보안 웹 게이트웨이의 IP 지속성 이해

소개

이 문서에서는 Cisco SWG(Secure Web Gateway)의 영구 IP에 대해 설명합니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 Secure Web Gateway를 기반으로 합니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

개요

SWG(Secure Web Gateway) 트래픽은 서로 다른 IP 주소를 사용하는 여러 프록시 인스턴스 간에 로드 밸런싱됩니다.  그러나 2022년 2월부터 SWG는 영구 IP라는 기능을 사용하여 모든 발신 웹 요청에 일관된 이그레스 IP를 제공합니다.

이제 영구 IP가 모든 웹 트래픽에 적용됩니다. 이 기능은 웹 사이트가 세션의 일부로서 소스 IP 주소를 추적할 때 발생할 수 있는 잠재적 문제를 완화합니다.

참고: 영구 IP는 현재 Umbrella의 RBI(Remote Browser Isolation) 기능을 사용하여 트래픽에 사용할 수 없습니다. 이는 웹 정책의 규칙에 대해 "Isolate(격리)" 작업이 구성된 경우에만 적용됩니다.

이그레스 IP 범위

이 기능이 도입됨에 따라 SWG는 이제 새로운 이그레스 IP 주소 범위를 사용합니다. Umbrella SWG에서 사용하는 IP 주소 범위에 대한 자세한 내용은 이 문서를 참조하십시오.

IP 지속성 문제

웹 사이트에서는 사용자의 소스 IP를 "세션"과 함께 저장하도록 선택할 수 있습니다.  일반적으로(항상 그렇지는 않음) 여기에는 로그인 자격 증명이 필요한 웹 사이트가 포함되며 세션이 여전히 유효한지 확인하기 위해 소스 IP도 "유효성 검사"됩니다. TLS 세션 재개(rfc5077)를 사용하는 웹 사이트에도 영구 IP가 필요합니다.

영구 IP를 사용하지 않는 경우 이러한 웹 사이트는 예기치 않게 작동하여 간헐적으로 사용자에게 "로그아웃"하거나 간헐적인 오류 메시지를 표시할 수 있습니다.

Umbrella SWG 웹 사이트 호환성 

웹 사이트에서 IP 지속성 관련 문제가 있다고 생각되면 다음을 확인하십시오.

• 범주/애플리케이션/대상이 웹 정책에서 격리 작업의 대상인지 확인합니다. 원격 브라우저 격리 없이 문제가 여전히 발생하는지 확인합니다. 이 트래픽은 영구 IP 기능을 사용하지 않습니다.
• 조직 설정을 확인하려면 Umbrella 지원에 문의하십시오.  소수의 고객이 새로운 IP 범위를 고려하는 데 시간이 걸리도록 영구 IP 기능을 일시적으로 비활성화했습니다.

추가 정보

• 웹 사이트에 대해 영구 IP를 활성화하기 위해 어떤 조치도 취할 필요가 없습니다. 과거에는 이 기능이 일부 도메인에만 활성화되었습니다(HTTPS 검사가 비활성화된 도메인). 그러나 이제 이 기능이 모든 대상에 적용됩니다.
• 이 기능은 HTTP/HTTPS 트래픽 모두에 대해 작동합니다.
• 고정 고정 고정 IP 주소를 가져오지 않습니다. 이 기능은 동일한 세션의 후속 웹 요청에 대해 지속적인 이그레스 IP 주소를 제공합니다.  그러나 Umbrella는 각 조직에 고정/고정 IP 주소를 제공하지 않습니다.  Umbrella는 다중 테넌트 플랫폼이며 여러 고객이 동일한 이그레스 IP 주소를 공유할 수 있습니다.