Introdução
Este original descreve como configurar a ferramenta de segurança da Web (WSA)/roteador de Cisco a fim apoiar o redirecionamento transparente do HTTP, do HTTPS, e do tráfego nativo FTP com protocolo web cache communication (WCCP).
Pré-requisitos
Requisitos
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas nestas versões de software e hardware:
- Ferramenta de segurança da Web de Cisco que executa a versão 6.0 ou mais recente de AsyncOS
- Proxy nativo FTP permitido em WSA
- Roteador WCCPv2 Cisco/interruptor ou Firewall compatível ASA
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Configurar
Quando o tráfego nativo FTP é reorientado transparentemente ao WSA, o WSA recebe tipicamente o tráfego na porta 21 do padrão FTP. Daqui, o proxy nativo FTP no WSA deve escutar na porta 21 (à revelia o proxy nativo FTP é 8021). No GUI, escolha Serviços de segurança > proxy FTP para a verificação.
Configuração do WSA
- Crie uma identidade para o tráfego FTP. No GUI, escolha o gerenciador de segurança > as identidades da Web e assegure-se de que a autenticação esteja desabilitada para esta identificação.
- Crie uma política de acesso. No GUI, escolha o gerenciador de segurança > as políticas de acesso da Web, que provê a identidade em etapa 1.
- Sob ajustes do proxy FTP, altere as portas passivas FTP para ser 11000-11006 a fim assegurar-se de que todas as portas cabidas em um único grupo de serviço.
- Crie estes IDs do serviço WCCP:
Portas do serviço de nome
cache de web 0 80 (alternativamente, você pode usar o costume-Web-esconderijo 98 se você usa WSAs múltiplo)
60 21,11000,11001,11002,11003,11004,11005,11006 FTP-nativos
https-esconderijo 70 443
Estes exemplos reorientam três sub-redes internas quando contornearem o redirecionamento de WCCP para todos os destinos confidencialmente endereçados assim como um único host interno.
Configuração da amostra ASA
wccp web-cache redirect-list web-cache group-list group_acl
wccp 60 redirect-list ftp-native group-list group_acl
wccp 70 redirect-list https-cache group-list group_acl
wccp interface inside web-cache redirect in
wccp interface inside 60 redirect in
wccp interface inside 70 redirect in
access-list group_acl extended permit ip host 10.1.1.160 any
access-list ftp-native extended deny ip any 10.0.0.0 255.0.0.0
access-list ftp-native extended deny ip any 172.16.0.0 255.240.0.0
access-list ftp-native extended deny ip any 192.168.0.0 255.255.0.0
access-list ftp-native extended deny ip host 192.168.42.120 any
access-list ftp-native extended permit tcp 192.168.42.0 255.255.255.0 any eq ftp
access-list ftp-native extended permit tcp 192.168.42.0 255.255.255.0 any range 11000
11006
access-list ftp-native extended permit tcp 192.168.99.0 255.255.255.0 any eq ftp
access-list ftp-native extended permit tcp 192.168.99.0 255.255.255.0 any range 11000
11006
access-list ftp-native extended permit tcp 192.168.100.0 255.255.255.0 any eq ftp
access-list ftp-native extended permit tcp 192.168.100.0 255.255.255.0 any range 11000
11006
access-list https-cache extended deny ip any 10.0.0.0 255.0.0.0
access-list https-cache extended deny ip any 172.16.0.0 255.240.0.0
access-list https-cache extended deny ip any 192.168.0.0 255.255.0.0
access-list https-cache extended deny ip host 192.168.42.120 any
access-list https-cache extended permit tcp 192.168.42.0 255.255.255.0 any eq https
access-list https-cache extended permit tcp 192.168.99.0 255.255.255.0 any eq https
access-list https-cache extended permit tcp 192.168.100.0 255.255.255.0 any eq https
access-list web-cache extended deny ip any 10.0.0.0 255.0.0.0
access-list web-cache extended deny ip any 172.16.0.0 255.240.0.0
access-list web-cache extended deny ip any 192.168.0.0 255.255.0.0
access-list web-cache extended deny ip host 192.168.42.120 any
access-list web-cache extended permit tcp 192.168.42.0 255.255.255.0 any eq www
access-list web-cache extended permit tcp 192.168.99.0 255.255.255.0 any eq www
access-list web-cache extended permit tcp 192.168.100.0 255.255.255.0 any eq www
[an error occurred while processing this directive]
Configuração de switch da amostra (c3560)
Isto deve trabalhar na maioria de Roteadores demasiado.
ip wccp web-cache redirect-list web-cache group-list group_acl
ip wccp 60 redirect-list ftp-native group-list group_acl
ip wccp 70 redirect-list https-cache group-list group_acl
interface Vlan99
ip address 192.168.99.1 255.255.255.0
ip wccp web-cache redirect in
ip wccp 60 redirect in
ip wccp 70 redirect in
interface Vlan100
ip address 192.168.100.1 255.255.255.0
ip wccp web-cache redirect in
ip wccp 60 redirect in
ip wccp 70 redirect in
interface Vlan420
ip address 192.168.42.1 255.255.255.0
ip helper-address 192.168.100.20
ip wccp web-cache redirect in
ip wccp 60 redirect in
ip wccp 70 redirect in
ip access-list extended ftp-native
deny ip any 10.0.0.0 0.255.255.255
deny ip any 172.16.0.0 0.15.255.255
deny ip any 192.168.0.0 0.0.255.255
deny ip host 192.168.42.120 any
permit tcp 192.168.42.0 0.0.0.255 any eq ftp
permit tcp 192.168.42.0 0.0.0.255 any range 11000 11006
permit tcp 192.168.99.0 0.0.0.255 any eq ftp
permit tcp 192.168.99.0 0.0.0.255 any range 11000 11006
permit tcp 192.168.100.0 0.0.0.255 any eq ftp
permit tcp 192.168.100.0 0.0.0.255 any range 11000 11006
ip access-list extended https-cache
deny ip any 10.0.0.0 0.255.255.255
deny ip any 172.16.0.0 0.15.255.255
deny ip any 192.168.0.0 0.0.255.255
deny ip host 192.168.42.120 any
permit tcp 192.168.42.0 0.0.0.255 any eq 443
permit tcp 192.168.99.0 0.0.0.255 any eq 443
permit tcp 192.168.100.0 0.0.0.255 any eq 443
ip access-list extended web-cache
deny ip any 10.0.0.0 0.255.255.255
deny ip any 172.16.0.0 0.15.255.255
deny ip any 192.168.0.0 0.0.255.255
deny ip host 192.168.42.120 any
permit tcp 192.168.42.0 0.0.0.255 any eq www
permit tcp 192.168.99.0 0.0.0.255 any eq www
permit tcp 192.168.100.0 0.0.0.255 any eq www
ip access-list standard group_acl
permit 10.1.1.160
[an error occurred while processing this directive]
Note: Devido a uma limitação de tecnologia WCCP, um máximo de oito portas pode ser atribuído pelo ID de serviço WCCP.
Verificar
No momento, não há procedimento de verificação disponível para esta configuração.
Troubleshooting
Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.