Módulos e interfaces de Cisco : Cisco ASA Content Security and Control (CSC) Security Services Module

¿Cómo el módulo de Servicios de seguridad del CSC ASA actúa como proxy para el tráfico HTTP?

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Preguntas


Introducción

Este documento describe cómo el módulo de Servicios de seguridad de la Seguridad y del control del contenido de Cisco ASA (CSC) puede actuar como servidor proxy para el tráfico HTTP.

Consulte Convenciones de Consejos Técnicos de Cisco para obtener información sobre las convenciones sobre documentos.

Nota: Contribuido por Magnus Mortensen, ingeniero de Cisco TAC.

Q. ¿Cómo el módulo de Servicios de seguridad del CSC ASA actúa como proxy para el tráfico HTTP?

A. La comprensión de los pasos implicados en el establecimiento de una conexión HTTP a través del módulo del CSC le ayudará a entender otros problemas (tales como errores y problemas de rendimiento de la página):

  1. Cuando un usuario intenta conectar con un sitio, su navegador envía un paquete SYN a la dirección IP de ese sitio.

  2. El módulo del CSC, que actúa como proxy, intercepta el paquete SYN y contesta con un SYN-ACK en nombre del sitio.

  3. El buscador Web, que está inconsciente que el módulo del CSC actúa como proxy, contesta con un ACK, y una conexión se forma entre la máquina del cliente y el motor del proxy de HTTP del módulo del CSC.

    Nota: La primera mitad de esta conexión se refiere como el socket del lado del cliente (CSS).

  4. En este momento, el navegador piensa que la conexión al sitio es ascendente y funcional, y envía la petición get HTTP.

  5. La petición get HTTP es procesada por el módulo del CSC; es decir, se marca contra las configuraciones del bloqueo de URL/filtering/WRS. Si se permite la petición, el módulo del CSC comienza a establecer una conexión al servidor Web en el sitio.

  6. El motor del proxy de HTTP envía a paquete TCP Syn con una dirección IP de origen y el puerto de origen que hace juego el TCP original SYN el cliente piensa que envió al servidor Web (según lo recibido en el CSS). El servidor Web contesta con un SYN ACK, y el motor del proxy de HTTP responde con un ACK. En este momento, el socket del lado del servidor (SS) está para arriba.

  7. El motor del proxy de HTTP envía el HTTP GET del cliente al servidor Web y el servidor Web contesta con el contenido.

  8. Se analiza/se marca este contenido. Si es limpio, el contenido se remite de nuevo al cliente.

  9. Estos mismos pasos se relanzan para cualquier otra solicitud web del cliente a cualquier servidor Web.

Observe que el buscador del cliente conecta nunca realmente con el sitio; conecta con el CSC el módulo que finge ser el sitio como se ilustra en esta imagen:

http://www.cisco.com/c/dam/en/us/support/docs/interfaces-modules/asa-content-security-control-csc-security-services-module/115747-01.png

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 115747