在ASA流量的CWS对阻塞的内部服务器

目录简介先决条件要求使用的组件网络图问题解决方案最终配置相关信息简介本文描述遇到的常见问题,当您配置CiscoCloudWeb安全(以前叫作ScanSafe)时(的)CWS在Cisco可适应安全工具(ASA)版本9.
0和以上.
使用CWS,ASA透明地重定向选定HTTP和HTTPS到CWS代理服务器.
管理员有能力允许,阻塞或者警告最终用户为了从与安全策略相应的配置的恶意软件保护他们在CWS门户的.

先决条件要求思科建议您有这些配置知识:思科ASA通过CLI和可适应安全设备管理器(ASDM)q思科Cloud在思科ASA的Web安全q使用的组件本文档中的信息根据思科ASA.
本文档中的信息都是基于特定实验室环境中的设备编写的.
本文档中使用的所有设备最初均采用原始(默认)配置.
如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响.

网络图问题遇到的常见问题,当您配置在ASA时的思科CWS发生,当内部网络服务器变得不可访问通过ASA.

例如,这是对应于在前面部分说明的拓扑的配置示例:hostnameASA1!
interfaceGigabitEthernet0/0nameifoutsidesecurity-level0ipaddress10.
1.
1.
1255.
255.
255.
0!
interfaceGigabitEthernet0/1nameifinsidesecurity-level100ipaddress192.
168.
1.
1255.
255.
255.
0!
objectnetworkinside-networksubnet192.
168.
1.
0255.
255.
255.
0objectnetworkweb-serverhost192.
168.
1.
10!
access-listoutside_access_inpermittcpanyhost192.
168.
1.
10eqwwwaccess-listoutside_access_inpermittcpanyhost192.
168.
1.
10eqhttpsaccess-listhttp-trafficextendedpermittcpanyanyeqwwwaccess-listhttps-trafficextendedpermittcpanyanyeqhttps!
scansafegeneral-optionsserverprimaryfqdnproxy193.
scansafe.
netport8080serverbackupfqdnproxy1363.
scansafe.
netport8080retry-count5license!
objectnetworkinside-networknat(inside,outside)dynamicinterfaceobjectnetworkweb-servernat(inside,outside)static10.
1.
1.
10!
access-groupoutside_access_inininterfaceoutside!
class-maphttp-classmatchaccess-listhttp_trafficclass-maphttps-classmatchaccess-listhttps_traffic!
policy-maptypeinspectscansafehttp-pmapparametershttppolicy-maptypeinspectscansafehttps-pmapparametershttps!
policy-mapoutside-policyclasshttp-classinspectscansafehttp-pmapfail-closeclasshttps-classinspectscansafehttps-pmapfail-close!
service-policyoutside-policyinterfaceinside使用此confguration,内部网络服务器从使用IP地址10.
1.
1.
10威力的外面变得不可访问.
此问题可以由多个原因导致,例如:在Web服务器主机的内容种类.
qWeb服务器的安全套接字层SSL证书没有由CWS代理服务器委托.
q解决方案在所有内部服务器主机的内容通常被认为值得信任.
因此,扫描流量到有CWS的这些服务器是不必要的.
您能怀特列表流量到有此配置的这样内部服务器:ASA1(config)#object-groupnetworkScanSafe-bypassASA1(config-network-object-group)#network-objecthost192.
168.
1.
10ASA1(config-network-object-group)#exitASA1(config)#access-listhttp_trafficline1denytcpanyobject-groupScanSafe-bypasseqwwwASA1(config)#access-listhttps_trafficline1denytcpanyobject-groupScanSafe-bypasseqhttps使用此配置,对内部网络服务器的流量在TCP端口80和443的192.
168.
1.
10不再重定向到CWS代理服务器.
如果有多个服务器此输入网络,您能添加他们到对象组名为ScanSafe旁路.