المقدمة
يصف هذا وثيقة كيف أن يشكل Web Security Appliance (WSA) / cisco مسحاج تخديد in order to ساندت redirection شفاف من HTTP، HTTPS، و أهلي طبيعي FTP حركة مرور مع ويب تخزين مؤقت اتصال بروتوكول (WCCP).
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- جهاز أمان الويب من Cisco الذي يشغل الإصدار 6.0 من AsyncOS أو إصدار أحدث
- وكيل FTP الأصلي تم تمكينه على WSA
- جدار حماية Cisco Router/Switch أو ASA متوافق مع WCCPv2
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
عندما تتم إعادة توجيه حركة مرور FTP الأصلية بشفافية إلى WSA، يستلم WSA عادة حركة مرور البيانات على منفذ FTP القياسي 21. وبالتالي، يجب أن ينصت وكيل FTP الأصلي على WSA على المنفذ 21 (بشكل افتراضي، يكون وكيل FTP الأصلي 8021). في واجهة المستخدم الرسومية، أختر خدمات الأمان >وكيل FTP للتحقق.
تكوين WSA
- قم بإنشاء هوية لحركة مرور FTP. أخترت في ال gui، web security مدير >هوية ويضمن أن صحة هوية أعجزت ل هذا id.
- إنشاء نهج وصول. في واجهة المستخدم الرسومية، أختر مدير أمان الويب>نهج الوصول، والذي يشير إلى الهوية في الخطوة 1.
- ضمن إعدادات وكيل FTP، قم بتعديل منافذ FTP الخاملة لتكون من 11000-11006 لضمان ملائمة جميع المنافذ في مجموعة خدمة واحدة.
- قم بإنشاء معرفات خدمة WCCP التالية:
خدمة الاسم المنافذ
ذاكرة التخزين المؤقت للويب 0 80 (بدلا من ذلك، يمكنك إستخدام 98 ذاكرة تخزين مؤقت مخصصة للويب إذا كنت تستخدم عدة WSAs)
عدد أصلي ل FTP يبلغ 60 و 21 و 11000 و 11001 و 11002 و 11003 و 11004 و 11005 و 11006
https-cache 70 443
تقوم هذه الأمثلة بإعادة توجيه ثلاث شبكات فرعية داخلية أثناء تجاوز إعادة توجيه WCCP لجميع الوجهات التي يتم توجيهها بشكل خاص بالإضافة إلى مضيف داخلي واحد.
نموذج تكوين ASA
wccp web-cache redirect-list web-cache group-list group_acl
wccp 60 redirect-list ftp-native group-list group_acl
wccp 70 redirect-list https-cache group-list group_acl
wccp interface inside web-cache redirect in
wccp interface inside 60 redirect in
wccp interface inside 70 redirect in
access-list group_acl extended permit ip host 10.1.1.160 any
access-list ftp-native extended deny ip any 10.0.0.0 255.0.0.0
access-list ftp-native extended deny ip any 172.16.0.0 255.240.0.0
access-list ftp-native extended deny ip any 192.168.0.0 255.255.0.0
access-list ftp-native extended deny ip host 192.168.42.120 any
access-list ftp-native extended permit tcp 192.168.42.0 255.255.255.0 any eq ftp
access-list ftp-native extended permit tcp 192.168.42.0 255.255.255.0 any range 11000
11006
access-list ftp-native extended permit tcp 192.168.99.0 255.255.255.0 any eq ftp
access-list ftp-native extended permit tcp 192.168.99.0 255.255.255.0 any range 11000
11006
access-list ftp-native extended permit tcp 192.168.100.0 255.255.255.0 any eq ftp
access-list ftp-native extended permit tcp 192.168.100.0 255.255.255.0 any range 11000
11006
access-list https-cache extended deny ip any 10.0.0.0 255.0.0.0
access-list https-cache extended deny ip any 172.16.0.0 255.240.0.0
access-list https-cache extended deny ip any 192.168.0.0 255.255.0.0
access-list https-cache extended deny ip host 192.168.42.120 any
access-list https-cache extended permit tcp 192.168.42.0 255.255.255.0 any eq https
access-list https-cache extended permit tcp 192.168.99.0 255.255.255.0 any eq https
access-list https-cache extended permit tcp 192.168.100.0 255.255.255.0 any eq https
access-list web-cache extended deny ip any 10.0.0.0 255.0.0.0
access-list web-cache extended deny ip any 172.16.0.0 255.240.0.0
access-list web-cache extended deny ip any 192.168.0.0 255.255.0.0
access-list web-cache extended deny ip host 192.168.42.120 any
access-list web-cache extended permit tcp 192.168.42.0 255.255.255.0 any eq www
access-list web-cache extended permit tcp 192.168.99.0 255.255.255.0 any eq www
access-list web-cache extended permit tcp 192.168.100.0 255.255.255.0 any eq www
[an error occurred while processing this directive]
نموذج تكوين المحول (c3560)
يجب أن يعمل هذا على معظم الموجهات أيضا.
ip wccp web-cache redirect-list web-cache group-list group_acl
ip wccp 60 redirect-list ftp-native group-list group_acl
ip wccp 70 redirect-list https-cache group-list group_acl
interface Vlan99
ip address 192.168.99.1 255.255.255.0
ip wccp web-cache redirect in
ip wccp 60 redirect in
ip wccp 70 redirect in
interface Vlan100
ip address 192.168.100.1 255.255.255.0
ip wccp web-cache redirect in
ip wccp 60 redirect in
ip wccp 70 redirect in
interface Vlan420
ip address 192.168.42.1 255.255.255.0
ip helper-address 192.168.100.20
ip wccp web-cache redirect in
ip wccp 60 redirect in
ip wccp 70 redirect in
ip access-list extended ftp-native
deny ip any 10.0.0.0 0.255.255.255
deny ip any 172.16.0.0 0.15.255.255
deny ip any 192.168.0.0 0.0.255.255
deny ip host 192.168.42.120 any
permit tcp 192.168.42.0 0.0.0.255 any eq ftp
permit tcp 192.168.42.0 0.0.0.255 any range 11000 11006
permit tcp 192.168.99.0 0.0.0.255 any eq ftp
permit tcp 192.168.99.0 0.0.0.255 any range 11000 11006
permit tcp 192.168.100.0 0.0.0.255 any eq ftp
permit tcp 192.168.100.0 0.0.0.255 any range 11000 11006
ip access-list extended https-cache
deny ip any 10.0.0.0 0.255.255.255
deny ip any 172.16.0.0 0.15.255.255
deny ip any 192.168.0.0 0.0.255.255
deny ip host 192.168.42.120 any
permit tcp 192.168.42.0 0.0.0.255 any eq 443
permit tcp 192.168.99.0 0.0.0.255 any eq 443
permit tcp 192.168.100.0 0.0.0.255 any eq 443
ip access-list extended web-cache
deny ip any 10.0.0.0 0.255.255.255
deny ip any 172.16.0.0 0.15.255.255
deny ip any 192.168.0.0 0.0.255.255
deny ip host 192.168.42.120 any
permit tcp 192.168.42.0 0.0.0.255 any eq www
permit tcp 192.168.99.0 0.0.0.255 any eq www
permit tcp 192.168.100.0 0.0.0.255 any eq www
ip access-list standard group_acl
permit 10.1.1.160
[an error occurred while processing this directive]
ملاحظة: نظرا لقيود تقنية WCCP، يمكن تخصيص ثمانية منافذ كحد أقصى لكل معرف خدمة WCCP.
التحقق من الصحة
لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.
استكشاف الأخطاء وإصلاحها
لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.
التعليقات