Comprensión de la persistencia de IP en gateway web seguro

Introducción

Este documento describe la IP persistente en Cisco Secure Web Gateway (SWG).

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

La información de este documento se basa en Secure Web Gateway.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Overview

El tráfico de gateway web seguro (SWG) tiene una carga equilibrada a través de una serie de instancias de proxy con diferentes direcciones IP.  Sin embargo, a partir de febrero de 2022, SWG proporciona ahora una IP de salida uniforme para todas las solicitudes web salientes mediante una función denominada IP persistente.

La IP persistente ahora se aplica a (casi) todo el tráfico web. Esta función mitiga los posibles problemas que pueden producirse cuando los sitios web realizan un seguimiento de la dirección IP de origen como parte de la sesión.

Nota: La IP persistente no está disponible actualmente para el tráfico mediante la función Remote Browser Isolation (RBI) de Umbrella. Esto sólo se aplica cuando la acción "Aislar" está configurada para una regla de la directiva Web.

Intervalo IP de salida

La introducción de esta función significa que SWG ahora utiliza un nuevo intervalo de direcciones IP de salida. Para obtener más información sobre el intervalo de direcciones IP que utiliza Umbrella SWG, consulte este artículo.

Problemas de Persistencia de IP

Un sitio web puede optar por almacenar la IP de origen del usuario junto con su "sesión".  Normalmente (pero no siempre), esto incluye los sitios web que requieren credenciales de inicio de sesión y la IP de origen también se "valida" para comprobar que la sesión sigue siendo válida. También se requiere una IP persistente para los sitios web que utilizan la reanudación de la sesión TLS (rfc5077).

Si no se utiliza una IP persistente, estos sitios web pueden comportarse de forma inesperada y pueden "desconectarse" intermitentemente del usuario o presentar mensajes de error intermitentes.

Compatibilidad del sitio web de Umbrella SWG 

Si cree que un sitio web tiene problemas relacionados con la persistencia de IP, compruebe lo siguiente:

• Verifique si la categoría / aplicación / destino está sujeta a la acción Aislar en su política web. Compruebe si el problema persiste sin el aislamiento del explorador remoto. Este tráfico no utiliza la función de IP persistente.
• Póngase en contacto con el servicio de asistencia de Umbrella para comprobar la configuración de su organización.  Un pequeño número de clientes ha desactivado temporalmente la función de IP persistente para dar tiempo a contabilizar el nuevo rango de IP.

Additional Information

• No es necesario que realice ninguna acción para habilitar IP persistente para un sitio web. Anteriormente, esta función solo estaba habilitada para algunos dominios (aquellos con la inspección HTTPS desactivada). Sin embargo, esta función ahora se aplica a todos los destinos.
• Esta función funciona para el tráfico HTTP/HTTPS.
• No obtiene una dirección IP estática fija. Esta función proporciona una dirección IP de salida persistente para las solicitudes web subsiguientes en la misma sesión.  Pero Umbrella no proporciona una dirección IP fija/estática para cada organización.  Umbrella es una plataforma de varios arrendatarios y varios clientes pueden compartir la misma dirección IP de salida.