질문
IP 스푸핑을 구성하려면 어떻게 합니까?
환경:Cisco WSA(Web Security Appliance), 모든 버전의 AsyncOS
요약:
기존 프록시 구축에서 클라이언트의 IP 주소가 프록시/캐시 서버의 IP 주소로 교체됩니다.이는 최종 사용자의 주소를 마스킹하여 고유한 보안을 제공하지만, 일부 웹 애플리케이션은 원래 클라이언트의 IP 주소에 액세스해야 하는 경우도 있습니다.
Cisco WSA(Web Security Appliance)에서 "IP 스푸핑" 기능을 구현하고 Cisco IOS 디바이스에서 적절한 WCCP 서비스 그룹을 구성함으로써 WSA의 IP 주소 대신 웹 애플리케이션에 클라이언트의 IP 주소를 제공할 수 있습니다.다음 문서에서는 이 구현에 필요한 컨피그레이션 단계에 대해 설명합니다.
설명:
"IP 스푸핑" 기능을 구현하려면 Cisco IOS® 라우터에서 두 개의 고유한 WCCP 서비스 그룹을 생성해야 합니다.첫 번째 WCCP 'web-cache' 그룹은 http/port 80 트래픽을 사용자로부터 WSA로 리디렉션합니다.Cisco Web Security Appliance에서 보호하는 사용자를 제어하기 위해 특정 액세스 제어 목록을 구성할 수 있습니다(아래 예와 같이).라우터의 사용자 인터페이스는 인바운드 트래픽을 이 WCCP 서비스 그룹으로 리디렉션하도록 구성되어 있습니다.
두 번째 WCCP 서비스 그룹은 동적 서비스 ID(예: 서비스 ID 95)로 정의되어야 합니다. 다시 액세스 목록을 사용하여 보호된 사용자를 제어합니다(즉, 시스템 우회 허용). 반환 웹 트래픽의 경우 라우터의 외부 인터페이스는 인바운드 트래픽을 WCCP 서비스 그룹 95로 리디렉션하도록 구성됩니다.