WSA和节日穿连接问题
简介
本文描述节日穿的Citrix不通过思科Web安全工具的问题(WSA)连接。
先决条件
要求
Cisco 建议您了解以下主题:
- 思科WSA
- 节日穿的Citrix
使用的组件
本文档中的信息基于下列硬件和软件版本:
- Cisco WSA版本7.x和8.x
- Citrix节日穿版本5和以上
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
问题
当思科WSA用于一透明代理部署时,节日穿的Citrix不通过WSA连接。并且,当您配置节日穿在解密策略时的HTTPS转接操作的,它没有效果。
正如Citrix白皮书所描述,节日穿进行这些操作为了连接:
当节日穿终端软件开始时,尝试通过终端网关(EGW)与节日穿服务经纪联系通过首次在端口8200, 443并且/或者80的一个或更多出站SSL保护的TCP连接。连接响应首先将使用,并且其他将丢弃。
在一个明确代理环境,节日穿连接HTTP连接请求,并且WSA建立隧道在客户端和服务器之间的数据。没有与此种连接的问题。然而,在透明模式,节日穿客户端无法执行验证。
解决方案
思科建议您绕过与客户端IP基于地址的(子网)标识为了应急方案的认证过程有效此问题。然而,请注意与启用的解密,节日穿应该工作,当验证禁用时。
此部分描述如何绕过节日穿流量的认证过程在WSA。完成这些步骤为了添加在一新的自定义URL类别列表的节日穿服务器IP地址:
- 从Web管理GUI,请导航对Web安全服务>自定义URL类别并且单击添加自定义类别。
- 添加这些IP地址范围到站点列表:
- 216.115.208.0/20
- 216.219.112.0/20
- 66.151.158.0/24
- 66.151.150.160/27
- 66.151.115.128/26
- 64.74.80.0/24
- 202.173.24.0/21
- 67.217.64.0/19
- 78.108.112.0/20
- 68.64.0.0/19
- 206.183.100.0/22
反馈