问题
如何配置IP欺骗?
环境:思科网络安全设备(WSA),所有AsyncOS版本
摘要:
在传统的代理部署中,客户端的IP地址被代理/缓存服务器的IP地址取代。虽然这通过屏蔽最终用户的地址提供了固有安全性,但在某些情况下,某些Web应用程序需要访问始发客户端的IP地址。
通过在思科网络安全设备(WSA)中实施“IP欺骗”功能并在思科IOS设备上配置适当的WCCP服务组,可以将客户端的IP地址显示给Web应用,而不是WSA的IP地址。以下文档介绍了此实施所需的配置步骤。
描述:
要实施“IP欺骗”功能,需要在Cisco IOS®路由器上创建两个唯一的WCCP服务组。第一个WCCP“Web-cache”组将http/端口80流量从用户重定向到WSA。可以配置特定访问控制列表(如下例所示)来控制哪些用户受思科网络安全设备保护。路由器上的用户界面配置为将入站流量重定向到此WCCP服务组。
第二个WCCP服务组需要定义为动态服务ID(例如服务ID 95)。同样,访问列表用于控制哪些用户受到保护(即允许完全绕过系统)。对于返回的网络流量,路由器上的外部接口配置为将其入站流量重定向到WCCP服务组95。
反馈