問題
如何配置IP欺騙?
環境:思科網路安全裝置(WSA),所有AsyncOS版本
摘要:
在傳統的代理部署中,客戶端的IP地址被代理/快取伺服器的IP地址所取代。雖然這透過遮蔽終端使用者的地址提供了固有的安全性,但在某些情況下,某些Web應用程式需要訪問始發客戶端的IP地址。
透過在思科網路安全裝置(WSA)中實施「IP欺騙」功能並在Cisco IOS裝置上配置相應的WCCP服務組,可以向Web應用顯示客戶端的IP地址而不是WSA的IP地址。下列檔案說明此實作所需的組態步驟。
說明:
要實施「IP欺騙」功能,需要在Cisco IOS®路由器上建立兩個唯一的WCCP服務組。第一個WCCP「Web-cache」組將http/埠80流量從使用者重定向到WSA。可以配置特定的訪問控制清單(如下例所示),以控制哪些使用者受思科網路安全裝置保護。路由器上的使用者介面設定為將傳入流量重新導向到此WCCP服務群組。
第二個WCCP服務組需要定義為動態服務ID(即服務ID 95)。同樣,訪問清單用於控制哪些使用者受到保護(即允許完全繞過系統)。對於返回的Web流量,路由器上的外部介面配置為將其入站流量重定向到WCCP服務組95。
意見