在ASA流量的CWS对阻塞的内部服务器
目录简介先决条件要求使用的组件网络图问题解决方案最终配置相关信息简介本文描述遇到的常见问题,当您配置CiscoCloudWeb安全(以前叫作ScanSafe)时(的)CWS在Cisco可适应安全工具(ASA)版本9.
0和以上.
使用CWS,ASA透明地重定向选定HTTP和HTTPS到CWS代理服务器.
管理员有能力允许,阻塞或者警告最终用户为了从与安全策略相应的配置的恶意软件保护他们在CWS门户的.
先决条件要求思科建议您有这些配置知识:思科ASA通过CLI和可适应安全设备管理器(ASDM)q思科Cloud在思科ASA的Web安全q使用的组件本文档中的信息根据思科ASA.
本文档中的信息都是基于特定实验室环境中的设备编写的.
本文档中使用的所有设备最初均采用原始(默认)配置.
如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响.
网络图问题遇到的常见问题,当您配置在ASA时的思科CWS发生,当内部网络服务器变得不可访问通过ASA.
例如,这是对应于在前面部分说明的拓扑的配置示例:hostnameASA1!
interfaceGigabitEthernet0/0nameifoutsidesecurity-level0ipaddress10.
1.
1.
1255.
255.
255.
0!
interfaceGigabitEthernet0/1nameifinsidesecurity-level100ipaddress192.
168.
1.
1255.
255.
255.
0!
objectnetworkinside-networksubnet192.
168.
1.
0255.
255.
255.
0objectnetworkweb-serverhost192.
168.
1.
10!
access-listoutside_access_inpermittcpanyhost192.
168.
1.
10eqwwwaccess-listoutside_access_inpermittcpanyhost192.
168.
1.
10eqhttpsaccess-listhttp-trafficextendedpermittcpanyanyeqwwwaccess-listhttps-trafficextendedpermittcpanyanyeqhttps!
scansafegeneral-optionsserverprimaryfqdnproxy193.
scansafe.
netport8080serverbackupfqdnproxy1363.
scansafe.
netport8080retry-count5license!
objectnetworkinside-networknat(inside,outside)dynamicinterfaceobjectnetworkweb-servernat(inside,outside)static10.
1.
1.
10!
access-groupoutside_access_inininterfaceoutside!
class-maphttp-classmatchaccess-listhttp_trafficclass-maphttps-classmatchaccess-listhttps_traffic!
policy-maptypeinspectscansafehttp-pmapparametershttppolicy-maptypeinspectscansafehttps-pmapparametershttps!
policy-mapoutside-policyclasshttp-classinspectscansafehttp-pmapfail-closeclasshttps-classinspectscansafehttps-pmapfail-close!
service-policyoutside-policyinterfaceinside使用此confguration,内部网络服务器从使用IP地址10.
1.
1.
10威力的外面变得不可访问.
此问题可以由多个原因导致,例如:在Web服务器主机的内容种类.
qWeb服务器的安全套接字层SSL证书没有由CWS代理服务器委托.
q解决方案在所有内部服务器主机的内容通常被认为值得信任.
因此,扫描流量到有CWS的这些服务器是不必要的.
您能怀特列表流量到有此配置的这样内部服务器:ASA1(config)#object-groupnetworkScanSafe-bypassASA1(config-network-object-group)#network-objecthost192.
168.
1.
10ASA1(config-network-object-group)#exitASA1(config)#access-listhttp_trafficline1denytcpanyobject-groupScanSafe-bypasseqwwwASA1(config)#access-listhttps_trafficline1denytcpanyobject-groupScanSafe-bypasseqhttps使用此配置,对内部网络服务器的流量在TCP端口80和443的192.
168.
1.
10不再重定向到CWS代理服务器.
如果有多个服务器此输入网络,您能添加他们到对象组名为ScanSafe旁路.
- 在ASA流量的CWS对阻塞的内部服务器相关文档
- 磋商ssl证书
- 南京理工大学泰州科技学院
- 招标文件项目编号:BJMU2019072
- (印有申请单位名称为抬头的信纸)
- 目录ssl证书
- WSA新的可信的根认证套件更新-
企鹅小屋:垃圾服务商有跑路风险,站长注意转移备份数据!
企鹅小屋:垃圾服务商有跑路风险!企鹅不允许你二次工单的,二次提交工单直接关服务器,再严重就封号,意思是你提交工单要小心,别因为提交工单被干了账号!前段时间,就有站长说企鹅小屋要跑路了,站长不太相信,本站平台已经为企鹅小屋推荐了几千元的业绩,CPS返利达182.67CNY。然后,站长通过企鹅小屋后台申请提现,提现申请至今已经有20几天,企鹅小屋也没有转账。然后,搞笑的一幕出现了:平台账号登录不上提示...
稳爱云(26元),香港云服务器 1核 1G 10M带宽
稳爱云(www.wenaiyun.com)是创建于2021年的国人IDC商家,主要目前要出售香港VPS、香港独立服务器、美国高防VPS、美国CERA VPS 等目前在售VPS线路有三网CN2、CN2 GIA,该公司旗下产品均采用KVM虚拟化架构。机房采用业内口碑最好香港沙田机房,稳定,好用,数据安全。线路采用三网(电信,联通,移动)回程电信cn2、cn2 gia优质网络,延迟低,速度快。自行封装的...
GeorgeDatacenter:洛杉矶/达拉斯/芝加哥/纽约vps云服务器;2核/8GB/250GB/2TB流量/1Gbps端口,$84/年
georgedatacenter怎么样?GeorgeDatacenter是一家2017年成立的美国商家,正规注册公司(REG: 10327625611),其实是oneman。现在有优惠,有几款特价VPS,基于Vmware。支持Paypal付款。GeorgeDatacenter目前推出的一款美国vps,2核/8GB内存/250GB NVMe空间/2TB流量/1Gbps端口/Vmware/洛杉矶/达拉...
-
滚筒洗衣机和波轮洗衣机哪个好波轮洗衣机和滚桶洗衣机哪个好?哪个更实用?苹果x和xr哪个好苹果x,苹果xs,苹果xr,苹果xs max哪个更值得买?浮动利率和固定利率哪个好银行贷款是选固定利率好还是浮动利率ps软件哪个好怎么ps啊,哪个软件好股票软件哪个好请问:免费的模拟炒股软件哪个好?网校哪个好有什么网校比较好红茶和绿茶哪个好红茶和绿茶哪个好?看书软件哪个好有什么好的读书软件啊?扣扣空间登录QQ空间怎么老是提示登陆?辽宁联通营业厅辽宁移动网上营业厅进入办法