80 redirect-list https キャッシュ group-list group_acl

インターフェイス Vlan99
IP アドレス 192.168.99.1 255.255.255.0
IP wccp Webキャッシュ リダイレクト
IP wccp 60 リダイレクト
IP wccp 80 リダイレクト

インターフェイス Vlan100
ip address 192.168.100.1 255.255.255.0
IP wccp Webキャッシュ リダイレクト
IP wccp 60 リダイレクト
IP wccp 80 リダイレクト

インターフェイス Vlan420
IP アドレス 192.168.42.1 255.255.255.0
ip helper-address 192.168.100.20
IP wccp Webキャッシュ リダイレクト
IP wccp 60 リダイレクト
IP wccp 80 リダイレクト

IPアクセスリスト拡張 ftp ネイティブ
拒否 IP 10.0.0.0 0.255.255.255
拒否 IP 172.16.0.0 0.15.255.255
拒否 IP 192.168.0.0 0.0.255.255
拒否 IPホスト 192.168.42.120
割り当て TCP 192.168.42.0 0.0.0.255 eq ftp
割り当ては TCP 192.168.42.0 0.0.0.255 11000 11006 及びます
割り当て TCP 192.168.99.0 0.0.0.255 eq ftp
割り当ては TCP 192.168.99.0 0.0.0.255 11000 11006 及びます
割り当て TCP 192.168.100.0 0.0.0.255 eq ftp
割り当ては TCP 192.168.100.0 0.0.0.255 11000 11006 及びます

IPアクセスリスト拡張 https キャッシュ
拒否 IP 10.0.0.0 0.255.255.255
拒否 IP 172.16.0.0 0.15.255.255
拒否 IP 192.168.0.0 0.0.255.255
拒否 IPホスト 192.168.42.120
割り当て TCP 192.168.42.0 0.0.0.255 eq 443
割り当て TCP 192.168.99.0 0.0.0.255 eq 443
割り当て TCP 192.168.100.0 0.0.0.255 eq 443

IPアクセスリスト拡張 web-cache
拒否 IP 10.0.0.0 0.255.255.255
拒否 IP 172.16.0.0 0.15.255.255
拒否 IP 192.168.0.0 0.0.255.255
拒否 IPホスト 192.168.42.120
割り当て TCP 192.168.42.0 0.0.0.255 eq www
割り当て TCP 192.168.99.0 0.0.0.255 eq www
割り当て TCP 192.168.100.0 0.0.0.255 eq www

IPアクセスリスト規格 group_acl
割り当て 10.1.1.160


注意点: WCCP 技術的な制限が原因で、最大 8 つのポートは WCCP サービス ID ごとに割り当てることができます。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118157