Безопасность : Cisco Cloud Web Security

Облачные веб-шаги миграции безопасности и часто задаваемые вопросы для башен следующего поколения

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (21 апреля 2016) | Отзыв

Содержание

Связанные обсуждения сообщества поддержки Cisco

Введение

Этот документ содержит Конец Сервисного объявления и описывает изменения конфигурации для Облачной веб-безопасности (CWS) Cisco. CWS Cisco находится в процессе обновления его текущей облачной архитектуры для удовлетворения потребностей клиентов. Это не должно только поддерживать план развития функции, но также и улучшить масштаб и высокую доступность полного решения.

Как часть обязательств Cisco постоянно улучшить качество нашей Безопасности как сервис предложения, Cisco просит, чтобы вы переместились в заменяющий прокси, таким образом, может быть исключена текущая платформа. Это - обязательный процесс, который гарантирует, что CWS Cisco может соответственно обслужить своих клиентов. Ваш текущий прокси будет скоро исключен (см. таблицу в "Устаревшем Конце Башен CWS Сервисного Объявления" раздел для дат). Гарантируйте, что вы следуете инструкциям в этом документе для настройки доступа к Башне следующего поколения (NGT). Знайте, что при пропавших без вести этой даты вы рискуете потерей доступа к сервису. Cisco ценит, что это требует времени и усилия с Вашей стороны и оценивает вашу помощь для достижения этого улучшения нашего сервиса.

Внесенный инженерами Cisco.

Устаревший конец башен CWS сервисного объявления

Cisco объявляет о конце - сервисных дат каждой из Устаревших Башен, перечисленных в этой таблице. В последний день для миграции для каждой устаревшей башни перечислено. После этой даты сервис CWS больше не будет доступен из той башни. Это является обязательным для клиентов, на которых влияют, для миграции на Облачную веб-Безопасность Cisco NGT во избежание сервисного разрушения.

Башня, на которую влияют,Подробные данныеПоследняя дата сервисаЗаменяющая башняПодробные данные
Сидней (SYD2)

CWS Cisco Середина прокси Башни

Формат: proxyXXXX.scansafe.net
(XXXX = номер)

15-го мая 2015Сидней (SYD3)CWS Cisco NGT (Башня Следующего поколения) прокси.
Формат: access7XX.cws.sco.cisco.com
(ХХ = номер)
Даллас (DAL1)

CWS Cisco Середина прокси Башни

Формат: proxyXXXX.scansafe.net
(XXXX = номер)

15-го мая 2015Даллас (DAL1)CWS Cisco NGT (Башня Следующего поколения) прокси.
Формат: access3XX.cws.sco.cisco.com
(ХХ = номер)
Франкфурт (FRA1 и FRA2)

CWS Cisco Середина прокси Башни

Формат: proxyXXXX.scansafe.net
(XXXX = номер)

30-го июня 2015Франкфурт (FRA2)CWS Cisco NGT (Башня Следующего поколения) прокси.
Формат: access5XX.cws.sco.cisco.com
(ХХ = номер)
Чикаго (CHI1)

CWS Cisco Середина прокси Башни

Формат: proxyXXXX.scansafe.net
(XXXX = номер)

31-го августа 2015Чикаго (CHI2)CWS Cisco NGT (Башня Следующего поколения) прокси.
Формат: access4XX.cws.sco.cisco.com
(ХХ = номер)
Секокус (SCS1 и SCS2)

CWS Cisco Середина прокси Башни

Формат: proxyXXXX.scansafe.net
(XXXX = номер)

31-го августа 2015Секокус (SCS2)CWS Cisco NGT (Башня Следующего поколения) прокси.
Формат: access2XX.cws.sco.cisco.com
(ХХ = номер)
Лондон (LON4)

CWS Cisco Середина прокси Башни

Формат: proxyXXXX.scansafe.net
(XXXX = номер)

31-го августа 2015Лондон (LON5)CWS Cisco NGT (Башня Следующего поколения) прокси.
Формат: access0XX.cws.sco.cisco.com
(ХХ = номер)
Сан-Хосе (SJL1)

CWS Cisco Середина прокси Башни

Формат: proxyXXXX.scansafe.net
(XXXX = номер)

31-го августа 2015Сан-Хосе (SJL1)CWS Cisco NGT (Башня Следующего поколения) прокси.
Формат: access8XX.cws.sco.cisco.com
(ХХ = номер)
Сан-Паулу (SAO1)

CWS Cisco Середина прокси Башни

Формат: proxyXXXX.scansafe.net
(XXXX = номер)

13-го марта 2016Сан-Паулу (SAO2)CWS Cisco NGT (Башня Следующего поколения) прокси.
Формат: access12XX.cws.sco.cisco.com
(ХХ = номер)

Изменения конфигурации CWS

Зависящий, на который способ подключения вы используете для Сервиса CWS, ваша конфигурация должна будет быть изменена для обеспечения правильного соединения NGT. Это руководство выделяет надлежащие изменения для создания для каждого из этих разъёмов.

ASA как разъём к CWS

Для Разъёма ASA необходимо изменить опции ScanSafe в конфигурации. Конфигурация заменяет башню текущего основного новым NGT. Это может быть сделано или от CLI или от интерфейса Менеджера устройств адаптивной безопасности (ASDM) (ASDM). Шаги предоставлены в этом разделе.

CLI

Конфигурация прежде
scansafe general-options
server primary {ip | fqdn} [PRIMARY TOWER] port 8080
server backup {ip | fqdn } [SECONDARY TOWER] port 8080
retry-count 5
license [AUTH KEY HERE]

Конфигурация после
scansafe general-options
server primary {ip | fqdn} [NGT TOWER] port 8080
server backup {ip | fqdn} SECONDARY TOWER] port 8080
retry-count 5
license [AUTH KEY HERE]

Примечание: Не изменяйте лицензионный ключ. Если вы хотите загрузить новую конфигурацию, повторно войти в исходный ключ. Ключ может быть выбран от ASA с большем system:running-config |, включают команду лицензии.

Шаги Изменения конфигурации через CLI

От CLI на ASA введите эти команды при использовании IP-адресов:

CCWS_ASA# configure terminal
CCWS_ASA(config)# scansafe general-options
CCWS_ASA(config)# no server primary ip [EXISTING PRIMARY PROXY IP HERE] port 8080
CCWS_ASA(config)# server primary ip [NEW PRIMARY NGT PROXY IP HERE] port 8080
CCWS_ASA(config)# exit
CCWS_ASA(config)# write memory

От CLI на ASA введите эти команды при использовании Полного доменного имени (FQDN):

CCWS_ASA# configure terminal
CCWS_ASA(config)# scansafe general-options
CCWS_ASA(config)# no server primary fqdn [EXISTING PRIMARY PROXY FQDN HERE] port 8080
CCWS_ASA(config)# server primary fqdn [NEW PRIMARY NGT PROXY FQDN HERE] port 8080
CCWS_ASA(config)# exit
CCWS_ASA(config)# write memory

ASDM

  1. От устройства через ASDM выберите Configuration> Device Management.
    • Для одиночного контекста выберите Cloud Web Security из левой панели.
    • Для мультиконтекста введите Системный Контекст и затем выберите Cloud Web Security из левой панели.
  2. В IP-адресе Основного сервера и Сервера резервного копирования / поля/Domain Name, введите IP-адрес NGT или FQDN и нажмите Apply.

  3. От Меню Файл выберите Save Running Configuration to Flash.

Связанный дефект

CSCuj86222 идентификатора ошибки Cisco - Отбрасывания ASA сегменты TCP OoO, когда Проксирование Ведет для Перенаправления ScanSafe

Примечание: При выполнении известного выпуска, на который влияют Cisco рекомендует обновить к выпуску с этим исправленным дефектом.

Когда вы мигрируете на NGT, для предотвращения изменений в будущем рекомендуется использовать FQDN. Считайте этот раздел для шагов для настройки Поиска DNS.

Настройте поиск DNS

Конфигурация CWS на ASA, который использует FQDN, требует использования сервера (серверов) DNS для доступа к прокси CWS Доменным именем. Однажды поиск Доменного имени и сервер (серверы) DNS настроен, ASA может решить FQDN прокси. Удостоверьтесь, что вы настраиваете соответствующую маршрутизацию для любого интерфейса, на котором вы включаете поиск Домена DNS, таким образом, можно достигнуть сервера DNS.

CLI
hostname(config)# dns domain-lookup interface_name
hostname(config)# dns server-group DefaultDNS
hostname(config-dns-server-group)# name-server ip_address [ip_address2]..[ip_address6]

ASDM

ISR G2 как разъём к CWS

Для Cisco ISR G2 необходимо будет изменить карту параметра "просмотра содержания". Конфигурация заменяет текущего основного сервер ScanSafe новым NGT. Шаги показывают в этом разделе.

CLI - освобождает ранее, чем выпуск 15.4 (2) T

Конфигурация прежде
parameter-map type content-scan global
server scansafe primary {ipv4 | name} [PRIMARY TOWER] port http 8080 https 8080
server scansafe secondary {ipv4 | name} [SECONDAY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

Конфигурация после
parameter-map type content-scan global
server scansafe primary {ipv4 | name} [NGT TOWER] port http 8080 https 8080
server scansafe secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

Шаги Изменения конфигурации через CLI

От CLI на ISR введите эти команды при использовании IP-адресов:

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type content-scan global
CCWS_ISRg2(config)# no server scansafe primary ipv4 [EXISTING PRIMARY PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server scansafe primary ipv4 [NEW PRIMARY NGT PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

От CLI на ISR введите эти команды при использовании FQDN:

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type content-scan global
CCWS_ISRg2(config)# no server scansafe primary name [EXISTING PRIMARY PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server scansafe primary name [NEW PRIMARY NGT PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

Примечание: Не изменяйте лицензионный ключ. Если вы хотите, чтобы загрузить новую конфигурацию, повторно войти в исходный ключ.

CLI - освобождает позже, чем выпуск 15.4 (2) T

Конфигурация прежде
parameter-map type cws global
server cws primary {ipv4 | name} [PRIMARY TOWER] port http 8080 https 8080
server cws secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

Конфигурация после
parameter-map type cws global
server cws primary {ipv4 | name} [NGT TOWER] port http 8080 https 8080
server cws secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080
license 0 [AUTH KEY HERE]
source interface [INTERFACE]
timeout server 30
user-group [GROUP] username [NAME]
server scansafe on-failure allow-all

Шаги Изменения конфигурации через CLI

От CLI на ISR введите эти команды при использовании IP-адресов:

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type cws global
CCWS_ISRg2(config)# no server cws primary ipv4 [EXISTING PRIMARY PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server cws primary ipv4 [NEW PRIMARY NGT PROXY IP HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

От CLI на ISR введите эти команды при использовании FQDN:

CCWS_ISRg2# configure terminal
CCWS_ISRg2(config)# parameter-map type cws global
CCWS_ISRg2(config)# no server cws primary name [EXISTING PRIMARY PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# server cws primary name [NEW PRIMARY NGT PROXY FQDN HERE]
port http 8080 https 8080

CCWS_ISRg2(config)# exit
CCWS_ISRg2# write memory

Примечание: Не изменяйте лицензионный ключ. Если вы хотите, чтобы загрузить новую конфигурацию, повторно войти в исходный ключ.

Когда вы мигрируете на NGT, для предотвращения изменений в будущем рекомендуется использовать FQDN. Считайте следующий раздел для шагов для настройки Поиска DNS.

Настройте поиск DNS

Конфигурация CWS на ISR, который использует FQDN, требует использования сервера (серверов) DNS для доступа к прокси CWS Доменным именем. Как только поиск Доменного имени и сервер (серверы) DNS настроены, ISR может решить FQDN прокси.

hostname(config)#ip domain lookup
hostname(config)#ip name-server [ vrf vrf-name ] server-address1
server-address2...server-address6]

WSA как разъём к CWS

Для Cisco WSA необходимо будет изменить Прокси-серверы CWS. Эта конфигурация заменяет основной сервер новым NGT. Это завершено из портала конфигурации WSA. Шаги показывают в этом разделе.

  1. Войдите к веб-порталу WSA. Из меню Network выберите Cloud Connector.

  2. Нажмите кнопку Edit Settings (Изменить настройки).

  3. Измените Адрес сервера для отражения новой башни. Нажмите кнопку Submit (Отправить).

  4. Нажмите Commit Changes.

  5. Введите (дополнительный) комментарий и передайте изменения WSA.

Собственный разъём как разъём к CWS

Для Собственного Разъёма необходимо модифицировать "agent.properties" файл с новым основным NGT. Для завершения этого непосредственно отредактируйте файл для имения "Основного Прокси" быть NGT. Затем перезапустите Сервис Разъёма.

  1. Отредактируйте "agent.properties" файл.
    • Для Windows agent.properties файл расположен в "\Program Файлы (x86) \Connector" каталог.
    • Для Linux agent.properties файл расположен в "/opt/connector /" каталог.

    Конфигурация прежде
    # #############################################################
    # Configure upstream service
    defaultUpstreamPort=8080

    # Primary upstream server
    primaryProxy=[PRIMARY TOWER]
    primaryProxyPort=8080
    primaryProxyType=plain

    secondaryProxy=[SECONDARY TOWER]
    secondaryProxyPort=8080
    secondaryProxyType=plain

    tertiaryProxy=
    tertiaryProxyPort=
    tertiaryProxyType=plain

    # #############################################################

    Конфигурация после
    # #############################################################
    # Configure upstream service
    defaultUpstreamPort=8080

    # Primary upstream server
    primaryProxy=[NGT TOWER]
    primaryProxyPort=8080
    primaryProxyType=plain

    secondaryProxy=[SECONDARY TOWER]
    secondaryProxyPort=8080
    secondaryProxyType=plain

    tertiaryProxy=
    tertiaryProxyPort=
    tertiaryProxyType=plain

    # #############################################################
  2. Перезапустите службу.
    • Для Windows, открытого Services.msc. Щелкните правой кнопкой мыши Разъём и нажмите Restart.

    • Для Linux введите команду перезапуска/etc/init.d/connector.

ASA использует преобразование сетевых адресов назначения для перенаправления к CWS

Это только для трафика HTTP. ASA, который выполняет Выпуск 8.3 и более поздний источник поддержек и преобразование сетевых адресов назначения.

Для ASA, поскольку разъём, который использует преобразование сетевых адресов назначения, использует Ручную/Дважды Характеристику NAT, доступную на Выпуске 8.3 ASA или позже. При использовании преобразования сетевых адресов назначения для передачи трафика к башням CWS необходимо изменить IP-адрес башни в Выражении NAT.

В примере конфигурации на ASA существует два интерфейса. А именно, "внутри" (Уровень безопасности 100) и "снаружи" (Уровень безопасности 0).

CLI

Конфигурация прежде
! Internal Network
object network cws-protected-network
 subnet 192.168.2.0 255.255.255.0
 
! CWS existing primary tower
object network cws-primary-tower
 host [Primary Tower]
 
! Subnet to define internet
object network Internet
 subnet 0.0.0.0 0.0.0.0
 
! Destination port tcp /8080 
object service proxy-8080
 service tcp destination eq 8080
 
! Destination port tcp /80
object service original-http
 service tcp destination eq www 
 
! Nat statement to send HTTPS traffic to internet and HTTP traffic to
Cloud Web Security tower nat (inside,outside) source dynamic
cws-protected-network interface destination static Internet
cws-primary-tower service original-http proxy-8080

Конфигурация после
 ! CWS Next Generation Tower
object network cws-ngt-tower
 host [NGT TOWER]

! Subnet to define internet
object network Internet
 subnet 0.0.0.0 0.0.0.0
 
! Destination port tcp /8080 
object service proxy-8080
 service tcp destination eq 8080
 
! Destination port tcp /80
object service original-http
 service tcp destination eq www 
 

! Nat statement to send HTTPS traffic to internet and HTTP traffic to
Cloud Web Security NGT tower nat (inside,outside) source dynamic
cws-protected-network interface destination static Internet
cws-ngt-tower service original-http proxy-8080

Шаги Изменения конфигурации через CLI

От CLI на ASA введите эти команды при использовании IP-адресов:

CCWS_ASA# configure terminal
CCWS_ASA(conf)#object network cws-ngt-tower
CCWS_ASA(config-network-object)#host [NEW PRIMARY NGT PROXY IP ADDRESS HERE]
CCWS_ASA(config-network-object)#exit

CCWS_ASA(conf)#no nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-primary-tower service original-http proxy-8080


CCWS_ASA(conf)#nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-ngt-tower service original-http proxy-8080

От CLI на ASA введите эти команды при использовании FQDN:

CCWS_ASA# configure terminal
CCWS_ASA(conf)#object network cws-ngt-tower
CCWS_ASA(config-network-object)#fqdn [NEW PRIMARY NGT PROXY FQDN HERE]
CCWS_ASA(conf)#no nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-primary-tower service original-http proxy-8080

CCWS_ASA(conf)#nat (inside,outside) source dynamic cws-protected-network interface
destination static Internet cws-ngt-tower service original-http proxy-8080

ASDM

  1. Введите ASDM и выберите Configuration> Firewall> Network Objects/Groups.
  2. Выберите Add> Network Object.

     

  3. Введите эту информацию для Башни NGT:
    • Name: cws-ngt-tower
    • Введите : Хост / FQDN (зависящий от вашей среды)
    • Версия IP: IPv4
    • IP-адрес/FQDN: NGT FQDN или IP-адрес
    • Описание: Дополнительно

  4. Нажмите кнопку OK.
  5. Выберите Configuration> Firewall> NAT Rules.

  6. Выберите текущее Правило NAT и нажмите Edit.

  7. Отредактируйте Поле адреса точки назначения.

  8. Выберите недавно созданные cws-ngt-tower возражают и нажимают OK.

  9. Примените конфигурацию к ASA.

Пассивное решение для управления идентификацией с CWS

Для использования сценариев Пассивного управления идентификацией (PIM) с Интеграцией Active Directory в продукт CWS внесите эти изменения в сценарий входа в систему. (Пример ниже использования, "открытого для pim" как пакетное название.)

Откройте "pim-open.batch" и отредактируйте пакетный файл. Можно найти пакетный файл расположенным в" <drive> \<Каталог Установки> \PIM". Например, "C:\PIM\pim-open.batch".

Конфигурация прежде
C:\PIM\PIM_1.2.3.6.exe /Verbose=Y /IP /Proxy=[PRIMARY TOWER]:8080

Конфигурация после
C:\PIM\PIM_1.2.3.6.exe /Verbose=Y /IP /Proxy=[NGT TOWER]:8080

Прямо к Башне / Явный Проксируют/Размещают Конфигурацию как Метод Перенаправления к CWS

Для прямого подключения к сервису от параметра прокси браузера изменения должны быть внесены в прокси-сервер. Параметры прокси могут быть применены непосредственно или с файлом Автоматической настройки прокси (PAC). Изменения для обоих методов выделены в этом разделе.

Прямая настройка прокси в браузере

  1. Гарантируйте, что "Параметрам локальной сети" для оконечной точки позволяют использовать прокси-сервер.
  2. В конфигурации "Прокси-сервера" измените Основную башню IP/FQDN на NGT IP/FQDN.

Файл PAC

Это - пример только.

Файл PAC прежде
function FindProxyForURL(url, host) {
// If URL has no dots in domain name, send direct.
if (isPlainHostName(host))
return "DIRECT";
// If URL matches, send direct.
if (shExpMatch(url,"*domain123.com/folder/*"))
return "DIRECT";
// If hostname matches, send direct.
if (dnsDomainIs(host, "vpn.domain.com"))
return "DIRECT";
// If hostname resolves to internal IP, send direct.
var resolved_ip = dnsResolve(host);
if (isInNet(resolved_ip, "10.0.0.0", "255.0.0.0"))
return "DIRECT";
// DEFAULT RULE: All other traffic, use below proxies, in fail-over order.
return "PROXY [PRIMARY TOWER]:8080; PROXY [SECONDARY TOWER]:8080; DIRECT";
}

Файл PAC после
function FindProxyForURL(url, host) {
// If URL has no dots in domain name, send direct.
if (isPlainHostName(host))
return "DIRECT";
// If URL matches, send direct.
if (shExpMatch(url,"*domain123.com/folder/*"))
return "DIRECT";
// If hostname matches, send direct.
if (dnsDomainIs(host, "vpn.domain.com"))
return "DIRECT";
// If hostname resolves to internal IP, send direct.
var resolved_ip = dnsResolve(host);
if (isInNet(resolved_ip, "10.0.0.0", "255.0.0.0"))
return "DIRECT";
// DEFAULT RULE: All other traffic, use below proxies, in fail-over order.
return "PROXY [NGT TOWER]:8080; PROXY [SECONDARY TOWER]:8080; DIRECT";
}

 Изменения межсетевого экрана, требуемые с использованием EasyID

Рекомендуемая конфигурация сети для EasyID для клиентов к только открытым портам в их межсетевых экранах от определенных IP-адресов ЦОД CWS, перечисленных в портале для доступа к Серверу (серверам) LDAP. До миграции к NGTs для основного и/или резервного/вторичного, обновите правила межсетевого экрана для включения любых новых IP-адресов NGT.

Новые башни посольства будут предоставлены наряду с выделением NGT. Необходимо включать башню посольства NGT в Контрольный список входящего доступа (ACL) правило. Посольство NGT IP-адрес может быть найдено в портале ScanCenter (Легкая область управления ID).

Список контроля доступа прежде
Allow inbound traffic from EXISTING EMBASSY TOWERS to LDAP SERVERS on ports tcp/389
or tcp/636 (if secured LDAP)

Список контроля доступа после
Allow inbound traffic from NEW NGT EMBASSY TOWERS to LDAP SERVERS on ports tcp/389
or tcp/636 (if secured LDAP)

Для обновленного списка выберите Scancenter> Admin> Authentication> Management.

В этом разделе нажмите Edit в активных "Областях аутентификации". В следующем разделе обновленный список IP-адресов показывают в этом показе.

 

Как только у вас есть обновленный список позволенных серверов, используйте "Соединение Проверки", чтобы гарантировать, что подключение из всех башен успешно, и статусом является Грин.

"Проверьте, что Соединение" могло бы занять несколько минут для тестирования подключения из всех башен.

Изменения конфигурации межсетевого экрана (при необходимости)

Если текущая среда межсетевого экрана предоставляет доступ, входящий и/или исходящий в башню, эти изменения должны быть внесены для NGTs.

Любой ACL, который позволяет исходящий доступ вашей текущей Башне CWS, должен быть изменен для разрешения исходящего доступа новой Башне CWS Следующего поколения.

Список доступа прежде

access-list [NAME] extended permit tcp any [TOWER-IP] eq 8080

Список доступа после

access-list [NAME] extended permit tcp any [NGT-TOWER-IP] eq 8080

Любой ACL, который позволяет входящий доступ вашей текущей Башне CWS, должен быть изменен для разрешения входящего доступа из новой Башни CWS Следующего поколения.

Список доступа прежде

access-list [NAME] extended permit tcp [TOWER-IP] eq 8080 any

Список доступа после

access-list [NAME] extended permit tcp [NGT-TOWER-IP] eq 8080 any

Выходные диапазоны IP-адресов башни следующего поколения

Если необходимо предоставить бизнес-партнеров / внешних поставщиков с выходными Диапазонами IP-адресов, потому что они должны знать, где ожидать трафик от, отрегулировать ACL в соответствии с этой таблицей.

Башня следующего поколения

Выходные диапазоны IP-адресов

Лондон

108.171.128.160 - 108.171.128.223

Секокус

108.171.130.160 - 108.171.130.223

Даллас

108.171.132.160 - 108.171.132.223

Сидней

108.171.134.160 - 108.171.134.223

Чикаго

108.171.131.160 - 108.171.131.223

Франкфурт

108.171.129.160 - 108.171.129.223

Вашингтон, округ Колумбия

108.171.133.160 - 108.171.133.223

Г. Сан-Хосе

108.171.135.160 - 108.171.135.223

Сан-Паулу

108.171.138.160 - 108.171.138.223

Вопросы и ответы

1. Что требуется для нашего внутреннего Запроса на изменение?

На основе метода перенаправления / развертывания, изменения конфигурации будут требоваться для разрешения трафика прокси NGT, назначенному на узел. На сценарии устройства/PAC/PIM разъёма необходимо изменить IP-адрес или FQDN Основного прокси. Cisco не предвидит требования времени простоя. При изменении Основного прокси сервис переключится на Вторичный прокси (если настроено).

2. Если я испытываю какие-либо технические проблемы на NGT, я возвращаюсь к текущему прокси?

Откройте Запрос на обслуживание через Центр технической поддержки Cisco (TAC). Включайте свое имя компании, прокси - адрес текущего основного, нового прокси - адрес NGT, предмет: "Миграция NGT" и краткое описание проблемы.

3. Клиенты получат электронное письмо уведомления на миграции к прокси NGT от Cisco?

Только клиенты, уведомленные Cisco, должны продолжить миграцию. Миграция NGT будет проводиться в фазах, и вы будете уведомлены должным образом. Если вы не получаете уведомление по электронной почте и полагаете текущему использованию Основного прокси, который имеет NGT в наличии в той же стране/области, обратитесь cws-migrations@cisco.com для подтверждения.

4. Будет какое-либо дополнительное лицензирование, требуемое для миграции на прокси NGT?

Клиенты могут пребывать в уверенности, что нет никаких дополнительных лицензионных требований для миграции сервиса на прокси NGT.

5. Я должен изменить лицензионный ключ и/или политику Центра Просмотра прежде или после миграции?

Все лицензионные ключи и политика остаются неизменными на портале Центра Просмотра.

6. Я использую FQDN для названия башни вместо IP-адреса. Мой трафик будет автоматически передан к прокси NGT, если я изменю запись в DNS, или я должен вручную указать к прокси NGT?

Поскольку миграция запланирована поэтапным способом, Cisco будет иметь и текущего основного и прокси NGT назначенными, и они решают к двум другим IP-адресам. Прокси NGT владеет уникальным IP - адресом; следовательно это является обязательным для клиентов для создания изменения вручную к адресу FQDN/IP, который принадлежит NGT.

7. Какие изменения необходимы на моем восходящем межсетевом экране или конце интернет-провайдера?

Если вы имеете ACL для исходящего трафика, позволяете трафик назначению NGTs на TCP/8080 (для AnyConnect, и Защитите (Автономный) Разъём, этому также будет нужен TCP/443). Посмотрите адрес FQDN/IP, назначенный на вас на электронной почте миграции.

8. В нашей организации существуют множественные узлы, которые используют CWS с другими настроенными башнями. Как я буду убеждаться, какие узлы должны быть перемещены?

Команда Обслуживания клиентов CWS предоставит новые прокси NGT, выделенные вам на основе каждого из собственных расположений. Не все местоположения в настоящее время имеют прокси NGT в наличии.

9. В нашей организации существуют множественные узлы, которые были уведомлены, чтобы быть перемещенными. Действительно ли возможно мигрировать в фазах?

Вы не должны перемещать все узлы сразу. Однако рекомендуется переместить все узлы во время запрошенного окна миграции.

10. Я не знаком с развертываниями CWS и конфигурацией. Существует ли автоматическая конфигурация Cisco или программное средство миграции для помощи с изменениями?

Нет, Cisco не имеет программного средства для помощи с автоматической настройкой/миграцией. Существует подробное руководство по переходу на основе метода развертываний, используемого для помощи вам. В случае, если вы сталкиваетесь с любыми трудностями, обращаетесь cws-migration@cisco.com для помощи.

11. Если у меня есть деловой партнер / внешний поставщик, который ограничивает трафик на основе IP-адреса, каковы новые выходные Диапазоны IP-адресов NGT?

Башня следующего поколения

Выходные диапазоны IP-адресов

Лондон

108.171.128.160 - 108.171.128.223

Секокус

108.171.130.160 - 108.171.130.223

Даллас

108.171.132.160 - 108.171.132.223

Сидней

108.171.134.160 - 108.171.134.223

Чикаго

108.171.131.160 - 108.171.131.223

Франкфурт

108.171.129.160 - 108.171.129.223

Вашингтон, округ Колумбия

108.171.133.160 - 108.171.133.223

Г. Сан-Хосе

108.171.135.160 - 108.171.135.223

Сан-Паулу

108.171.138.160 - 108.171.138.223

12. Будет какое-либо изменение в том, как работает аутентификация EasyID или Языка разметки утверждений безопасности?

Да, будут изменения к IP-адресу EasyID, который должен быть позволен входящий на вашем краю/устройствах с функциями межсетевого экрана. Можно просмотреть список IP-адресов в разделе EasyID портала ScanCenter. Гарантируйте разрешение входящего доступа серверу Протокола LDAP от новых IP-адресов EasyID на TCP портов 389/3268 или TCP 636/3269 (LDAP) в политике межсетевого экрана.

13. Сколько времени простоя я должен планировать для переключателя?

Идеально, не ожидайте время простоя, поскольку вам настроили вашу резервную башню на вашем Разъёме (ASA/ISR/WSA/Native Разъём). Рекомендуемый оптимальный метод должен выполнить миграцию в непиковое время или после закрытия.

14. Какие изменения я должен внести в сети кроме конфигурации CWS?

Если вам настроили исходящие ACL на краю/устройствах с функциями межсетевого экрана и/или Маршрутизации на основе политик, обновляете его с адресом FQDN/IP прокси NGT, назначенным на вашу компанию.

15. Если я мигрирую на NGT, создание отчетов сломается?

Не будет никакого изменения в запланированных и сохраненных отчётах в портале ScanCenter.

16. Какой тест подключения я могу выполнить, чтобы гарантировать, что прокси NGT достижим?

Можно выполнить PING TCP или Telnet к назначенному прокси NGT на TCP/8080 порта.

17. Что я должен проверить, чтобы гарантировать, что я успешно мигрировал на прокси NGT?

Перейдите к "whoami.scansafe.net" и проверьте "logicalTowerNumber". "logicalTowerNumber" должен быть 10000 плюс номер точки доступа. Например, если вы выделены "access66.cws.sco.cisco.com", logicalTowerNumber 10066.

18. Я использую прокси NGT FQDN или IP-адрес?

Когда вы мигрируете на NGT, для предотвращения изменений в будущем рекомендуется использовать FQDN.

19. Какие виды изменений были бы мои мобильные пользователи, которые используют веб-Модуль безопасности AnyConnect, имеют для создания?

Для пользователей на клиенте AnyConnect НИКАКИЕ ИЗМЕНЕНИЯ не должны быть внесены для Миграции NGT.

20. Когда я перемещаюсь в NGT, я должен изменить свою Вторичную башню CWS, а также свою Основную башню?

Да, и Основные и Вторичные башни должны быть изменены в соответствии с данными присвоениями.

Проблемы переноса

Для любых проблем переноса NGT регистрируйте Запрос на обслуживание любым из этих методов:

  • Телефон:
    • США: 1 (877) 472-2680
    • ЕВРОПА, АФРИКА И БЛИЖНИЙ ВОСТОК: 44 (0) 207-034-9400
    • APAC: (64) 800513572

 

Notifica��o Pr�-Migra��o: Melhoramentos na Infraestrutura da Cisco Cloud Web Security никакой ЦОД de S�o Паулу

Пустая болтовня Комо do compromisso da Cisco para continuamente melhorar qualidade das nossas ofertas de Seguran�a-como-um-servi�o, encontramo-номера atualmente лицо, осуществляющее внедрение melhoramentos consider�veis na infraestrutura que providencia o seu servi�o Cisco Cloud Web Security (anteriormente Scansafe) их Паулу S�o, Бразилия.

Форма De aceder esta aperfei�oada infraestrutura, номера квалификации � referimos Комо "Башня Следующего поколения" (torre de nova gera��o) ou "NGT", АО ter�o de proceder � migra��o dos proxies prim�rio e secund�rio que atualmente utilizam para aceder servi�o Облачный веб-параграф Безопасности гм novo проксирует NGT. Предварительная перспектива данных para iniciar este processo de migra��o est� atualmente marcada para o in�cio de Fevereiro de 2016 e mesma deve сер completada at₩½ 13 de Mar₩½o de 2016. Комо O envio desta pr₩½-notifica₩½Ã¯Â¿¦½o tem objetivo facultar aos nossos темп клиентов suficiente para planear e agendar quaisquer janelas de manuten��o necess�rias quer para fins internos (endere�os de proxy) quer para neg�cio externo/parceiros de neg�cios (intervalo выход).

Por одобряют tenha их aten��o que n�o ser� facultada qualquer extens�o de prazo para a migra��o ap�s 13 de Ma�o de 2016. Жабы Pelo que agradecemos que tome как параграф preparar esta migra₩½Ã¯Â¿¦½o obrigat₩½ria. De Mar₩½o resultar₩½ na perda de servi₩½o n₩½o migra₩½¦ю¦¿¦½o at₩½ 13.

Receber� гм novo не посылают по электронной почте com in₩½cio de 2016, параграф informa₩½Ã¯Â¿¦½o necess₩½ria esta migra₩½Ã¯Â¿¦½o, incluindo os detalhes dos проксирует NGT atribu�dos especificamente cada клиент. Entretanto, por одобряют tenha их выходной DC параграфа o considera��o desde j� os novos intervalos de S�o Паулу: 108.171.138.160 - 108.171.138.223. Os Aconselhamos nossos клиенты seus parceiros de neg�cio destes новинки informarem desde j¦ю¦¿¦½ os intervalos выход.

Польза Caso pretenda obter mais informa��es por visite веб-параграф Migra₩½Ã¯Â¿¦½o onde encontrar₩½ instru₩½Ã¯Â¿¦½es параграфа perguntas frequentes e Instru₩½Ã¯Â¿¦½es параграфа nossa p�gina, более завершенный migra��o, incluindo modificar как номера suas configura₩½Ã¯Â¿¦½es equipamentos Cisco (ASA, ISR, WSA, и т.д.) para enviar o tr�fico da rede para esta infraestrutura aperfei�oada.

Com Tamb�m encontrar� informa��o que poder� necessitar de partilhar o seu departamento de inform�tica ou com o departamento de inform�tica de um parceiro tal Комо o novo intervalo de egress IP para NGT.

Por одобряют aceda, este связывает para Perguntas Frequentes e Instru��es de Migra��o

Как новинка equipas de Opera��es e Presta��o de Servi�os da Cisco encontram-se dispon�veis para assegurar uma transi��o simples e eficiente para a infraestrutura. Веб-параграф Perguntas Frequentes e Instru₩½Ã¯Â¿¦½es параграфа Caso existam quest�es relativamente � migra��o das suas atuais conex�es que n�o se encontrem na nossa p�gina Migra��o, por contacte-номера пользы через электронную почту atrav�s делают endere�o cws-migrations@cisco.com.

IMPORTANTE - POR FAVOR LEIA: Se n�o � pessoa que devia receber estas notifica��es их Ном da sua empresa, por одобряют ajude-номера значок краткости над гласными importante informa₩½Ã¯Â¿¦½o o mais assegurar que a pessoa correta � alertada para esta poss�vel. Tamb�m pode atualizar Листа параграф входа в систему de endere�os de e-mail para notifica��es da sua empresa atrav�s do seu ScanCenter Portal efetuando o "admin" p₩½gina "Inicio" e selecionando o separador. Их seguida, passe o ponteiro делают rato sobre o separador e selecione "Notifica��es" "Sua Conta". Их seguida клика никакой bot�o "Gerenciar configura��es de atualiza��o do servi�o" e assegure-se de que a caixa de verifica��o "de atualiza��o электронных почт Enviar делает servi�o" est� selecionada. АО Por fim adicione o endere�o de e-mail da pessoa correta na caixa de texto lado de "de atualiza��o электронных почт Enviar делают servi�o" e esta passar� receber notifica��es de incidentes e trabalhos de manuten��o.

Os com melhores cumprimentos,

equipa Cisco de Opera��es e Presta��o de Servi�os

 

Notificaci�n Pre-migraci�n: Mejoras en la infraestructura de Cisco Cloud Web Security (CWS) en DC Сан-Паулу

Пустая болтовня Комо del compromiso de Cisco de mejorar continuamente la calidad de nuestras ofertas de Security-as-a-Service, estamos realizando mejoras significativas en la infraestructura que ofrece el servicio de Cisco Cloud Web Security (anteriormente ScanSafe) en Сан-Паулу, Бразилия.

Параграф acceder esta infraestructura mejorada, а-ля que nos referimos, Комо "Башня Следующего поколения" (Торре де nueva generaci₩½n) o "NGT", sus фактические данные прокси primario y, резервирует asignados al servicio de Cisco Cloud Web Security tendr�n que ser migrados una nueva asignaci�n de proxys de NGT. Сер y la migraci�n debe La fecha de inicio de esta migraci�n NGT est� actualmente planeada para principios de febrero de 2016 года completada вносит del 13 de marzo de 2016. Параграф Estamos enviando con antelaci₩½n esta notificaci₩½n proporcionar nuestros клиенты El Tiempo suficiente параграф planificar y программист las ventanas de cambio necesarias, ya море (cambio de direcciones de proxys) con prop₩½sitos internos o con sus socios de negocios / реклама externos (rangos de IP p�blica).

Por одобряют тенге en cuenta que no se proporcionar� ninguna extensi�n de migraci�n m�s all� del 13 de marzo de 2016. Танто Por lo, por польза, том las medidas necesarias para prepararse para este pr�ximo cambio obligatorio. Си никакой pudiera migrar параграф de marzo se traducir₩½a en una p₩½rdida del servicio el 13.

Usted recibir� otro correo electr�nico principios de 2016 con la informaci�n necesaria para esta migraci�n incluyendo sus asignaciones espec�ficas de proxys NGT. Танто Mientras, por польза, тенге en cuenta que el nuevo rango de IP de salida de Sao Paulo DC es: 108.171.138.160 - 108.171.138.223. Animamos nuestros клиенты notificar sus socios externos, con antelaci�n а-ля migraci�n, de este rango de salida adicional con la мэра brevedad возможный.

Си desea obtener m₩½s informaci₩½n, visite nuestra p�gina de preguntas frecuentes e instrucciones para las migraciones, надел encontrar� las instrucciones para la migraci�n, incluyendo la modificaci�n de las configuraciones en dispositivos Cisco (ASA, ISR, WSA, и т.д.) para enviar el tr�fico de red estas nuevas infraestructuras mejoradas (NGT). Con Usted tambi�n encontrar� informaci�n que puede que tenga que compartir su departamento de IT o con sus socios Комо el nuevo rango de direcciones IP de salida para NGT.

Clic Хага aqu� para Preguntas Frecuentes e Instrucciones de Migraci�n

Los equipos de Cisco de Operaciones y Despliegue del Servicio est�n disponibles para asegurar una transici�n sencilla y eficaz hacia las nuevas infraestructuras mejoradas. Фактические данные Si usted tiene alguna pregunta acerca de la migraci�n de sus conexiones que никакой se respondi� en las preguntas frecuentes, por одобряют p�ngase en contacto con nosotros usando el correo electr�nico cws-migrations@cisco.com.

IMPORTANTE - POR FAVOR LEA: Си usted никакой es la persona que debe recibir estas notificaciones en nombre de su empresa, por польза, ay�denos asegurar que la persona ответственный obtenga esta важный возможный informaci�n en la mayor brevedad. Tambi�n puede actualizar la configuraci�n de suscripci�n de notificaci�n de su empresa desde su Portal ScanCenter ingresando en la p�gina de "Дом" "Admin" y seleccionando la pesta�a. continuaci�n, coloque el puntero del rat�n sobre la pesta�a "Моя Учетная запись" y seleccione "Notificacions". continuaci�n, Хага clic en el bot₩½n "Управляет, Сервисные Параметры настройки Обновления" y aseg�rese de que la casilla de verificaci�n "Передают Сервисный est� marcada" Электронных почт Обновления. Por �ltimo, agregar la direcci�n de correo electr�nico de la persona ответственная политическая фракция en el cuadro de texto "Посылают Сервисные Электронные письма Обновления" y �sta recibir� notificaciones de cara al futuro de incidentes y trabajos de mantenimiento.

ООН сердечный saludo,

Los equipos de Operaciones y Despliegue del Servicio de Cisco Cloud Web Security

Дополнительные сведения



Document ID: 118478