Seguridad : Dispositivo de seguridad web Cisco

Muestree la configuración de la redirección transparente usando el WCCP para reorientar el tráfico nativo FTP

25 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (23 Abril 2015) | Comentarios

Contenido

Contribuido por Tim Davidson y Siddharth Rajpathak, ingenieros de Cisco TAC.

Pregunta:

¿Cómo configurar WSA/al router Cisco para soportar la redirección transparente del HTTP, del HTTPS y del tráfico nativo FTP usando el WCCP?

Entorno:  Dispositivo de seguridad de la red de Cisco que funciona con la versión 6.0 posterior de AsyncOS, natural proxy FTP habilitado en WSA, router Cisco del WCCPv2/Switch o Firewall compatible ASA

Solución:

Cuando está siendo el tráfico nativo FTP reoriente transparente a WSA, WSA recibirá típicamente el tráfico en el puerto estándar 21 FTP. Por lo tanto, el natural proxy FTP en WSA debe escuchar en el puerto 21 (por abandono el natural proxy FTP es 8021).

  • Usted puede verificar esto bajo servicios del > Security (Seguridad) GUI > proxy FTP

Siga por favor los pasos abajo para configurar

Config WSA

  1. Cree una identidad para el tráfico FTP (bajo GUI administrador de seguridad > las identidades de la red). Aseegurese por favor que la autenticación se ha inhabilitado para este ID.
  2. Cree una política de acceso (bajo GUI administrador de seguridad > las políticas de acceso de la red) que se refiera a la identidad antedicha
  3. Bajo proxy FTP configuraciones, modifique los puertos pasivos FTP para ser 11000-11006 (asegurarse de que todos los puertos cabidos en un solo grupo de servicios)
  4. Cree el ID del servicio siguiente WCCP.

    Puertos del servicio de nombre
    caché Web 0 80 (alternativamente podemos utilizar el aduana-red-caché 98 si usan WSA múltiples)
    60 21,11000,11001,11002,11003,11004,11005,11006 FTP-nativos
    https-caché 80 443

El siguiente ejemplo reorienta tres subredes internas mientras que desvía el redireccionamiento de WCCP para todos los destinos privado dirigidos así como un solo host interno.

Config de la muestra ASA

group_acl de la lista de grupo del caché Web de la reorientar-lista del caché Web del wccp
group_acl FTP-nativo de la lista de grupo de la reorientar-lista del wccp 60
group_acl de la lista de grupo del https-caché de la reorientar-lista del wccp 80

el caché Web interior de la interfaz del wccp reorienta adentro
la interfaz 60 interiores del wccp reorienta adentro       
la interfaz 80 interiores del wccp reorienta adentro

el group_acl de la lista de acceso amplió el host 10.1.1.160 del IP del permiso

extendidos FTP-nativos de la lista de acceso niegan a IP cualquier 10.0.0.0 255.0.0.0
extendidos FTP-nativos de la lista de acceso niegan a IP cualquier 172.16.0.0 255.240.0.0
extendidos FTP-nativos de la lista de acceso niegan a IP cualquier 192.168.0.0 255.255.0.0
extendidos FTP-nativos de la lista de acceso niegan el host 192.168.42.120 ninguno del IP
permiso extendido FTP-nativo tcp 192.168.42.0 255.255.255.0 de la lista de acceso cualquier ftp del eq
permiso extendido FTP-nativo tcp 192.168.42.0 255.255.255.0 de la lista de acceso cualquier rango 11000 11006
permiso extendido FTP-nativo tcp 192.168.99.0 255.255.255.0 de la lista de acceso cualquier ftp del eq
permiso extendido FTP-nativo tcp 192.168.99.0 255.255.255.0 de la lista de acceso cualquier rango 11000 11006
permiso extendido FTP-nativo tcp 192.168.100.0 255.255.255.0 de la lista de acceso cualquier ftp del eq
permiso extendido FTP-nativo tcp 192.168.100.0 255.255.255.0 de la lista de acceso cualquier rango 11000 11006

el https-caché de la lista de acceso extendido niega a IP cualquier 10.0.0.0 255.0.0.0
el https-caché de la lista de acceso extendido niega a IP cualquier 172.16.0.0 255.240.0.0
el https-caché de la lista de acceso extendido niega a IP cualquier 192.168.0.0 255.255.0.0
el https-caché de la lista de acceso extendido niega el host 192.168.42.120 ninguno del IP
el https-caché de la lista de acceso extendió el permiso tcp 192.168.42.0 255.255.255.0 cualquier https del eq
el https-caché de la lista de acceso extendió el permiso tcp 192.168.99.0 255.255.255.0 cualquier https del eq
el https-caché de la lista de acceso extendió el permiso tcp 192.168.100.0 255.255.255.0 cualquier https del eq

el caché Web de la lista de acceso ampliado niega a IP cualquier 10.0.0.0 255.0.0.0
el caché Web de la lista de acceso ampliado niega a IP cualquier 172.16.0.0 255.240.0.0
el caché Web de la lista de acceso ampliado niega a IP cualquier 192.168.0.0 255.255.0.0
el caché Web de la lista de acceso ampliado niega el host 192.168.42.120 ninguno del IP
el caché Web de la lista de acceso extendió el permiso tcp 192.168.42.0 255.255.255.0 cualquier eq WWW
el caché Web de la lista de acceso extendió el permiso tcp 192.168.99.0 255.255.255.0 cualquier eq WWW
el caché Web de la lista de acceso extendió el permiso tcp 192.168.100.0 255.255.255.0 cualquier eq WWW

Muestree los Config del Switch (c3560) (debe trabajar en la mayoría del Routers también)

group_acl de la lista de grupo del caché Web de la reorientar-lista del caché Web del wccp del IP
group_acl FTP-nativo de la lista de grupo de la reorientar-lista del wccp 60 del IP
group_acl de la lista de grupo del https-caché de la reorientar-lista del wccp 80 del IP

interfaz Vlan99
dirección IP 192.168.99.1 255.255.255.0
el caché Web del wccp del IP reorienta adentro
el wccp 60 del IP reorienta adentro
el wccp 80 del IP reorienta adentro

interfaz Vlan100
dirección IP 192.168.100.1 255.255.255.0
el caché Web del wccp del IP reorienta adentro
el wccp 60 del IP reorienta adentro
el wccp 80 del IP reorienta adentro

interfaz Vlan420
dirección IP 192.168.42.1 255.255.255.0
ip helper-address 192.168.100.20
el caché Web del wccp del IP reorienta adentro
el wccp 60 del IP reorienta adentro
el wccp 80 del IP reorienta adentro

FTP-nativo extendido de la lista de acceso del IP
niegue a IP cualquier 10.0.0.0 0.255.255.255
niegue a IP cualquier 172.16.0.0 0.15.255.255
niegue a IP cualquier 192.168.0.0 0.0.255.255
niegue el host 192.168.42.120 ninguno del IP
permita tcp 192.168.42.0 0.0.0.255 cualquier ftp del eq
permita tcp 192.168.42.0 0.0.0.255 cualquier rango 11000 11006
permita tcp 192.168.99.0 0.0.0.255 cualquier ftp del eq
permita tcp 192.168.99.0 0.0.0.255 cualquier rango 11000 11006
permita tcp 192.168.100.0 0.0.0.255 cualquier ftp del eq
permita tcp 192.168.100.0 0.0.0.255 cualquier rango 11000 11006

https-caché extendido de la lista de acceso del IP
niegue a IP cualquier 10.0.0.0 0.255.255.255
niegue a IP cualquier 172.16.0.0 0.15.255.255
niegue a IP cualquier 192.168.0.0 0.0.255.255
niegue el host 192.168.42.120 ninguno del IP
permita tcp 192.168.42.0 0.0.0.255 cualquier eq 443
permita tcp 192.168.99.0 0.0.0.255 cualquier eq 443
permita tcp 192.168.100.0 0.0.0.255 cualquier eq 443

caché Web extendido de la lista de acceso del IP
niegue a IP cualquier 10.0.0.0 0.255.255.255
niegue a IP cualquier 172.16.0.0 0.15.255.255
niegue a IP cualquier 192.168.0.0 0.0.255.255
niegue el host 192.168.42.120 ninguno del IP
permita tcp 192.168.42.0 0.0.0.255 cualquier eq WWW
permita tcp 192.168.99.0 0.0.0.255 cualquier eq WWW
permita tcp 192.168.100.0 0.0.0.255 cualquier eq WWW

group_acl del estándar de la lista de acceso del IP
permiso 10.1.1.160


Observe por favor: Debido a la limitación de tecnología WCCP, un máximo de 8 puertos se puede asignar por la identificación de servicio WCCP.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 118157