Безопасность : устройство защиты веб-трафика Cisco

Типовая Прозрачная конфигурация Переназначения с помощью WCCP для перенаправления родного движения FTP

17 октября 2015 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Содержание

Внесенный Тимом Дэвидсоном и Сиддхартом Рэджпэзэком, Cisco инженеры TAC.

Вопрос:

Как формировать WSA / Cisco Маршрутизатор для поддержки прозрачного переназначения HTTP, HTTPS и родного движения FTP с помощью WCCP?

Окружающая среда: Веб-управление Прибора безопасности Cisco версия 6.0 AsyncOS или более новое, родное полномочие FTP позволило на WSA, WCCPv2 совместимая Cisco Маршрутизатор/Выключатель или Брандмауэр ASA

Решение:

Когда родное движение FTP будет перенаправлением прозрачно к WSA, WSA будет, как правило, получать движение на стандартном порту FTP 21. Следовательно, родное полномочие FTP на WSA должно слушать на порту 21 (по умолчанию, родное полномочие FTP 8021).

  • Можно проверить это под GUI> Службы безопасности> Полномочие FTP

Следуйте ниже шагов для формирования

WSA Config

  1. Создайте идентичность для движения FTP (Под GUI > Веб-Руководитель службы безопасности Тождества). Удостоверьтесь, что идентификация была отключена для этого ID.
  2. Создайте политику доступа (Под GUI > Веб-Руководитель службы безопасности > политика Доступа), который ссылается на вышеупомянутую идентичность
  3. При параметрах настройки полномочия FTP Измените FTP Пассивные порты, чтобы быть 11000-11006 (Чтобы гарантировать, что все порты вписываются в единственную сервисную группу),
  4. Создайте следующий идентификатор Службы WCCP.

    Служба имен                  порты
    веб-тайник       0               80 (альтернативно мы можем использовать 98 таможенных веб-тайников при использовании многократного WSA's),
    местный житель ftp        60             21,11000,11001,11002,11003,11004,11005,11006
    https-тайник                  80 443

Следующий пример (ы) перенаправляет три внутренних подсети при обходе переназначения WCCP для всех конфиденциально обращенных мест назначения, а также единственного внутреннего хозяина.

Образец ASA Config

список группы веб-тайника списка перенаправления веб-тайника wccp group_acl
список группы местного жителя ftp списка перенаправления wccp 60 group_acl
список группы wccp 80 https-тайника списка перенаправления group_acl

wccp взаимодействуют в перенаправлении веб-тайника в
wccp взаимодействуют в 60 перенаправлениях в       
wccp взаимодействуют в 80 перенаправлениях в

список доступа group_acl расширенный IP разрешения принимает 10.1.1.160 любой

местный житель ftp списка доступа простирался, отрицают IP любой 10.0.0.0 255.0.0.0
местный житель ftp списка доступа простирался, отрицают IP любой 172.16.0.0 255.240.0.0
местный житель ftp списка доступа простирался, отрицают IP любой 192.168.0.0 255.255.0.0
местный житель ftp списка доступа простирался, отрицают, что IP принимает 192.168.42.120 любой
местный житель ftp списка доступа расширил разрешение tcp 192.168.42.0 255.255.255.0 любого eq ftp
местный житель ftp списка доступа расширил разрешение tcp 192.168.42.0 255.255.255.0 любых диапазонов 11000 11006
местный житель ftp списка доступа расширил разрешение tcp 192.168.99.0 255.255.255.0 любого eq ftp
местный житель ftp списка доступа расширил разрешение tcp 192.168.99.0 255.255.255.0 любых диапазонов 11000 11006
местный житель ftp списка доступа расширил разрешение tcp 192.168.100.0 255.255.255.0 любого eq ftp
местный житель ftp списка доступа расширил разрешение tcp 192.168.100.0 255.255.255.0 любых диапазонов 11000 11006

https-тайник списка доступа простирался, отрицают IP любой 10.0.0.0 255.0.0.0
https-тайник списка доступа простирался, отрицают IP любой 172.16.0.0 255.240.0.0
https-тайник списка доступа простирался, отрицают IP любой 192.168.0.0 255.255.0.0
https-тайник списка доступа простирался, отрицают, что IP принимает 192.168.42.120 любой
https-тайник списка доступа расширил разрешение tcp 192.168.42.0 255.255.255.0 любых eq https
https-тайник списка доступа расширил разрешение tcp 192.168.99.0 255.255.255.0 любых eq https
https-тайник списка доступа расширил разрешение tcp 192.168.100.0 255.255.255.0 любых eq https

веб-тайник списка доступа простирался, отрицают IP любой 10.0.0.0 255.0.0.0
веб-тайник списка доступа простирался, отрицают IP любой 172.16.0.0 255.240.0.0
веб-тайник списка доступа простирался, отрицают IP любой 192.168.0.0 255.255.0.0
веб-тайник списка доступа простирался, отрицают, что IP принимает 192.168.42.120 любой
веб-тайник списка доступа расширил разрешение tcp 192.168.42.0 255.255.255.0 любых eq www
веб-тайник списка доступа расширил разрешение tcp 192.168.99.0 255.255.255.0 любых eq www
веб-тайник списка доступа расширил разрешение tcp 192.168.100.0 255.255.255.0 любых eq www

Типовой Config (c3560) Выключателя (должен работать над большинством маршрутизаторов также),

IP wccp список группы веб-тайника списка перенаправления веб-тайника group_acl
список группы местного жителя ftp списка перенаправления ip wccp 60 group_acl
список группы ip wccp 80 https-тайника списка перенаправления group_acl

интерфейс Vlan99
IP-адрес 192.168.99.1 255.255.255.0
IP wccp перенаправление веб-тайника в
перенаправление ip wccp 60 в
перенаправление ip wccp 80 в

интерфейс Vlan100
IP-адрес 192.168.100.1 255.255.255.0
IP wccp перенаправление веб-тайника в
перенаправление ip wccp 60 в
перенаправление ip wccp 80 в

интерфейс Vlan420
IP-адрес 192.168.42.1 255.255.255.0
IP адрес помощника 192.168.100.20
IP wccp перенаправление веб-тайника в
перенаправление ip wccp 60 в
перенаправление ip wccp 80 в

IP список доступа расширил местного жителя ftp
отрицайте   IP любой 10.0.0.0 0.255.255.255
отрицайте   IP любой 172.16.0.0 0.15.255.255
отрицайте   IP любой 192.168.0.0 0.0.255.255
отрицайте   , что IP принимает 192.168.42.120 любой
разрешите tcp 192.168.42.0 0.0.0.255 любого eq ftp
разрешите tcp 192.168.42.0 0.0.0.255 любых диапазона 11000 11006
разрешите tcp 192.168.99.0 0.0.0.255 любого eq ftp
разрешите tcp 192.168.99.0 0.0.0.255 любых диапазона 11000 11006
разрешите tcp 192.168.100.0 0.0.0.255 любого eq ftp
разрешите tcp 192.168.100.0 0.0.0.255 любых диапазона 11000 11006

IP список доступа расширил https-тайник
отрицайте   IP любой 10.0.0.0 0.255.255.255
отрицайте   IP любой 172.16.0.0 0.15.255.255
отрицайте   IP любой 192.168.0.0 0.0.255.255
отрицайте   , что IP принимает 192.168.42.120 любой
разрешите tcp 192.168.42.0 0.0.0.255 любых eq 443
разрешите tcp 192.168.99.0 0.0.0.255 любых eq 443
разрешите tcp 192.168.100.0 0.0.0.255 любых eq 443

IP список доступа расширил веб-тайник
отрицайте   IP любой 10.0.0.0 0.255.255.255
отрицайте   IP любой 172.16.0.0 0.15.255.255
отрицайте   IP любой 192.168.0.0 0.0.255.255
отрицайте   , что IP принимает 192.168.42.120 любой
разрешите tcp 192.168.42.0 0.0.0.255 любых eq www
разрешите tcp 192.168.99.0 0.0.0.255 любых eq www
разрешите tcp 192.168.100.0 0.0.0.255 любых eq www

IP стандарт списка доступа group_acl
разрешение 10.1.1.160


Отметьте: из-за технологического ограничения WCCP, максимум 8 портов может быть назначен за обслуживание WCCP ID..


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 118157