Secure Web GatewayのIP持続性について

はじめに

このドキュメントでは、Cisco Secure Web Gateway(SWG)での固定IP(PIP)について説明します。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、Secure Web Gatewayに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

概要

Secure Web Gateway(SWG)トラフィックは、異なるIPアドレスを持つ多数のプロキシインスタンス間でロードバランスされます。  ただし、2022年2月現在、SWGはPersistent IPと呼ばれる機能を使用して、すべての発信Web要求に対して一貫した出力IPを提供しています。

永続的IPが（ほぼ）すべてのWebトラフィックに適用されるようになりました。この機能は、Webサイトがセッションの一部として送信元IPアドレスを追跡するときに発生する可能性がある問題を軽減します。

注：持続性IPは、現在、UmbrellaのRemote Browser Isolation(RBI)機能を使用するトラフィックには使用できません。 これは、Webポリシーのルールに「分離」アクションが設定されている場合にのみ適用されます。

出力IP範囲

この機能の導入により、SWGは新しい出力IPアドレス範囲を使用するようになります。Umbrella SWGで使用されるIPアドレス範囲の詳細については、この記事を参照してください。

IP持続性の問題

Webサイトユーザの送信元IPと「セッション」を保存することを選択します。  通常（ただし常にとは限らない）、これにはログインクレデンシャルを必要とするWebサイトが含まれ、セッションがまだ有効であることを確認するために送信元IPも「検証」されます。 永続的IPは、TLSセッション再開を使用するWebサイト(rfc5077)でも必要です。

永続的なIPが使用されていない場合、これらのWebサイトは予期せぬ動作をする可能性があり、ユーザが断続的に「ログアウト」したり、断続的なエラーメッセージが表示されることがあります。

Umbrella SWG Webサイトの互換性 

IPパーシステンスに関連する問題がWebサイトにあると考えられる場合は、次の項目を確認してください。

• カテゴリ、アプリケーション、宛先が、WebポリシーでIsolateアクションの対象であるかどうかを確認します。問題が発生してもRemote Browser Isolationが表示されないかどうかを確認します。このトラフィックでは、固定IP機能は使用されません。
• 組織の設定を確認するには、Umbrellaサポートにお問い合わせください。  少数のお客様が、新しいIP範囲を把握する時間を確保するために、永続的IP機能を一時的に無効にしています。

追加情報

• Webサイトの永続的IPを有効にするために何らかの操作を行う必要はありません。以前は、この機能は一部のドメイン（HTTPSインスペクションが無効になっているドメイン）に対してのみ有効でした。 ただし、この機能はすべての宛先に適用されるようになりました。
• この機能は、HTTPトラフィックとHTTPSトラフィックの両方に対して動作します。
• 固定の固定IPアドレスは取得できません。この機能は、同じセッションの後続のWeb要求に永続的な出力IPアドレスを提供します。  ただし、Umbrellaは各組織に固定/固定IPアドレスを提供しません。  Umbrellaはマルチテナントプラットフォームであり、複数の顧客が同じ出力IPアドレスを共有できます。