Безопасность : Cisco Cloud Web Security

Исключение трафика ASA из контроля CWS с Примером конфигурации FQDN

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает, как настроить устройство адаптивной защиты Cisco (ASA) Разъём для исключения трафика из контроля Облачной веб-безопасности (CWS) на основе Полного доменного имени (FQDN). Часто выгодно исключить определенные сайты из контроля CWS полностью (чтобы обойти сервис и передать запросы назначению), если рассматриваемые сайты критически важны и/или доверяемы абсолютно. Это уменьшает загрузку и издержки на устройстве Разъёма, устраняет точку сбоя и увеличивает скорость при доступе к сайтам. Каждая технология Разъёма имеет уникальный способ для настройки исключений.

Внесенный Джастином Тейксейрой, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Этот документ предполагает, что ASA уже настроен для базового сетевого подключения и сервиса CWS.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Версии ASA 9.0 и позже
  • Все модели ASA

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Если используемая сеть является действующей, убедитесь в понимании возможного влияния любой из применяемых команд.

Настройка

  1. Перед настройкой основанных на FQDN исключений ASA должен быть настроен с допустимым Сервером доменных имен (DNS). Для настройки поиска имени введите эти команды:
    asa(config)# domain-name <company domain>
    asa(config)# dns server-group DefaultDNS
    asa(config-dns-server-group)# name-server <DNS Server IP>
    asa(config-dns-server-group)# dns domain-lookup <interface-name>

    Замените поле <company domain> доменом, в котором находится ASA. <IP Сервера DNS> является адресом сервера функциональных DN, которого может достигнуть ASA, и <interface-name> название интерфейса, от которого может быть найден сервер DNS.
  2. Для подтверждения функциональности Поиска DNS введите команду ping. Команда ping должна быть в состоянии решить предоставленное название к IP-адресу.
    asa# ping www.cisco.com
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 173.37.145.84, timeout is 2 seconds:
    !!!!!
  3. Для определения сетевого объекта для каждого FQDN, который должен быть исключен из контроля CWS, ввести эти команды:

    Примечание: Данный пример создает льготы для Google.com, Purple.com и M.YouTube.com.


    asa(config)# object network google.com-obj
    asa(config-network-object)# fqdn google.com
    asa(config-network-object)# object network purple.com-obj
    asa(config-network-object)# fqdn purple.com
    asa(config-network-object)# object network m.youtube.com-obj
    asa(config-network-object)# fqdn m.youtube.com
  4. Для связывания объектов в группу отдельного объекта введите эти команды:

    Примечание: Данный пример обращается к группе как CWS_Exclusions.


    asa(config)# object-group network CWS_Exclusions
    asa(config-network-object-group)# network-object object google.com-obj
    asa(config-network-object-group)# network-object object purple.com-obj
    asa(config-network-object-group)# network-object object m.youtube.com-obj 
  5. Добавьте Расширение списка контроля доступа (ACLE) к Списку контроля доступа (ACL), на который ссылается карта классов CWS. Например, текущий список доступа мог бы быть похожим на это:
    access-list http-c extended permit tcp any any eq www
    access-list http-c extended permit tcp any any eq 8080

    Для добавления льгот разместите запись deny наверху списка, который ссылается на групповой объект, созданный в шаге 4:
    asa(config)# access-list http-c line 1 extended deny ip any object-group 
    CWS_Exclusions

    Чтобы проверить, что access-list был создан правильно, введите команду show access-list:
    asa# show access-list http-c
    access-list http-c; 4 elements; name hash: 0xba5a06bc
    access-list http-c line 1 extended deny ip any object-group CWS_Exclusions
    (hitcnt=0) 0x6161e951
     access-list http-c line 1 extended deny ip any fqdn google.com (unresolved)
    (inactive) 0x48f9ca9e
     access-list http-c line 1 extended deny ip any fqdn purple.com (unresolved)
    (inactive) 0x1f8c5c7c
     access-list http-c line 1 extended deny ip any fqdn m.youtube.com (unresolved)
    (inactive) 0xee068711
    access-list http-c line 2 extended permit tcp any any eq www (hitcnt=0)
    0xe21092a9
    access-list http-c line 3 extended permit tcp any any eq 8080 (hitcnt=0)
    0xe218c5a3

    Примечание: Выходные данные от команды show access-list разворачивают групповой объект, который позволяет вам проверять, что все намеченные FQDNs присутствуют в завершенном списке.

Конфигурации

Начальная конфигурация

Эта конфигурация только содержит соответствующие линии.

...
access-list http-c extended permit tcp any any eq www
access-list http-c extended permit tcp any any eq 8080
!
scansafe general-options
 server primary ip 192.168.100.1 port 8080
 retry-count 5
 license eNdoHF0rNadO4kSf encrypted
!
class-map CWS_HTTP_Traffic
 match access-list http-c
!
policy-map type inspect scansafe CWS_HTTP
 parameters
 default group Default_ASA_Group
 http
policy-map CWS_HTTP_Inspection
 class CWS_HTTP_Traffic
 inspect scansafe CWS_HTTP fail-open
!
service-policy CWS_HTTP_Inspection interface Inside
...

Окончательная конфигурация

Эта конфигурация только содержит соответствующие линии.

...
domain-name company.com
dns server-group DefaultDNS
 name-server 10.0.0.1
dns domain-lookup Outside
!
object network google.com-obj
 fqdn google.com
object network purple.com-obj
 fqdn purple.com
object network m.youtube.com-obj
 fqdn m.youtube.com
!
object-group network CWS_Exclusions
 network-object object google.com-obj
 network-object object purple.com-obj
 network-object object m.youtube.com-obj
!
access-list http-c extended deny ip any object-group CWS_Exclusions
access-list http-c extended permit tcp any any eq www
access-list http-c extended permit tcp any any eq 8080
!
scansafe general-options
 server primary ip 192.168.100.1 port 8080
 retry-count 5
 license eNdoHF0rNadO4kSf encrypted
!
class-map CWS_HTTP_Traffic
 match access-list http-c
!
policy-map type inspect scansafe CWS_HTTP
 parameters
 default group Default_ASA_Group
 http
policy-map CWS_HTTP_Inspection
 class CWS_HTTP_Traffic
 inspect scansafe CWS_HTTP fail-open
!
service-policy CWS_HTTP_Inspection interface Inside
...

Проверка.

Для подтверждения access-list, используемого для определения трафика, который осмотрен CWS, введите show access-list <команда name> acl:

asa# show access-list http-c
access-list http-c; 17 elements; name hash: 0xba5a06bc
access-list http-c line 1 extended deny ip any object-group CWS_Exclusions
(hitcnt=0) 0x6161e951
 access-list http-c line 1 extended deny ip any fqdn google.com (resolved)
0x48f9ca9e
 access-list http-c line 1 extended deny ip any fqdn purple.com (resolved)
0x1f8c5c7c
 access-list http-c line 1 extended deny ip any fqdn m.youtube.com (resolved)
0xee068711
 access-list http-c line 1 extended deny ip any host 153.104.63.227 (purple.com)
(hitcnt=0) 0x5b6c3170
 access-list http-c line 1 extended deny ip any host 74.125.228.97 (m.youtube.com)
(hitcnt=0) 0x8f20f731
 access-list http-c line 1 extended deny ip any host 74.125.228.98 (m.youtube.com)
(hitcnt=0) 0x110e4163
 access-list http-c line 1 extended deny ip any host 74.125.228.99 (m.youtube.com)
(hitcnt=0) 0x5a188b6f
 access-list http-c line 1 extended deny ip any host 74.125.228.100 (m.youtube.com)
(hitcnt=0) 0xa27504c4
 access-list http-c line 1 extended deny ip any host 74.125.228.101 (m.youtube.com)
(hitcnt=0) 0x714d36b9
 access-list http-c line 1 extended deny ip any host 74.125.228.102 (m.youtube.com)
(hitcnt=0) 0x158951c0
 access-list http-c line 1 extended deny ip any host 74.125.228.103 (m.youtube.com)
(hitcnt=0) 0x734a5b42
 access-list http-c line 1 extended deny ip any host 74.125.228.104 (m.youtube.com)
(hitcnt=0) 0xeeed1641
 access-list http-c line 1 extended deny ip any host 74.125.228.105 (m.youtube.com)
(hitcnt=0) 0x0b4b1eb3
 access-list http-c line 1 extended deny ip any host 74.125.228.110 (m.youtube.com)
(hitcnt=0) 0x2b0e5275
 access-list http-c line 1 extended deny ip any host 74.125.228.96 (m.youtube.com)
(hitcnt=0) 0x315ed3b2
access-list http-c line 2 extended permit tcp any any eq www
(hitcnt=0) 0xe21092a9
access-list http-c line 3 extended permit tcp any any eq 8080 (hitcnt=0)
0xe218c5a3

Примечание: Групповой объект и решенные адреса расширены в выходных данных.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.