Интерфейсы и модули Cisco : Модуль Служб безопасности Cisco ASA Content Security and Control (CSC)

Как совершает поступок Модуля Сервисов безопасности CSC ASA как прокси для трафика HTTP?

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Вопросы


Введение

Этот документ описывает, как Безопасность содержания Cisco ASA и Контроль (CSC) Модуль Сервисов безопасности могут действовать как прокси-сервер для трафика HTTP.

Сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Примечание: Внесенный Магнусом Мортенсеном, специалистом службы технической поддержки Cisco.

Вопрос. Как совершает поступок Модуля Сервисов безопасности CSC ASA как прокси для трафика HTTP?

О. Понимание шагов, вовлеченных в установление соединения HTTP через модуль CSC, поможет вам понимать другие проблемы (такие как ошибки страницы и проблемы производительности):

  1. Когда пользователь пытается соединиться с узлом, их браузер передает SYN - пакет к IP-адресу того узла.

  2. Модуль CSC, который действует как прокси, перехватывает SYN - пакет и ответы с SYN-ACK от имени узла.

  3. Web-браузер, который не сознает, что модуль CSC действует как прокси, отвечает с ACK, и соединение сформировано между клиентским компьютером и механизмом HTTP прокси модуля CSC.

    Примечание: Первая половина этого соединения упоминается как Сокет клиентской стороны (CSS).

  4. На этом этапе браузер думает, что соединение с узлом подключено и функционально, и это передает HTTP-запрос GET.

  5. HTTP-запрос GET обработан модулем CSC; т.е. это проверено против Блокирования URL - адреса/filtering/WRS параметры настройки. Если запрос позволен, модуль CSC начинает устанавливать соединение с Web-сервером на узле.

  6. Механизм HTTP прокси передает Пакет TCP SYN с IP - адресом источника и исходным портом, который совпадает с исходным SYN TCP, клиент думает, что это передало к Web-серверу (как получено на CSS). Ответы Web-сервера с ACK SYN и механизм HTTP прокси отвечают ACK. На этом этапе сокет серверной части (SSS) подключен.

  7. Механизм HTTP прокси передает GET HTTP клиента к Web-серверу и ответам Web-сервера с содержанием.

  8. Это содержание просмотрено/проверено. Если это чисто, содержание передано назад клиенту.

  9. Эти те же шаги повторены для любого другого веб-запроса от клиента на любой Web-сервер.

Обратите внимание на то, что клиентский браузер никогда действительно соединяется с узлом; это соединяется с модулем CSC, который симулирует быть узлом, как проиллюстрировано в этом образе:

http://www.cisco.com/c/dam/en/us/support/docs/interfaces-modules/asa-content-security-control-csc-security-services-module/115747-01.png


Дополнительные сведения


Document ID: 115747