Informazioni sulla persistenza IP in Secure Web Gateway

Introduzione

Questo documento descrive l'IP persistente in Cisco Secure Web Gateway (SWG).

Prerequisiti

Requisiti

Nessun requisito specifico previsto per questo documento.

Componenti usati

Le informazioni fornite in questo documento si basano su Secure Web Gateway.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Panoramica

Il traffico SWG (Secure Web Gateway) ha un bilanciamento del carico su una serie di istanze proxy con indirizzi IP diversi.  Tuttavia, a partire da febbraio 2022, SWG fornisce ora un IP in uscita coerente per tutte le richieste Web in uscita utilizzando una funzione denominata IP persistente.

L'IP permanente si applica ora a (quasi) tutto il traffico Web. Questa funzionalità riduce i potenziali problemi che possono verificarsi quando i siti Web registrano l'indirizzo IP di origine come parte della sessione.

Nota: L'indirizzo IP permanente non è attualmente disponibile per il traffico che utilizza la funzionalità di isolamento del browser remoto (RBI, Remote Browser Isolation) di Umbrella. Ciò è valido solo quando l'azione "Isola" è configurata per una regola nei criteri Web.

Intervallo IP in uscita

L'introduzione di questa funzione significa che SWG ora utilizza un nuovo intervallo di indirizzi IP in uscita. Per maggiori informazioni sull'intervallo di indirizzi IP utilizzato da Umbrella SWG, vedere questo articolo.

Problemi di persistenza IP

Un sito Web può scegliere di archiviare l'IP di origine dell'utente insieme alla relativa "sessione".  In genere (ma non sempre), sono inclusi i siti Web che richiedono credenziali di accesso e anche l'indirizzo IP di origine viene "convalidato" per verificare che la sessione sia ancora valida. Un indirizzo IP permanente è necessario anche per i siti Web che utilizzano la ripresa della sessione TLS (rfc5077).

Se non si utilizza un IP persistente, questi siti Web possono comportarsi in modo imprevisto e possono disconnettersi dall'utente o presentare messaggi di errore intermittenti.

Compatibilità del sito Web Umbrella SWG 

Se si ritiene che un sito Web abbia problemi relativi alla persistenza IP, controllare quanto segue:

• Verificare se la categoria, l'applicazione o la destinazione è soggetta all'azione di isolamento nei criteri Web. Verificare se il problema persiste anche senza l'isolamento del browser remoto. Questo traffico non utilizza la funzionalità IP persistente.
• Contatta il supporto Umbrella per controllare le impostazioni della tua organizzazione.  Un numero ridotto di clienti ha temporaneamente disabilitato la funzione IP persistente per concedere tempo per la registrazione del nuovo intervallo IP.

Ulteriori informazioni

• Non è necessario eseguire alcuna azione per abilitare l'indirizzo IP permanente per un sito Web. In precedenza .questa funzionalità era abilitata solo per alcuni domini (quelli con ispezione HTTPS disabilitata). Tuttavia, questa funzione è ora applicabile a tutte le destinazioni.
• Questa funzionalità funziona sia per il traffico HTTP che HTTPS.
• Non si ottiene un indirizzo IP statico fisso. Questa funzione fornisce un indirizzo IP in uscita persistente per le richieste Web successive nella stessa sessione.  Tuttavia, Umbrella non fornisce un indirizzo IP fisso/statico per ciascuna organizzazione.  Umbrella è una piattaforma multi-tenant, e più clienti possono condividere lo stesso indirizzo IP in uscita.