Безопасность : устройство защиты веб-трафика Cisco

Как я настраиваю IP-спуфинг?

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Содержание

Внесенный Корделией Науман и Сиддхартом Рэджпэзэком, специалистами службы технической поддержки Cisco.

Вопрос

Как я настраиваю IP-спуфинг?


Среда
: Cisco Web Security Appliance (WSA), все версии AsyncOS

Краткое изложение:

В традиционных развертываниях прокси IP-адрес клиента заменен тем из прокси/сервера кэширования. В то время как это предоставляет свойственную безопасность путем маскирования адреса конечного пользователя, в некоторых случаях определенные web - приложения требуют доступа к IP-адресу исходного клиента.

Путем реализования опции "IP-спуфинга" в Cisco Web Security Appliance (WSA) и настройки соответствующих Сервис-групп WCCP на устройстве Cisco IOS, возможно представить IP-адрес клиента web - приложениям вместо IP-адреса WSA. Следующий документ описывает шаги необходимой конфигурации для этой реализации.

Описание:

Для реализации опции "IP-спуфинга" две уникальных Сервис-группы WCCP должны были быть созданы на маршрутизаторе Cisco IOS®. Первая группа 'веба - кэширования' WCCP перенаправляет http/порт 80 трафиков от пользователя к WSA. Определенные списки контроля доступа могут быть настроены (как показано в примере ниже) для управления, какие пользователи защищены Cisco Web Security Appliance. Интерфейс пользователя на маршрутизаторе настроен для перенаправления входящего трафика к этой Сервис-группе WCCP.

Вторая Сервис-группа WCCP должна быть определена как динамический для сервиса ID (идентификатор сервиса SAID 95). Снова список доступа используется для управления тем, какие пользователи защищены (т.е. обеспечьте обход системы в целом). Для веба - трафика return внешний интерфейс на маршрутизаторе настроен для перенаправления его входящего трафика к Сервис-группе WCCP 95.



Document ID: 117949