Dziękujemy za opinię.
Obsługa serwerów proxy dla hybrydowego bezpieczeństwa danych i siatki wideo
Opinia?W tej sekcji opisano funkcję obsługi serwera proxy dla hybrydowych zabezpieczeń danych. Ma on na celu uzupełnienie Przewodnika wdrażania Cisco Webex Hybrid Data Security, dostępnego pod adresem https://www.cisco.com/go/hybrid-data-security. W nowym wdrożeniu konfigurujesz konfigurację serwera proxy na każdym węźle po przekazaniu i zamontowaniu iso konfiguracji HDS na węźle, a przed zarejestrowaniem węzła w chmurze Cisco Webex.
Hybrid Data Security obsługuje jawne, przejrzyste inspekcje i niekontrolujące serwery proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy w węzłach można używać do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.
Węzły Hybrid Data Security obsługują następujące opcje serwera proxy:
-
Brak serwera proxy— wartość domyślna, jeśli nie używasz magazynu zaufania konfiguracji węzła HDS & Konfiguracja serwera proxy w celu zintegrowania serwera proxy. Aktualizacja certyfikatu nie jest wymagana.
-
Przezroczysty serwer proxy niekontrolujący— Węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian, aby działać z serwerem proxy niekontrolującym. Aktualizacja certyfikatu nie jest wymagana.
-
Transparentne tunelowanie lub inspekcja proxy— Węzły nie są skonfigurowane do używania określonego adresu serwera proxy. W węzłach nie są wymagane żadne zmiany konfiguracji HTTP ani HTTPS. Jednak węzły potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS).
-
Jawny serwer proxy— W przypadku jawnego serwera proxy informujesz węzły HDS, którego serwera proxy i schematu uwierzytelniania mają używać. Aby skonfigurować jawny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
-
Serwer proxy IP/FQDN— Adres, który można wykorzystać do połączenia z maszyną proxy.
-
Port proxy— numer portu, którego serwer proxy używa do nasłuchiwania ruchu proxy.
-
Protokół proxy— W zależności od tego, co obsługuje Twój serwer proxy, wybierz jeden z następujących protokołów:
-
HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
-
HTTPS — zapewnia kanał do serwera. Klient odbiera i sprawdza poprawność certyfikatu serwera.
-
-
Typ uwierzytelniania— wybierz spośród następujących typów uwierzytelniania:
-
Brak— Nie jest wymagane żadne dalsze uwierzytelnianie.
Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
-
Podstawowy— używany przez agenta użytkownika HTTP do podania nazwy użytkownika i hasła podczas wysyłania żądania. Używa kodowania Base64.
Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
-
Digest— Służy do potwierdzenia konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć.
Opcja dostępna tylko po wybraniu protokołu HTTPS jako protokołu proxy.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
-
-
Przykład hybrydowych węzłów zabezpieczeń danych i serwera proxy
Ten diagram przedstawia przykładowe połączenie między hybrid data security, siecią i serwerem proxy. W przypadku opcji przezroczystego serwera proxy inspekcji i jawnego sprawdzania HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach Hybrid Data Security.
Zablokowany tryb zewnętrznego rozpoznawania DNS (jawne konfiguracje serwera proxy)
Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. We wdrożeniach z jawnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzne rozpoznawanie DNS dla klientów wewnętrznych, jeśli węzeł nie może wysłać kwerendy do serwerów DNS, automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.
-
Oficjalnie obsługujemy następujące rozwiązania proxy, które można zintegrować z węzłami Hybrid Data Security.
-
Przezroczysty serwer proxy — Cisco Web Security Appliance (WSA).
-
Jawny serwer proxy — Squid.
Serwery proxy Squid, które sprawdzają ruch HTTPS, mogą zakłócać ustanawianie protokołu WebSocket (wss:) znajomości. Aby obejść ten problem, zapoznaj się z tematem Konfigurowanie serwerów proxy Squid w celu zapewnienia hybrydowego bezpieczeństwa danych.
-
-
Obsługujemy następujące kombinacje typów uwierzytelniania dla jawnych serwerów proxy:
-
Brak uwierzytelniania za pomocą protokołu HTTP lub HTTPS
-
Uwierzytelnianie podstawowe za pomocą protokołu HTTP lub HTTPS
-
Uwierzytelnianie szyfrowane tylko przy użyciu protokołu HTTPS
-
-
W przypadku przezroczystego serwera proxy inspekcji lub jawnego serwera proxy HTTPS musisz mieć kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania w tym przewodniku informają, jak przekazać kopię do magazynów zaufania węzłów hybrid Data Security.
-
Sieć obsługująca węzły HDS musi być skonfigurowana tak, aby wymuszała kierowanie wychodzącego ruchu TCP na porcie 443 przez serwer proxy.
-
Serwery proxy, które sprawdzają ruch sieci web, mogą zakłócać połączenia gniazd internetowych. Jeżeli wystąpi ten problem, pominięcie (niekontrolowanie) ruchu do
wbx2.comiciscospark.comrozwiąże problem.
Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z hybrid Data Security. Jeśli wybierzesz przezroczysty serwer proxy inspekcji lub jawny serwer proxy HTTPS, możesz użyć interfejsu węzła do przekazania i zainstalowania certyfikatu głównego. Możesz także sprawdzić połączenie proxy z poziomu interfejsu i rozwiązać wszelkie potencjalne problemy.
Przed rozpoczęciem
-
Zobacz Obsługa serwera proxy, aby zapoznać się z omówieniem obsługiwanych opcji serwera proxy.
| 1 |
Wprowadź adres URL konfiguracji węzła HDS |
| 2 |
Przejdź do pozycji Sklep zaufania i serwer proxy, a następnie wybierz opcję:
Wykonaj kolejne kroki, aby uzyskać przezroczysty serwer proxy inspekcji, jawny serwer proxy HTTP z uwierzytelnianiem podstawowym lub jawny serwer proxy HTTPS. |
| 3 |
Kliknij przycisk Przekaż certyfikat główny lub Certyfikat jednostkikońcowej , a następnie przejdź do wybierz certyfikat główny dla serwera proxy. Certyfikat został przekazany, ale nie został jeszcze zainstalowany, ponieważ należy ponownie uruchomić węzeł, aby zainstalować certyfikat. Kliknij strzałkę cudzysłów ostrokątnych przy nazwie wystawcy certyfikatu, aby uzyskać więcej szczegółów, lub kliknij przycisk Usuń, jeśli popełnisz błąd i chcesz ponownie przesłać plik. |
| 4 |
Kliknij przycisk Sprawdź połączenie z serwerem proxy, aby przetestować łączność sieciową między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, zostanie wyświetlony komunikat o błędzie z przyczyną i sposobem rozwiązania problemu. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie może połączyć się z serwerem DNS. Ten warunek jest oczekiwany w wielu jawnych konfiguracjach proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie zablokowanego zewnętrznego rozpoznawania nazw DNS. Jeśli uważasz, że to błąd, wykonaj poniższe kroki, a następnie zapoznaj się z sekcją Wyłączanie trybu blokowania zewnętrznego rozwiązania DNS. |
| 5 |
Po przejściu testu połączenia, dla jawnego serwera proxy ustawionego tylko na https, włącz przełącznik na Kieruj wszystkie żądania https portu 443/444 z tego węzła za pośrednictwem jawnego serwera proxy. To ustawienie wymaga 15 sekund, aby zostało wprowadzone. |
| 6 |
Kliknij opcję Zainstaluj wszystkie certyfikaty w magazynie zaufania (pojawia się w przypadku jawnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawia się w przypadku jawnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij przycisk Zainstaluj, jeśli wszystko jest gotowe. Węzeł uruchomi się ponownie w ciągu kilku minut. |
| 7 |
Po ponownym uruchomieniu węzła zaloguj się ponownie, jeśli to konieczne, a następnie otwórz stronę Przegląd, aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie są w stanie zielonym. Sprawdzanie połączenia proxy testuje tylko subdomenę webex.com. Jeśli występują problemy z łącznością, typowym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy. |
Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS.
Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, ponownie uruchamiając test połączenia proxy w każdym węźle.
Przed rozpoczęciem
| 1 |
W przeglądarce sieci Web otwórz interfejs węzła Hybrid Data Security (na przykład adres IP/konfiguracja https://192.0.2.0/setup), wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj. |
| 2 |
Przejdź do Przegląd (strona domyślna).  Gdy ta opcja jest włączona, opcja Zablokowane zewnętrzne rozpoznawanie DNS jest ustawiona na Tak. |
| 3 |
Przejdź do strony Trust Store & Proxy. |
| 4 |
Kliknij przycisk Sprawdź połączenie proxy. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie mógł połączyć się z serwerem DNS i pozostanie w tym trybie. W przeciwnym razie, po ponownym uruchomieniu węzła i powrocie do strony Przegląd, Zablokowane zewnętrzne rozpoznawanie DNS powinno być ustawione na nie. |
Co dalej?
W tej sekcji opisano funkcję obsługi serwera proxy dla Webex Video Mesh. Ma on na celu uzupełnienie Przewodnika wdrażania dla Cisco Webex Video Mesh, dostępnego pod adresem https://www.cisco.com/go/video-mesh. W nowym wdrożeniu konfigurujesz konfigurację serwera proxy w każdym węźle po wdrożeniu oprogramowania Video Mesh w środowisku maszyny wirtualnej i przed zarejestrowaniem węzła w chmurze Cisco Webex.
Video Mesh obsługuje jawne, transparentne serwery proxy z inspekcją i bez inspekcji. Możesz powiązać te serwery proxy z wdrożeniem Video Mesh, aby zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Ta funkcja wysyła do serwera proxy ruch związany z sygnalizacją i zarządzaniem opartym na protokole https. W przypadku przezroczystych serwerów proxy żądania sieciowe z węzłów Video Mesh są przekazywane do określonego serwera proxy za pomocą reguł routingu sieci korporacyjnej. Po wdrożeniu serwera proxy z węzłami można użyć interfejsu administracyjnego Video Mesh do zarządzania certyfikatami i ogólnego stanu łączności.
Media nie podróżują przez pełnomocnika. Nadal musisz otworzyć wymagane porty, aby strumienie multimediów mogły bezpośrednio dotrzeć do chmury. Zobacz Porty i protokoły do zarządzania.
Następujące typy serwerów proxy są obsługiwane przez Video Mesh:
-
Jawny serwer proxy (inspekcja lub niekontrolowanie) — za pomocą jawnego serwera proxy użytkownik mówi klientowi (węzłom Video Mesh), którego serwera proxy ma użyć. Ta opcja obsługuje jeden z następujących typów uwierzytelniania:
-
Brak — nie jest wymagane żadne dodatkowe uwierzytelnianie. (W przypadku jawnego serwera proxy HTTP lub HTTPS).
-
Podstawowy — używany w przypadku agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania i używa kodowania Base64. (W przypadku jawnego serwera proxy HTTP lub HTTPS).
-
Skrót — służy do potwierdzania tożsamości konta przed wysłaniem poufnych informacji i stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć. (W przypadku jawnego serwera proxy HTTPS).
-
NTLM — podobnie jak Digest, NTLM służy do potwierdzania tożsamości konta przed wysłaniem poufnych informacji. Używa poświadczeń systemu Windows zamiast nazwy użytkownika i hasła. Ten schemat uwierzytelniania wymaga ukończenia wielu wymian. (W przypadku jawnego serwera proxy HTTP).
-
-
Przezroczysty serwer proxy (bez inspekcji) — węzły Video Mesh nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w celu pracy z serwerem proxy nieoglądającym inspekcji.
-
Przezroczysty serwer proxy (inspekcja) — węzły Video Mesh nie są skonfigurowane do używania określonego adresu serwera proxy. W video mesh nie są konieczne żadne zmiany konfiguracji http,jednak węzły Video Mesh potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Serwery proxy do inspekcji są zwykle używane przez IT do egzekwowania zasad dotyczących tego, które witryny internetowe mogą być odwiedzane, oraz typów treści, które są niedozwolone. Ten typ proxy odszyfrowuje cały ruch (nawet https).
-
Oficjalnie obsługujemy następujące rozwiązania proxy, które można zintegrować z węzłami Video Mesh.
-
Urządzenie Cisco Web Security Appliance (WSA) do przezroczystego serwera proxy
-
Squid dla jawnego proxy
-
-
W przypadku jawnego serwera proxy lub transparentnego serwera proxy dokonującego inspekcji, który sprawdza (odszyfrowuje ruch), musisz mieć kopię certyfikatu głównego serwera proxy, który musisz przesłać do magazynu zaufanych węzłów Video Mesh w interfejsie internetowym.
-
Obsługujemy następujące jawne kombinacje typów proxy i uwierzytelniania:
-
Brak uwierzytelniania za pomocą protokołów http i https
-
Uwierzytelnianie podstawowe za pomocą protokołów http i https
-
Uwierzytelnianie szyfrowane tylko za pomocą protokołu https
-
Uwierzytelnianie NTLM tylko za pomocą protokołu http
-
-
W przypadku przezroczystych serwerów proxy należy użyć routera/przełącznika, aby wymusić przejście ruchu HTTPS/443 do serwera proxy. Można również wymusić na Web Socket przejście na serwer proxy. (Web Socket używa https.)
Rozwiązanie Video Mesh wymaga połączeń z usługami w chmurze za pośrednictwem gniazd internetowych, aby węzły działały prawidłowo. W przypadku serwerów proxy z jawną i transparentną inspekcją, do poprawnego połączenia websocket wymagane są nagłówki http. Jeżeli zostaną zmienione, połączenie websocket zostanie zerwane.
Gdy wystąpi awaria połączenia websocket na porcie 443 (przy włączonym transparentnym serwerze proxy), w Control Hub wyświetli się ostrzeżenie po rejestracji: „Połączenia SIP Webex Video Mesh nie działają prawidłowo”. Ten sam alarm może wystąpić z innych powodów, gdy serwer proxy nie jest włączony. Gdy nagłówki websocket są zablokowane na porcie 443, multimedia nie przepływają między aplikacjami a klientami SIP.
Jeżeli medium nie przepływa, zdarza się to często, gdy ruch https z węzła przez port 443 zawodzi:
-
Ruch przez port 443 jest dozwolony przez serwer proxy, ale jest to serwer proxy inspekcyjny i powoduje awarię gniazda internetowego.
Aby rozwiązać te problemy, konieczne może być „ominięcie” lub „połączenie” (wyłączenie kontroli) portu 443 w celu: *.wbx2.com I *.ciscospark.com.
-
Użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z siatką wideo. Jeśli wybierzesz przezroczysty serwer proxy inspekcji lub jawny serwer proxy, możesz użyć interfejsu węzła, aby przekazać i zainstalować certyfikat główny, sprawdzić połączenie proxy i rozwiązać wszelkie potencjalne problemy.
Przed rozpoczęciem
-
Aby zapoznać się z przeglądem obsługiwanych opcji proxy, zobacz Obsługa serwerów proxy dla siatki wideo.
-
Wymagania dotyczące obsługi serwerów proxy dla sieci Video Mesh
| 1 |
Wprowadź adres URL konfiguracji Video Mesh | ||||||||||
| 2 |
Przejdź do pozycji Sklep zaufania i serwer proxy, a następnie wybierz opcję:
Wykonaj kolejne kroki, aby uzyskać przezroczysty serwer proxy inspekcji lub jawny. | ||||||||||
| 3 |
Kliknij przycisk Przekaż certyfikat główny lub Certyfikat jednostki końcowej , a następniezlokalizuj i wybierz certyfikat główny dla jawnego lub przezroczystego serwera proxy inspekcji. Certyfikat został przekazany, ale nie został jeszcze zainstalowany, ponieważ węzeł musi zostać ponownie uruchomiony, aby zainstalować certyfikat. Kliknij strzałkę obok nazwy wystawcy certyfikatu, aby uzyskać więcej informacji, lub kliknij przycisk Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik. | ||||||||||
| 4 |
W przypadku przezroczystych inspekcji lub jawnych serwerów proxy kliknij przycisk Sprawdź połączenie proxy, aby przetestować łączność sieciową między węzłem Video Mesh a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, zostanie wyświetlony komunikat o błędzie z przyczyną i sposobem rozwiązania problemu. | ||||||||||
| 5 |
Po przejściu testu połączenia, w przypadku jawnego serwera proxy, przełącz przełącznik na pozycję Kieruj wszystkie żądania https portu 443 z tego węzła przez jawny serwer proxy. To ustawienie wymaga 15 sekund, aby zostało wprowadzone. | ||||||||||
| 6 |
Kliknij przycisk Zainstaluj wszystkie certyfikaty w magazynie zaufania (pojawia się za każdym razem, gdy certyfikat główny został dodany podczas instalacji serwera proxy) lub Uruchom ponownie (pojawia się, jeśli nie dodano certyfikatu głównego), przeczytaj monit, a następnie kliknij przycisk Zainstaluj, jeśli wszystko jest gotowe. Węzeł uruchomi się ponownie w ciągu kilku minut. | ||||||||||
| 7 |
Po ponownym uruchomieniu węzła zaloguj się ponownie, jeśli to konieczne, a następnie otwórz stronę Przegląd, aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie są w stanie zielonym. Sprawdzanie połączenia proxy testuje tylko subdomenę webex.com. Jeśli występują problemy z łącznością, typowym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy. |
Jaki ruch przechodzi przez proxy
W przypadku usługi Video Mesh multimedia nie przechodzą przez serwer proxy. Ta funkcja wysyła do serwera proxy sygnalizację i zarządzanie ruchem https. Nadal musisz otworzyć wymagane porty, aby strumienie multimediów docierały bezpośrednio do chmury.
Port TCP 444 nie jest włączony na serwerze proxy
Ten port jest wymagany dla Video Mesh, ponieważ Video Mesh używa tego portu do uzyskiwania dostępu do usług opartych na chmurze, których musi używać, aby działać poprawnie. Dla tego portu i DOWOLNEGO portu należy wprowadzić wyjątek dotyczący serwera proxy, jak udokumentowano w przewodniku wdrażania programu Video Mesh i wymaganiach sieciowych dla usług Webex TeamsServices.
Filtrowanie ruchu sygnalizacyjnego według adresu IP nie jest obsługiwane, ponieważ adresy IP używane przez nasze rozwiązania są dynamiczne i mogą ulec zmianie w dowolnym momencie.
Nie zainstalowano certyfikatu głównego
Gdy węzły rozmawiają z jawnym serwerem proxy, należy zainstalować certyfikat główny i wprowadzić wyjątek dla tego adresu URL na zaporze.
Sprawdzanie łączności kończy się niepowodzeniem
Jeśli sprawdzenie łączności serwera proxy zakończyło się zgodnie z celem i instalacja serwera proxy została zakończona, sprawdzanie łączności na stronie przeglądu może nadal zakończyć się niepowodzeniem z następujących powodów:
-
Serwer proxy sprawdza ruch, który nie trafia do webex.com.
-
Serwer proxy blokuje domeny inne niż webex.com.
Szczegóły uwierzytelniania są nieprawidłowe
W przypadku serwerów proxy, które używają mechanizmu uwierzytelniania, upewnij się, że dodasz poprawne szczegóły uwierzytelniania w węźle.
Przeciążenie serwera proxy
Przeciążenie serwera proxy może powodować opóźnienia i spadki ruchu do chmury. Sprawdź środowisko proxy, aby sprawdzić, czy jest wymagane ograniczanie ruchu.
Websocket nie może połączyć się przez Squid Proxy
Serwery proxy Squid, które sprawdzają ruch HTTPS, mogą zakłócać nawiązywanie połączeń websocket (wss:), których wymaga Hybrid Data Security. W tych sekcjach znajdziesz wskazówki dotyczące konfigurowania różnych wersji programu Squid w celu ignorowania ruchu wss: w celu prawidłowego działania usług.
Kalmary 4 i 5
Dodaj dyrektywę on_unsupported_protocol do squid.conf:
on_unsupported_protocol tunnel allKalmary 3.5.27
Pomyślnie przetestowaliśmy hybrydowe zabezpieczenia danych po dodaniu następujących reguł do squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizowania chmury Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
