Cisco Cisco Web Security Appliance S360 Guide D’Information
如何配置 IP 欺骗功能?
文档编号:117949
作者:Cordelia Naumann 和 Siddharth Rajpathak,Cisco TAC 工程师。
2014 年 7 月 16 日
2014 年 7 月 16 日
目录
问题
问题
如何配置 IP 欺骗功能?
环境:思科网络安全设备 (WSA),所有 AsyncOS 版本
摘要
:
在传统代理部署中,客户端的 IP 地址将替换为代理/缓存服务器的 IP 地址。 当通过屏蔽最终用户的
地址提供内在安全时,在某些情况下,有些 Web 应用会要求访问发起方客户端的 IP 地址。
地址提供内在安全时,在某些情况下,有些 Web 应用会要求访问发起方客户端的 IP 地址。
通过在思科网络安全设备 (WSA) 中实施“IP 欺骗”功能并在 Cisco IOS 设备上配置相应的 WCCP 服务
组,可以向 Web 应用显示客户端的 IP 地址,以代替 WSA 的 IP 地址。 下面的内容介绍了此实施的
必要配置步骤。
组,可以向 Web 应用显示客户端的 IP 地址,以代替 WSA 的 IP 地址。 下面的内容介绍了此实施的
必要配置步骤。
说明
:
要实施
“IP 欺骗”功能,需要在 Cisco IOS
®
路由器上创建两个唯一的 WCCP 服务组。 第一个
WCCP“Web-缓存”组用于将来自用户的 http/端口 80 流量重新定向到 WSA。 可通过配置特定访问控
制列表(如下例所示)来控制哪些用户受思科网络安全设备保护。 路由器上的用户接口可配置为将
入站流量重新定向到此 WCCP 服务组。
制列表(如下例所示)来控制哪些用户受思科网络安全设备保护。 路由器上的用户接口可配置为将
入站流量重新定向到此 WCCP 服务组。
第二个 WCCP 服务组需要定义为动态服务 ID(即服务 ID 95)。 同样,使用访问列表来控制哪些用
户可受保护(例如允许全部绕过系统)。 对于返回的 Web 流量,路由器上的外部接口可配置为将其
入站流量重新定向到 WCCP 服务组 95。
户可受保护(例如允许全部绕过系统)。 对于返回的 Web 流量,路由器上的外部接口可配置为将其
入站流量重新定向到 WCCP 服务组 95。
更新日期:2014 年 7 月 16 日
文档编号:117949