Ce document décrit comment le module CSC (Content Security and Control) de Cisco ASA peut agir en tant que serveur proxy pour le trafic HTTP.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
A. Comprendre les étapes inhérentes à l'établissement d'une connexion HTTP via le module CSC vous aidera à comprendre d'autres problèmes (tels que les erreurs de page et les problèmes de performances) :
Lorsqu'un utilisateur tente de se connecter à un site, son navigateur envoie un paquet SYN à l'adresse IP de ce site.
Le module CSC, qui agit comme un proxy, intercepte le paquet SYN et répond avec un SYN-ACK au nom du site.
Le navigateur Web, qui ne sait pas que le module CSC agit comme un proxy, répond avec un ACK, et une connexion est formée entre la machine cliente et le moteur proxy HTTP du module CSC.
Remarque : la première moitié de cette connexion est appelée CSS (Client Side Socket).
À ce stade, le navigateur pense que la connexion au site est active et fonctionnelle, et il envoie la requête HTTP GET.
La requête HTTP GET est traitée par le module CSC ; en d'autres termes, il est vérifié par rapport aux paramètres de blocage/filtrage d'URL/WRS. Si la demande est autorisée, le module CSC commence à établir une connexion au serveur Web sur le site.
Le moteur proxy HTTP envoie un paquet SYN TCP avec une adresse IP source et un port source correspondant au SYN TCP d'origine que le client pense avoir envoyé au serveur Web (tel que reçu sur le CSS). Le serveur Web répond avec un ACK SYN et le moteur proxy HTTP répond avec un ACK. À ce stade, le socket côté serveur (SSS) est actif.
Le moteur proxy HTTP envoie le HTTP GET du client au serveur Web et le serveur Web répond avec du contenu.
Ce contenu est analysé/vérifié. S'il est propre, le contenu est renvoyé au client.
Ces mêmes étapes sont répétées pour toute autre requête Web du client vers n'importe quel serveur Web.
Notez que le navigateur du client ne se connecte jamais vraiment au site ; il se connecte au module CSC qui prétend être le site comme illustré dans cette image :
![]()
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
11-Jan-2013 |
Première publication |