在ASA流量的CWS对阻塞的内部服务器
目录简介先决条件要求使用的组件网络图问题解决方案最终配置相关信息简介本文描述遇到的常见问题,当您配置CiscoCloudWeb安全(以前叫作ScanSafe)时(的)CWS在Cisco可适应安全工具(ASA)版本9.
0和以上.
使用CWS,ASA透明地重定向选定HTTP和HTTPS到CWS代理服务器.
管理员有能力允许,阻塞或者警告最终用户为了从与安全策略相应的配置的恶意软件保护他们在CWS门户的.
先决条件要求思科建议您有这些配置知识:思科ASA通过CLI和可适应安全设备管理器(ASDM)q思科Cloud在思科ASA的Web安全q使用的组件本文档中的信息根据思科ASA.
本文档中的信息都是基于特定实验室环境中的设备编写的.
本文档中使用的所有设备最初均采用原始(默认)配置.
如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响.
网络图问题遇到的常见问题,当您配置在ASA时的思科CWS发生,当内部网络服务器变得不可访问通过ASA.
例如,这是对应于在前面部分说明的拓扑的配置示例:hostnameASA1!
interfaceGigabitEthernet0/0nameifoutsidesecurity-level0ipaddress10.
1.
1.
1255.
255.
255.
0!
interfaceGigabitEthernet0/1nameifinsidesecurity-level100ipaddress192.
168.
1.
1255.
255.
255.
0!
objectnetworkinside-networksubnet192.
168.
1.
0255.
255.
255.
0objectnetworkweb-serverhost192.
168.
1.
10!
access-listoutside_access_inpermittcpanyhost192.
168.
1.
10eqwwwaccess-listoutside_access_inpermittcpanyhost192.
168.
1.
10eqhttpsaccess-listhttp-trafficextendedpermittcpanyanyeqwwwaccess-listhttps-trafficextendedpermittcpanyanyeqhttps!
scansafegeneral-optionsserverprimaryfqdnproxy193.
scansafe.
netport8080serverbackupfqdnproxy1363.
scansafe.
netport8080retry-count5license!
objectnetworkinside-networknat(inside,outside)dynamicinterfaceobjectnetworkweb-servernat(inside,outside)static10.
1.
1.
10!
access-groupoutside_access_inininterfaceoutside!
class-maphttp-classmatchaccess-listhttp_trafficclass-maphttps-classmatchaccess-listhttps_traffic!
policy-maptypeinspectscansafehttp-pmapparametershttppolicy-maptypeinspectscansafehttps-pmapparametershttps!
policy-mapoutside-policyclasshttp-classinspectscansafehttp-pmapfail-closeclasshttps-classinspectscansafehttps-pmapfail-close!
service-policyoutside-policyinterfaceinside使用此confguration,内部网络服务器从使用IP地址10.
1.
1.
10威力的外面变得不可访问.
此问题可以由多个原因导致,例如:在Web服务器主机的内容种类.
qWeb服务器的安全套接字层SSL证书没有由CWS代理服务器委托.
q解决方案在所有内部服务器主机的内容通常被认为值得信任.
因此,扫描流量到有CWS的这些服务器是不必要的.
您能怀特列表流量到有此配置的这样内部服务器:ASA1(config)#object-groupnetworkScanSafe-bypassASA1(config-network-object-group)#network-objecthost192.
168.
1.
10ASA1(config-network-object-group)#exitASA1(config)#access-listhttp_trafficline1denytcpanyobject-groupScanSafe-bypasseqwwwASA1(config)#access-listhttps_trafficline1denytcpanyobject-groupScanSafe-bypasseqhttps使用此配置,对内部网络服务器的流量在TCP端口80和443的192.
168.
1.
10不再重定向到CWS代理服务器.
如果有多个服务器此输入网络,您能添加他们到对象组名为ScanSafe旁路.
- 在ASA流量的CWS对阻塞的内部服务器相关文档
- 磋商ssl证书
- 南京理工大学泰州科技学院
- 招标文件项目编号:BJMU2019072
- (印有申请单位名称为抬头的信纸)
- 目录ssl证书
- WSA新的可信的根认证套件更新-
易探云月付18元起,香港/美国/深圳/北京VPS,CN2、BGP等多线路
易探云怎么样?易探云是国内一家云计算服务商家,致力香港服务器、国内外服务器租用及托管等互联网业务,目前主要地区为运作香港BGP、香港CN2、广东、北京、深圳等地区。易探云服务器均选择当下热门线路,比如CN2 GIA、BGP线路、CN2线路等,所有云主机支持月付,并且首月优惠,年付优惠,优惠后香港沙田云服务器/独立ip/香港CN2线路,每月仅18元,188元/年。点击进入:易探云官方网站地址1、香港...
俄罗斯vps主机推荐,怎么样俄罗斯vps俄罗斯vps速度怎么样?
俄罗斯vps速度怎么样?俄罗斯vps云主机节点是欧洲十大节点之一,地处俄罗斯首都莫斯科,网络带宽辐射周边欧洲大陆,10G专线连通德国法兰克福、法国巴黎、意大利米兰等,向外连接全球。俄罗斯vps云主机速度快吗、延迟多少?由于俄罗斯数据中心出口带宽充足,俄罗斯vps云主机到全球各地的延迟、速度相对来说都不错。今天,云服务器网(yuntue.com)小编介绍一下俄罗斯vps速度及俄罗斯vps主机推荐!俄...
SugarHosts糖果主机商更换域名
昨天,遇到一个网友客户告知他的网站无法访问需要帮他检查到底是什么问题。这个同学的网站是我帮他搭建的,于是我先PING看到他的网站是不通的,开始以为是服务器是不是出现故障导致无法打开的。检查到他的服务器是有放在SugarHosts糖果主机商中,于是我登录他的糖果主机后台看到服务器是正常运行的。但是,我看到面板中的IP地址居然是和他网站解析的IP地址不同。看来官方是有更换域名。于是我就问 客服到底是什...
-
软银收购wework软银联合 GungHo 注资控股芬兰游戏公司 Supercell意味着甚么?美女桌面背景图片最漂亮的美女电脑壁纸哪里有?2017年双11销售额今年淘宝天猫双十一的销售额能有多少?苹果x和xr哪个好苹果x和苹果xr买哪个好集成显卡和独立显卡哪个好集成显卡和独立显卡那个好?压缩软件哪个好压缩软件那个最好,360压缩软件好?还是快压、好压软件好呢?机械表和石英表哪个好机械表好还是石英表好,看专家如何分析浏览器哪个好用浏览器哪个最好用?尼康和佳能单反哪个好尼康和佳能哪个好啊?牡丹江教育云空间登录云空间怎么登入