绕过安全网络设备中的流量

下载选项

  • PDF     (2.3 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (2.0 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (1.5 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2026 年 4 月 24 日
文档 ID:225808

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍在安全网络设备(SWA)中绕过流量的步骤。

先决条件

要求

Cisco 建议您了解以下主题:

  • SWA管理。
  • 基本网络和代理协议

思科建议您安装以下工具:

  • 物理或虚拟SWA
  • 对SWA图形用户界面(GUI)的管理访问

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

不同类型的旁路

在SWA中,有三个不同的概念可以绕过流量到达SWA,这取决于您的代理部署(显式或透明部署),或者由SWA分析和扫描。以下是这三个概念的简要概述:

  • 旁路:防止流量到达SWA的设置,可降低网络接口卡(NIC)利用率并消除用户和设备之间的会话需求。
  • 通过:此配置会阻止SWA解密HTTPS流量。尽管如此,全部门办法继续促进两场不同的会议:一个在客户端和SWA之间,另一个在SWA和Web服务器之间。
  • 允许:访问策略中的设置,其中HTTP或已解密的流量跳过由内部SWA引擎(如AMP、Sophos、WebRoot和应用过滤器)进行的检查。在这种情况下,SWA中仍使用两个会话。

Image - Comparison Chart图像 — 比较图

按部署类型划分的SWA旁路过程

旁路过程因代理部署模式而异。以下是每种类型的简要概述:

  • 显式部署:客户端被手动配置为将流量定向到代理。
  • 透明部署:网络基础设施自动将流量重定向到代理,无需客户端配置。

在显式部署中绕过流量

要绕过显式部署中的流量,必须将客户端配置为不将所需URL的Web请求转发到SWA。如网络图所示,有些流量直接流向防火墙或默认网关以绕过SWA(路径编号2)。

Image - Bypass the Traffic in Explicit Deployment映像 — 绕过显式部署中的流量

根据您的显式代理部署,您可以免除某些URL重定向到SWA。

显式代理配置

排除URL访问SWA的步骤

PAC文件配置 

根据您配置PAC文件的方式,您可以定义例外列表并将操作设置为DIRECT。

以下是一些绕过私有IP地址到达SWA的示例

var resolved_ip = dnsResolve(host);
if (isInNet(resolved_ip, "10.0.0.0", "255.0.0.0") ||
isInNet(resolved_ip, "172.16.0.0", "255.240.0.0") ||
isInNet(resolved_ip, "192.168.0.0", "255.255.0.0") ||
isInNet(resolved_ip, "127.0.0.0", "255.255.255.0"))
return "DIRECT";

以下示例绕过www.cisco.com流量重定向到SWA

if (localHostOrDomainIs(host, "www.cisco.com")) return "DIRECT";

此示例将绕过cisco.com的所有子域来重定向SWA

if (dnsDomainIs(host, ".cisco.com")) return "DIRECT";

注意:由于PAC文件不是思科产品,出于方便考虑,我们出于礼貌提供此信息。如需进一步协助,请联系软件供应商。

浏览器配置(Microsoft Edge、Internet Explorer、Google Chrome) 

步骤1.在“开始”菜单中,键入“Internet选项”并按Enter键

步骤2.导航到Connections选项卡,然后点击LAN Settings

步骤3.点击Advanced

步骤4.在“例外”部分中定义所需的URL。

Image - Navigate to Lan Settings图像 — 导航到Lan设置

Image - Define the Exceptions图像 — 定义例外

浏览器配置(Mozila FireFox) 

步骤1.在右上角,点击三个栏菜单并选择设置

步骤2.在搜索栏中键入proxy

步骤3.在“无代理用于”部分中定义所需的URL。

Image - Define the Exceptions in Fire Fox图像 — 在Fire Fox中定义例外

浏览器配置(Apple Safari) 

步骤1.在左上角,点击Apple图标并选择System Settings

步骤2.从左侧面板导航到Network,然后选择用于访问Internet的网络接口。

步骤3.点击Details

步骤4.在左侧面板中选择Proxies

步骤5.在Bypass Proxy Settings(旁路代理设置)部分中定义所需的URL。

Image - Define the Exceptions in Fire Fox图像 — 在Fire Fox中定义例外

组策略配置 

您可以定义例外列表,具体取决于您如何配置组策略以推送代理设置。

在透明部署中绕过流量

您可以使用WCCP路由器或SWA旁路设置绕过透明部署中的流量。SWA旁路在第3层起作用,将流量路由到默认网关并完全绕过设备,从而阻止处理和创建单独的会话。

Image - Bypass the Traffic in Transparent Deployment映像 — 绕过透明部署中的流量

绕过流量透明代理部署 

绕过流量到达SWA的步骤

SWA旁路设置

步骤1.在GUI中,选Web Security Manager。 

步骤2.选旁路设置

步骤3.单Edit Proxy Bypass Settings

步骤4.您可以输入URL、IP地址或向列表中添加自定义URL类别。

步骤5.提交交更改。 

Image - Configure Bypass Settings映像 — 配置旁路设置

提示:使用此设置绕过的流量不会记录在Accesslogs中,可以在Bypass_Logs中查看。

重定向来自WCCP/PBR路由器的流量

您可以在WCCP或基于策略的路由器(PBR)中配置源或目标IP地址,以便不将某些流量重定向到SWA。

在SWA中配置直通和允许流量

如果流量进入SWA,并且出于隐私考虑,为了减少SWA上的负载,您不希望某些URL的流量被SWA检查,请使用以下步骤。

步骤

步骤

步骤1.为URL创建自定义URL类别。

第1.1步:从GUI,选择Web Security Manager,然后单击Custom and External URL Categories。
第1.2步:点击添加类别以添加自定义URL类别。
第1.3步:分配唯一的CategoryName
第1.4步(可选)添加说明

第1.5步:从列表顺序中选择要放在首位的第一个类别。

第1.6步:Category Type下拉列表中,选择Local Custom Category。

第1.7步:在站点部分添加期望的URL。

步骤1.8.提交。 

Image - Create a Custom URL Category图像 — 创建自定义URL类别

步骤2.创建标识配置文件以免除对流量的身份验证。

第2.1步:从GUI,选择Web Security Manager,然后单击Identification Profiles。
第2.2步:点击添加配置文件添加配置文件。
第2.3步:使Enable Identification Profile复选框启用此配置文件,或快速禁用此配置文件而不将其删除。
第2.4步:分配唯一的profileName
第2.5步(可选)添加说明
第2.6步:Insert Above下拉列表中,选择此配置文件在表中的显示位置。

第2.7步:在User Identification Method,选择Exempt from authentication/identication

第2.8步:按子网定义成员中,将此字段留空以包含所有客户端IP地址,除非您想要通过特定IP地址的流量。 

第2.9步:从高级分,选择自定义URL类别

Image - Add Identification Profile图像 — 添加标识配置文件

第2.10步。添在第1步中创建的Custom URL Category

第2.11步。单完成。

步骤2.12.提交。 

步骤3.创建解密策略以通过流量。

第3.1步:从GUI,选择Web Security Manager,然后单击Decryption Policy。

步骤3.2.单击Add Policies添加解密策略。

第3.3步:使Enable Policy复选框启用此策略。
第3.4步:分配唯一的PolicyName
第3.5步(可选)添加说明
第3.6步:Insert Above Policy下拉列表中,选择第一个策略。

第3.7步:Identification Profiles and Users中,选择您在第2步中创建的Identification Profile

步骤3.8.提交

Image - Create a Decryption Policy映像 — 创建解密策略

第3.9步:在解密策略(Decryption Policies)页面的URL过滤(URL Filtering)下,点击与此新解密策略关联的链接。

Image - Select URL Filtering图像 — 选择URL过滤

第3.10步:SelectPass Throughas在步骤1上创建的URL类别的操作

Image - Set the Action to Pass Through图像 — 设置要通过的操作

步骤3.11.提交。 

步骤4.创建允许Microsoft更新流量的访问策略。

第4.1步:从GUI,选Web Security Manager,然后单击Access Policy。

第4.2步:点击Add Policies添加访问策略。

第4.3步:使Enable Policy复选框启用此策略。
第4.4步:分配唯一的PolicyName
第4.5步(可选)添加说明
第4.6步:Insert Above Policy下拉列表中,选择第一个策略。

第4.7步:Identification Profiles and Users中,选择您在第2步中创建的Identification Profile。

步骤4.8.提交

Image - Create Access Policy映像 — 创建访问策略

第4.9步:在Access Policies,在URL Filtering下,点击与此新访问策略关联的链接。

Image - Select URL Filtering图像 — 选择URL过滤

第4.10步:选择Allot是为第1步中创建的URL类别创建的Custom URL类别的操作

Image - Set the Action to Allow图像 — 将操作设置为允许

步骤4.11.提交。 

步骤4.12.提交更改

相关信息

修订历史记录

版本 发布日期 备注
1.0
24-Apr-2026
初始版本
TAC Authored

由思科工程师提供

  • 阿米尔侯赛因·莫哈拉德
    技术咨询工程师

此文档是否有帮助?

Feedback反馈

联系我们