在ASA流量的CWS对阻塞的内部服务器
目录简介先决条件要求使用的组件网络图问题解决方案最终配置相关信息简介本文描述遇到的常见问题,当您配置CiscoCloudWeb安全(以前叫作ScanSafe)时(的)CWS在Cisco可适应安全工具(ASA)版本9.
0和以上.
使用CWS,ASA透明地重定向选定HTTP和HTTPS到CWS代理服务器.
管理员有能力允许,阻塞或者警告最终用户为了从与安全策略相应的配置的恶意软件保护他们在CWS门户的.
先决条件要求思科建议您有这些配置知识:思科ASA通过CLI和可适应安全设备管理器(ASDM)q思科Cloud在思科ASA的Web安全q使用的组件本文档中的信息根据思科ASA.
本文档中的信息都是基于特定实验室环境中的设备编写的.
本文档中使用的所有设备最初均采用原始(默认)配置.
如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响.
网络图问题遇到的常见问题,当您配置在ASA时的思科CWS发生,当内部网络服务器变得不可访问通过ASA.
例如,这是对应于在前面部分说明的拓扑的配置示例:hostnameASA1!
interfaceGigabitEthernet0/0nameifoutsidesecurity-level0ipaddress10.
1.
1.
1255.
255.
255.
0!
interfaceGigabitEthernet0/1nameifinsidesecurity-level100ipaddress192.
168.
1.
1255.
255.
255.
0!
objectnetworkinside-networksubnet192.
168.
1.
0255.
255.
255.
0objectnetworkweb-serverhost192.
168.
1.
10!
access-listoutside_access_inpermittcpanyhost192.
168.
1.
10eqwwwaccess-listoutside_access_inpermittcpanyhost192.
168.
1.
10eqhttpsaccess-listhttp-trafficextendedpermittcpanyanyeqwwwaccess-listhttps-trafficextendedpermittcpanyanyeqhttps!
scansafegeneral-optionsserverprimaryfqdnproxy193.
scansafe.
netport8080serverbackupfqdnproxy1363.
scansafe.
netport8080retry-count5license!
objectnetworkinside-networknat(inside,outside)dynamicinterfaceobjectnetworkweb-servernat(inside,outside)static10.
1.
1.
10!
access-groupoutside_access_inininterfaceoutside!
class-maphttp-classmatchaccess-listhttp_trafficclass-maphttps-classmatchaccess-listhttps_traffic!
policy-maptypeinspectscansafehttp-pmapparametershttppolicy-maptypeinspectscansafehttps-pmapparametershttps!
policy-mapoutside-policyclasshttp-classinspectscansafehttp-pmapfail-closeclasshttps-classinspectscansafehttps-pmapfail-close!
service-policyoutside-policyinterfaceinside使用此confguration,内部网络服务器从使用IP地址10.
1.
1.
10威力的外面变得不可访问.
此问题可以由多个原因导致,例如:在Web服务器主机的内容种类.
qWeb服务器的安全套接字层SSL证书没有由CWS代理服务器委托.
q解决方案在所有内部服务器主机的内容通常被认为值得信任.
因此,扫描流量到有CWS的这些服务器是不必要的.
您能怀特列表流量到有此配置的这样内部服务器:ASA1(config)#object-groupnetworkScanSafe-bypassASA1(config-network-object-group)#network-objecthost192.
168.
1.
10ASA1(config-network-object-group)#exitASA1(config)#access-listhttp_trafficline1denytcpanyobject-groupScanSafe-bypasseqwwwASA1(config)#access-listhttps_trafficline1denytcpanyobject-groupScanSafe-bypasseqhttps使用此配置,对内部网络服务器的流量在TCP端口80和443的192.
168.
1.
10不再重定向到CWS代理服务器.
如果有多个服务器此输入网络,您能添加他们到对象组名为ScanSafe旁路.
- 在ASA流量的CWS对阻塞的内部服务器相关文档
- 磋商ssl证书
- 南京理工大学泰州科技学院
- 招标文件项目编号:BJMU2019072
- (印有申请单位名称为抬头的信纸)
- 目录ssl证书
- WSA新的可信的根认证套件更新-
RAKsmart新年钜惠:E3服务器秒杀$30/月起,新上韩国服务器,香港/日本/美国站群服务器,VPS月付$1.99起,GPU服务器,高防服务器_vps香港
RAKsmart发布了新年钜惠活动,即日起到2月28日,商家每天推出限量服务器秒杀,美国服务器每月30美元起,新上了韩国服务器、GPU服务器、香港/日本/美国常规+站群服务器、1-10Gbps不限流量大带宽服务器等大量库存;VPS主机全场提供7折优惠码,同时针对部分特惠套餐无码直购每月仅1.99美元,支持使用PayPal或者支付宝等方式付款,有中英文网页及客服支持。爆款秒杀10台/天可选精品网/大...
HostKvm 黑色星期五香港服务器终身六折 其余机房八折
HostKvm商家我们也不用多介绍,这个服务商来自国内某商家,旗下也有多个品牌的,每次看到推送信息都是几个服务商品牌一起推送的。当然商家还是比较稳定的,商家品牌比较多,这也是国内商家一贯的做法,这样广撒网。这次看到黑五优惠活动发布了,针对其主打的香港云服务器提供终身6折的优惠,其余机房服务器依然是8折,另还有充值50美元赠送5美元的优惠活动,有需要的可以看看。HostKvm是一个创建于2013年的...
7月RAKsmart独立服务器和站群服务器多款促销 G口不限量更低
如果我们熟悉RAKsmart商家促销活动的应该是清楚的,每个月的活动看似基本上一致。但是有一些新品或者每个月还是有一些各自的特点的。比如七月份爆款I3-2120仅30美金、V4新品上市,活动期间5折、洛杉矶+硅谷+香港+日本站群恢复销售、G口不限流量服务器比六月份折扣力度更低。RAKsmart 商家这个月依旧还是以独立服务器和站群服务器为主。当然也包括有部分的低至1.99美元的VPS主机。第一、I...
-
免费阅读小说app哪个好什么小说软件好用又免费压缩软件哪个好压缩软件那个最好,360压缩软件好?还是快压、好压软件好呢?朗逸和速腾哪个好速腾和朗逸哪个更好?石英表和机械表哪个好手表是电子手表好还是机械手表好?手机管家哪个好手机管家和腾讯手机管家哪个好用oppo和vivo哪个好vivo好还是oppo手机好呢?腾讯空间登录腾讯qq空间进入登陆个人QQ空间51个人空间登录51个人空间怎么申请???qq空间登录界面我的手机QQ打开应该是九个选项,什么空间,但是现在打开怎么直接是QQ登录界面,这个撇手机空间登录qq手机QQ能不能直接登录空间而不用上QQ