Cisco Cisco Web Security Appliance S360 信息指南
如何防止 Web 安全设备成为开放代理
文档编号:117933
作者:Josh Wolfer 和 Siddharth Rajpathak,Cisco TAC 工程师。
2014 年 7 月 15 日
2014 年 7 月 15 日
目录 问题:
环境:思科网络安全设备 (WSA),所有 AsyncOS 版本。在以下两种情况下,
可考虑使用 WSA 作为开放代理:
1. 非网络中驻留的 HTTP 客户端可以通过代理访问网络
2. 客户端使用 HTTP CONNECT 请求通过隧道传输非 HTTP 流量
2. 客户端使用 HTTP CONNECT 请求通过隧道传输非 HTTP 流量
这两种情况会造成完全不同的影响,下面将进行详细探讨。
非网络中驻留的
HTTP
客户端可以通过代理访问网络
默认情况下,WSA 会代理发送给它的任何 HTTP 请求,并假设该请求位于 WSA 正在侦听的端口(
默认为 80 和 3128)。 这可能存在问题,因为您可能不希望任何网络的任何客户端都能使用 WSA。
如果 WSA 使用的是公共 IP 地址并且可从互联网进行访问,这可能会成为一个重大问题。
默认为 80 和 3128)。 这可能存在问题,因为您可能不希望任何网络的任何客户端都能使用 WSA。
如果 WSA 使用的是公共 IP 地址并且可从互联网进行访问,这可能会成为一个重大问题。
可通过以下 2 种方式修复该问题:
1. 在 WSA 的上游利用防火墙来阻止未经授权的源进行 HTTP 访问。
2. 创建策略组,以仅允许所需子网上的客户端进行访问。 下面是此策略的简要说明:
策略组 1:应用到子网 10.0.0.0/8(假设这是客户端网络)。 添加所需的操作。 默认策略:阻止所有协
议 - HTTP、HTTPS、FTP over HTTP
议 - HTTP、HTTPS、FTP over HTTP
可以在策略组 1 的基础上创建更详细的策略。 只要其他规则仅应用到相应的客户端子网,所有其他
流量均将捕获最后一条规则
流量均将捕获最后一条规则
“deny all”。
客户端使用
HTTP CONNECT
请求通过隧道传输非
HTTP
流量
HTTP CONNECT 请求用于通过 HTTP 代理隧道传输非 HTTP 数据。 HTTP CONNECT 请求的最常见
用途是用于通过隧道传输 HTTPS 流量。
用途是用于通过隧道传输 HTTPS 流量。