目录简介先决条件要求使用的组件网络图问题解决方案最终配置相关信息简介本文描述遇到的常见问题,当您配置CiscoCloudWeb安全(以前叫作ScanSafe)时(的)CWS在Cisco可适应安全工具(ASA)版本9.
0和以上.
使用CWS,ASA透明地重定向选定HTTP和HTTPS到CWS代理服务器.
管理员有能力允许,阻塞或者警告最终用户为了从与安全策略相应的配置的恶意软件保护他们在CWS门户的.
先决条件要求思科建议您有这些配置知识:思科ASA通过CLI和可适应安全设备管理器(ASDM)q思科Cloud在思科ASA的Web安全q使用的组件本文档中的信息根据思科ASA.
本文档中的信息都是基于特定实验室环境中的设备编写的.
本文档中使用的所有设备最初均采用原始(默认)配置.
如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响.
网络图问题遇到的常见问题,当您配置在ASA时的思科CWS发生,当内部网络服务器变得不可访问通过ASA.
例如,这是对应于在前面部分说明的拓扑的配置示例:hostnameASA1!
interfaceGigabitEthernet0/0nameifoutsidesecurity-level0ipaddress10.
1.
1.
1255.
255.
255.
0!
interfaceGigabitEthernet0/1nameifinsidesecurity-level100ipaddress192.
168.
1.
1255.
255.
255.
0!
objectnetworkinside-networksubnet192.
168.
1.
0255.
255.
255.
0objectnetworkweb-serverhost192.
168.
1.
10!
access-listoutside_access_inpermittcpanyhost192.
168.
1.
10eqwwwaccess-listoutside_access_inpermittcpanyhost192.
168.
1.
10eqhttpsaccess-listhttp-trafficextendedpermittcpanyanyeqwwwaccess-listhttps-trafficextendedpermittcpanyanyeqhttps!
scansafegeneral-optionsserverprimaryfqdnproxy193.
scansafe.
netport8080serverbackupfqdnproxy1363.
scansafe.
netport8080retry-count5license!
objectnetworkinside-networknat(inside,outside)dynamicinterfaceobjectnetworkweb-servernat(inside,outside)static10.
1.
1.
10!
access-groupoutside_access_inininterfaceoutside!
class-maphttp-classmatchaccess-listhttp_trafficclass-maphttps-classmatchaccess-listhttps_traffic!
policy-maptypeinspectscansafehttp-pmapparametershttppolicy-maptypeinspectscansafehttps-pmapparametershttps!
policy-mapoutside-policyclasshttp-classinspectscansafehttp-pmapfail-closeclasshttps-classinspectscansafehttps-pmapfail-close!
service-policyoutside-policyinterfaceinside使用此confguration,内部网络服务器从使用IP地址10.
1.
1.
10威力的外面变得不可访问.
此问题可以由多个原因导致,例如:在Web服务器主机的内容种类.
qWeb服务器的安全套接字层SSL证书没有由CWS代理服务器委托.
q解决方案在所有内部服务器主机的内容通常被认为值得信任.
因此,扫描流量到有CWS的这些服务器是不必要的.
您能怀特列表流量到有此配置的这样内部服务器:ASA1(config)#object-groupnetworkScanSafe-bypassASA1(config-network-object-group)#network-objecthost192.
168.
1.
10ASA1(config-network-object-group)#exitASA1(config)#access-listhttp_trafficline1denytcpanyobject-groupScanSafe-bypasseqwwwASA1(config)#access-listhttps_trafficline1denytcpanyobject-groupScanSafe-bypasseqhttps使用此配置,对内部网络服务器的流量在TCP端口80和443的192.
168.
1.
10不再重定向到CWS代理服务器.
如果有多个服务器此输入网络,您能添加他们到对象组名为ScanSafe旁路.
Sharktech荷兰10G带宽的独立服务器月付319美元起,10Gbps共享带宽,不限制流量,自带5个IPv4,免费60Gbps的 DDoS防御,可加到100G防御。CPU内存HDD价格购买地址E3-1270v216G2T$319/月链接E3-1270v516G2T$329/月链接2*E5-2670v232G2T$389/月链接2*E5-2678v364G2T$409/月链接这里我们需要注意,默...
达州创梦网络怎么样,达州创梦网络公司位于四川省达州市,属于四川本地企业,资质齐全,IDC/ISP均有,从创梦网络这边租的服务器均可以备案,属于一手资源,高防机柜、大带宽、高防IP业务,一手整C IP段,四川电信,一手四川托管服务商,成都优化线路,机柜租用、服务器云服务器租用,适合建站做游戏,不须要在套CDN,全国访问快,直连省骨干,大网封UDP,无视UDP攻击,机房集群高达1.2TB,单机可提供1...
今天下午遇到一个网友聊到他昨天新注册的一个域名,今天在去使用的时候发现域名居然不见。开始怀疑他昨天是否付款扣费,以及是否有实名认证过,毕竟我们在国内域名注册平台注册域名是需要实名认证的,大概3-5天内如果不验证那是不可以使用的。但是如果注册完毕的域名找不到那也是奇怪。同时我也有怀疑他是不是忘记记错账户。毕竟我们有很多朋友在某个商家注册很多账户,有时候自己都忘记是用哪个账户的。但是我们去找账户也不办...