Cisco Webex 하이브리드 데이터 보안 및 Webex 비디오 메시를 사용하여 프록시를 설정하는 방법에 대해 알아보십시오. 여기에는 투명 검사 프록시 또는 명시적 프록시에서 노드가 작동하도록 구성하는 단계 및 요구 사항이 포함됩니다. 기본 문제 해결하기 정보를 찾을 수도 있습니다.
이 섹션에서는 하이브리드 데이터 보안에 대한 프록시 지원 기능을 설명합니다. 이는 Cisco Webex 하이브리드 데이터 보안의 배포 안내서를 보완하기 위한 자료로, https://www.cisco.com/go/hybrid-data-security에서 확인할 수 있습니다. 새로운 배포에서 Cisco Webex 클라우드에 노드를 등록하기 전에 노드에 HDS 구성 ISO를 업로드 및 마운트한 후 각 노드에서 프록시 설정을 구성합니다.
하이브리드 데이터 보안은 명시적, 투명 검사 및 비-검사 프록시를 지원합니다. 해당 프록시를 배포에 연결하여 기업에서 클라우드로의 트래픽을 안전하게 보호하고 모니터링할 수 있습니다. 인증서 관리에 대해 노드에서 플랫폼 관리 인터페이스를 사용하고, 노드에서 프록시를 설정한 후 전반적인 연결 상태를 확인하기 위해 사용할 수 있습니다.
하이브리드 데이터 보안 노드는 다음 프록시 옵션을 지원합니다.
-
프록시 없음—프록시를 통합하기 위해 HDS 노드 설정 신뢰 저장소 및 프록시 구성을 사용하지 않는 경우에 기본값입니다. 인증서를 업데이트하지 않아도 됩니다.
-
투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되어 있지 않으며, 비-검사 프록시에서 작동하도록 변경할 것을 요구하지 않습니다. 인증서를 업데이트하지 않아도 됩니다.
-
투명 터널링 또는 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되어 있지 않습니다. 노드에서 HTTP 또는 HTTPS 구성을 변경하지 않아도 됩니다. 단, 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다.
-
명시적 프록시—명시적 프록시를 사용하여 HDS 노드가 어떤 프록시 서버 및 인증 구성표를 사용하는지 알 수 있습니다. 명시적 프록시를 구성하려면 각 노드에 다음 정보를 입력해야 합니다.
-
프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용할 수 있는 주소입니다.
-
프록시 포트—프록시가 프록시된 트래픽을 탐지하기 위해 사용하는 포트 번호입니다.
-
프록시 프로토콜—프록시 서버에서 지원하는 내용에 따라 다음 프로토콜 중에서 선택합니다.
-
HTTP—클라이언트가 전송하는 모든 요청을 확인하고 제어합니다.
-
HTTPS—서버에 채널을 제공합니다. 클라이언트는 서버의 인증서를 수신하고 유효성을 검증합니다.
-
-
인증 유형—다음 인증 유형 중에서 선택합니다.
-
없음—추가 인증이 필요하지 않습니다.
HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.
-
기본—요청을 제출할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다.
HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.
각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.
-
다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다.
HTTPS를 프록시 프로토콜로 선택하는 경우에만 사용할 수 있습니다.
각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.
-
-
하이브리드 데이터 보안 노드 및 프록시의 예제
차단된 외부 DNS 확인 모드 끄기 (명시적 프록시 구성)
노드를 등록하거나 노드의 프록시 구성을 확인할 때 프로세스는 Cisco Webex 클라우드에 대한 DNS 조회 및 연결을 테스트합니다. 내부 클라이언트에 대해 외부 DNS 확인을 허용하지 않는 명시적인 프록시 구성이 포함된 배포에서 노드가 DNS 서버를 쿼리할 수 없는 경우, 이는 자동으로 차단된 외부 DNS 확인 모드로 지정됩니다. 이 모드에서 노드 등록 및 다른 프록시 연결 테스트를 진행할 수 있습니다.
-
하이브리드 데이터 보안 노드에 통합할 수 있는 다음 프록시 솔루션을 공식적으로 지원합니다.
-
투명 프록시—Cisco Web Security Appliance (WSA).
-
명시적 프록시—Squid.
HTTPS 트래픽을 검사하는 Squid 프록시는 웹 소켓(wss:) 연결의 설정을 방해할 수 있습니다. 방해할 수 있습니다. 이 문제를 해결하려면 하이브리드 데이터 보안에 대해 Squid 프록시 구성을(를) 참조하십시오.
-
-
명시적 프록시에 대해 다음 인증 유형 조합을 지원합니다.
-
HTTP 또는 HTTPS로 인증하지 않음
-
HTTP 또는 HTTPS로 기본 인증
-
HTTPS로만 다이제스트 인증
-
-
투명 검사 프록시 또는 HTTPS 명시적 프록시에 대해 프록시 루트 인증서의 복사본이 있어야 합니다. 이 안내서의 배포 지시 사항은 하이브리드 데이터 보안 노드의 신뢰 저장소에 사본을 업로드하는 방법을 설명합니다.
-
HDS 노드를 호스트하는 네트워크는 포트 443의 아웃바운드 TCP 트래픽이 프록시를 통해 라우팅하도록 구성되어야 합니다.
-
웹 트래픽을 검사하는 프록시는 웹 소켓 연결을 방해할 수도 있습니다. 이 문제가 발생하는 경우, wbx2.com 및 ciscospark.com에 대한 트래픽을 우회(검사하지 않음)하면 문제를 해결할 수 있습니다.
네트워크 환경에 프록시가 필요한 경우, 이 절차를 사용하여 하이브리드 데이터 보안에 통합하고자 하는 프록시의 유형을 지정합니다. 투명 검사 프록시 또는 HTTPS 명시적 프록시를 선택하는 경우, 노드의 인터페이스를 사용하여 루트 인증서를 업로드하고 설치할 수 있습니다. 인터페이스에서 프록시 연결을 확인하고 잠재적인 문제를 해결할 수도 있습니다.
시작하기 전에
-
지원되는 프록시 옵션의 개요에 대해서는 프록시 지원을(를) 참조하십시오.
1 |
웹 브라우저에서 HDS 노드 설정 URL https://[HDS Node IP 또는 FQDN]/setup을 입력하고, 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다. |
2 |
신뢰 저장소 및 프록시로 이동한 후 옵션을 선택합니다.
투명 검사 프록시, 기본 인증이 포함된 HTTP 명시적 프록시 또는 HTTPS 명시적 프록시에 대해서는 다음 단계를 따르십시오. |
3 |
루트 인증서 또는 최종 엔터티 인증서 업로드를 클릭한 후 탐색하여 프록시에 대한 루트 인증서를 선택합니다. 인증서가 업로드되었지만 아직 설치되지 않았습니다. 인증서를 설치하려면 노드를 재부팅해야 합니다. 인증서 발급자 이름 옆에 있는 갈매기 모양 화살표를 클릭하여 자세한 내용을 확인합니다. 실수가 있었거나 파일을 다시 업로드하려는 경우엔 삭제를 클릭합니다. |
4 |
프록시 연결 확인을 클릭하여 노드와 프록시 간의 네트워크 연결을 테스트합니다. 연결 테스트에 실패하는 경우, 이유 및 문제를 해결할 수 있는 방법을 표시하는 오류 메시지가 나타납니다. 외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것입니다. 이 조건은 다양한 명시적 프록시 구성에서 예상되는 작동입니다. 설정을 계속 진행할 수 있으며, 노드는 차단된 외부 DNS 확인 모드로 작동하게 됩니다. 이 작업이 오류라고 판단되면 해당 단계를 완료한 후 차단된 외부 DNS 확인 모드 끄기을(를) 참조하십시오. |
5 |
연결 테스트를 통과한 후 https로만 설정된 명시적 프록시에 대해 설정을 토글하여 이 노드의 모든 포트 443/444 https 요청을 명시적 프록시를 통해 라우팅합니다. 이 설정이 적용될 때까지 15초 정도 소요됩니다. |
6 |
모든 인증서를 신뢰 저장소에 설치(HTTPS 명시적 프록시 또는 투명 검사 프록시에 대해 나타남) 또는 재부팅(HTTP 명시적 프록시에 대해 나타남)을 클릭하고 안내를 읽은 후 준비되었을 때 설치를 클릭합니다. 노드는 몇 분 내에 재부팅됩니다. |
7 |
노드가 재부팅되면 필요에 따라 다시 로그인한 후 개요 페이지를 열어 연결을 확인하고 모두 녹색 상태인지 확인합니다. 프록시 연결 확인은 webex.com의 하위 도메인만 테스트합니다. 연결에 문제가 있는 경우, 설치 지시 사항에 나열된 일부 클라우드 도메인이 프록시에서 차단되는 것은 일반적인 문제입니다. |
이 섹션에서는 Webex 비디오 메시에 대한 프록시 지원 기능을 설명합니다. 이는 Cisco Webex 비디오 메시의 배포 안내서를 보완하기 위한 자료로, https://www.cisco.com/go/video-mesh에서 확인할 수 있습니다. 새로운 배포에서 Cisco Webex 클라우드에 노드를 등록하기 전에 가상 머신 환경에 비디오 메시 소프트웨어를 배포한 후 각 노드에서 프록시 설정을 구성합니다.
Cisco Webex 비디오 메시는 명시적, 투명 검사 및 비-검사 프록시를 지원합니다. 해당 프록시를 Webex 비디오 메시 배포에 연결하여 기업에서 클라우드로의 트래픽을 안전하게 보호하고 모니터링할 수 있습니다. 이 기능은 신호 및 관리 https 기반 트래픽을 프록시에 전송합니다. 투명 프록시에 대해 비디오 메시 노드의 네트워크 요청은 기업 네트워크 라우팅 규칙을 통해 특정 프록시로 전달됩니다. 노드를 사용하여 프록시를 구현한 후 인증서 관리 및 전반적인 연결 상태에 대해 Webex 비디오 메시 관리 인터페이스를 사용할 수 있습니다.
미디어는 프록시를 통해 이동하지 않습니다. 클라우드로 직접 연결하려면 여전히 미디어 스트림에 대해 필요한 포트를 열어야 합니다. |
다음 프록시 유형은 비디오 메시에서 지원됩니다.
-
명시적 프록시 (검사 또는 비-검사)—명시적 프록시를 사용하여 클라이언트(비디오 메시 노드)가 어떤 프록시 서버를 사용하는지 알 수 있습니다. 이 옵션은 다음 인증 유형 중 하나를 지원합니다.
-
없음—추가 인증이 필요하지 않습니다. (HTTP 또는 HTTPS 명시적 프록시용.)
-
기본—요청을 제출할 때 HTTP 사용자 에이전트가 사용자이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다. (HTTP 또는 HTTPS 명시적 프록시용.)
-
다이제스트—민감한 정보를 보내기 전에 계정의 신분을 확인하기 위해 사용되며, 네트워크를 통해 전송하기 전에 사용자이름 및 비밀번호에 해시 기능을 적용합니다. (HTTPS 명시적 프록시용.)
-
NTLM—다이제스트와 마찬가지로, NTLM은 민감한 정보를 보내기 전에 계정의 신분을 확인하는 데 사용됩니다. 사용자이름 및 비밀번호를 사용하는 대신 Windows 자격 증명을 사용합니다. 이 인증 구성표를 완료하려면 여러 교환이 필요합니다. (HTTP 명시적 프록시용.)
-
-
투명 프록시 (비-검사)—비디오 메시 노드가 특정 프록시 서버 주소를 사용하도록 구성되어 있지 않으며, 비-검사 프록시에서 작동하도록 변경할 것을 요구하지 않습니다.
-
투명 프록시 (검사)—비디오 메시 노드가 특정 프록시 서버 주소를 사용하도록 구성되어 있지 않습니다. 비디오 메시에서 http(s) 구성을 변경하지 않아도 됩니다. 단, 비디오 메시 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(https 포함)을 해독합니다.
-
Webex 비디오 메시 노드에 통합할 수 있는 다음 프록시 솔루션을 공식적으로 지원합니다.
-
투명 프록시에 대한 Cisco 웹 보안 기기(WSA)
-
명시적 프록시용 Squid
-
-
(트래픽을 해독) 검사하는 명시적 프록시 또는 투명 검사 프록시에 대해서는 웹 인터페이스에서 Webex 비디오 메시 노드 신뢰 저장소에 업로드하기 위해 필요한 프록시 루트 인증서의 복사본이 있어야 합니다.
-
다음 명시적 프록시 및 인증 유형 조합을 지원합니다.
-
http 및 https로 인증하지 않음
-
http 및 https로 기본 인증
-
https로만 다이제스트 인증
-
http로만 NTLM 인증
-
-
투명 프록시에 대해서는 라우터/스위치를 사용하여 HTTPS/443 트래픽을 프록시로 이동해야 합니다. 또한 웹 소켓/444가 프록시로 이동하도록 요구할 수도 있습니다. (웹 소켓은 https를 사용함.) 포트 444는 네트워크 설정에 따라 달라집니다. 포트 444가 프록시를 통해 라우팅되지 않는 경우, 노드에서 클라우드로 직접 공개되어야 합니다.
Webex 비디오 메시는 클라우드 서비스에 대한 웹 소켓 연결을 요구하기 때문에 노드는 올바르게 작동합니다. 명시적 검사 및 투명 검사 프록시를 사용할 때 적절한 웹 소켓 연결에 필요한 http 헤더는 수정되고 웹 소켓 연결이 실패합니다.
포트 443(투명 검사 프록시 활성화됨)에서 이러한 현상이 발생하면 Control Hub에서 다음과 같은 등록 후 경고가 나타납니다. "Webex 비디오 메시 SIP 통화가 올바르게 작동하지 않고 있습니다." 프록시가 활성화되지 않은 경우에도 다른 이유로 인해 동일한 경보가 발생할 수 있습니다. 포트 443에서 웹 소켓 헤더가 차단되면 미디어는 앱과 SIP 클라이언트 간에 이동하지 않습니다.
미디어가 이동 하지 않는 경우,이는 포트 444 또는 포트 443에서 노드의 https 트래픽이 실패할 때 자주 발생 합니다.
-
프록시는 검사하지 않지만, 프록시에서 포트 444 트래픽을 허용하지 않습니다.
-
프록시에서 포트 443 또는 포트 444 트래픽을 허용 하지만,이는 검사 프록시 이며, websocket을 중단 합니다.
해당 문제를 수정하기 위해 포트 444 및 443에서 "우회" 또는 "스플라이스"(검사 비활성화)를 실행해야 할 수도 있습니다. *.wbx2.com 및 *.ciscospark.com.
-
이 절차를 사용하여 Webex 비디오 메시에 통합하고자 하는 프록시의 유형을 지정합니다. 투명 검사 프록시 또는 명시적 프록시를 선택하는 경우, 노드의 인터페이스를 사용하여 루트 인증서를 업로드하고 설치할 수 있습니다. 프록시 연결을 확인하고 잠재적인 문제를 해결합니다.
시작하기 전에
-
지원되는 프록시 옵션의 개요에 대해서는 Cisco Webex 비디오 메시의 프록시 지원을(를) 참조하십시오.
1 |
웹 브라우저에서 Webex 비디오 메시 설정 URL https://[IP 또는 FQDN/setup을 입력하고, 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다. |
||||||||||||
2 |
신뢰 저장소 및 프록시로 이동한 후 옵션을 선택합니다.
투명 검사 또는 명시적 프록시에 대해 다음 단계를 따릅니다. |
||||||||||||
3 |
루트 인증서 또는 최종 엔터티 인증서 업로드를 클릭한 후 명시적 프록시 또는 투명 검사 프록시에 대한 루트 인증서를 찾고 선택합니다. 인증서가 업로드되었지만 아직 설치되지 않았습니다. 인증서를 설치하려면 노드가 재부팅되어야 합니다. 인증서 발급자 이름 옆에 있는 화살표를 클릭하여 자세한 내용을 확인합니다. 실수가 있었거나 파일을 다시 업로드하려는 경우엔 삭제를 클릭합니다. |
||||||||||||
4 |
투명 검사 또는 명시적 프록시에 대해 프록시 연결 확인을 클릭하여 비디오 메시 노드와 프록시 간의 네트워크 연결을 테스트합니다. 연결 테스트에 실패하는 경우, 이유 및 문제를 해결할 수 있는 방법을 표시하는 오류 메시지가 나타납니다. |
||||||||||||
5 |
연결 테스트를 통과한 후 명시적 프록시에 대해 설정을 토글하여 이 노드의 모든 포트 443/444 https 요청을 명시적 프록시를 통해 라우팅합니다. 이 설정이 적용될 때까지 15초 정도 소요됩니다. |
||||||||||||
6 |
모든 인증서를 신뢰 저장소에 설치(프록시 설정 중에 루트 인증서가 추가될 때마다 나타남) 또는 재부팅(루트 인증서가 추가되지 않은 경우에 나타남)을 클릭하고 안내를 읽은 후 준비되었을 때 설치를 클릭합니다. 노드는 몇 분 내에 재부팅됩니다. |
||||||||||||
7 |
노드가 재부팅되면 필요에 따라 다시 로그인한 후 개요 페이지를 열어 연결을 확인하고 모두 녹색 상태인지 확인합니다. 프록시 연결 확인은 webex.com의 하위 도메인만 테스트합니다. 연결에 문제가 있는 경우, 설치 지시 사항에 나열된 일부 클라우드 도메인이 프록시에서 차단되는 것은 일반적인 문제입니다. |
프록시를 통해 이동하는 트래픽
비디오 메시에 대해 미디어는 프록시를 순환하지 않습니다. 이 기능은 신호 및 관리 https 기반 트래픽을 프록시에 전송합니다. 클라우드로 직접 연결하려면 여전히 미디어 스트림에 대해 필요한 포트를 열어야 합니다.
프록시에서 TCP 포트 444가 활성화되어 있지 않음
이 포트는 비디오 메시에 대해 요구됩니다. 비디오 메시는 이 포트를 사용하여 올바르게 작동하기 위해 사용해야 하는 클라우드 기반 서비스에 액세스하기 때문입니다. 이 포트 및 비디오 메시 배포 안내서, Webex Teams 서비스에 대한 네트워크 요구 사항에서 설명하는 포트에 대해 프록시 예외가 생성되어야 합니다.
저희 솔루션에서 사용하는 IP 주소는 동적이고 언제든지 변경될 수 있기 때문에 IP 주소에 따른 시그널링 트래픽 필터링 작업은 지원되지 않습니다. |
설치된 루트 인증서 없음
노드가 명시적 프록시와 교류하고 있는 경우, 루트 인증서를 설치하고 방화벽에서 해당 URL에 대한 예외를 입력해야 합니다.
연결 확인 실패
프록시 연결 검사를 통과했으며 프록시 설치가 완료된 경우, 개요 페이지의 연결 검사는 다음 이유로 인해 여전히 실패할 수도 있습니다.
-
프록시가 webex.com으로 이동하지 않는 트래픽을 검사하고 있습니다.
-
프록시가 webex.com 이외의 도메인을 차단하고 있습니다.
인증 세부 사항이 올바르지 않음
인증 메커니즘을 사용하는 프록시에 대해 노드에서 올바른 인증 세부 사항을 추가해야 합니다.
프록시의 정체
프록시에서 정체는 클라우드에 대한 트래픽을 지연시키거나 드롭할 수 있습니다. 프록시 환경을 확인하여 트래픽 제한이 필요한지 확인합니다.
HTTPS 트래픽을 검사하는 Squid 프록시는 웹 소켓(wss:) 연결의 설정을 방해할 수 있습니다. 이는 하이브리드 데이터 보안에서 요구하는 연결입니다. 다음 섹션에서는 서비스가 올바르게 작동하도록 다양한 버전의 Squid에서 wss: 트래픽을 무시하도록 구성하는 방법에 대한 안내를 제공합니다.
Squid 4 및 5
on_unsupported_protocol
지시어를 squid.conf에 추가:
on_unsupported_protocol tunnel all
Squid 3.5.27
squid.com에 추가된 다음 규칙으로 하이브리드 데이터 보안을 성공적으로 테스트했습니다. 이 규칙은 기능을 개발하고 Webex 클라우드를 업데이트 함에 따라 변경될 수도 있습니다.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all