Hvala za povratne informacije.
Podpora za proxy za hibridno varnost podatkov in video mrežo
Povratne informacije?V tem razdelku je opisana funkcija podpore za proxy za Hybrid Data Security. Namenjen je dopolnjevanju Vodnika za uvajanje za Cisco Webex Hybrid Data Security, ki je na voljo na https://www.cisco.com/go/hybrid-data-security. V novi uvedbi konfigurirate nastavitev proxyja na vsakem vozlišču po nalaganju in nameščanju datoteke ISO konfiguracije HDS na vozlišču in pred registracijo vozlišča v oblaku Cisco Webex.
Hibridna varnost podatkov podpira eksplicitne, pregledne inšpekcijske in neinšpekcijske posrednike. Te posredniške strežnike lahko povežete s svojo uvedbo, da lahko zavarujete in spremljate promet iz podjetja v oblak. Za upravljanje potrdil in preverjanje splošnega stanja povezljivosti lahko na vozliščih uporabite skrbniški vmesnik platforme.
Vozlišča Hybrid Data Security podpirajo naslednje možnosti proxyja:
-
Brez proxyja– Privzeta nastavitev, če ne uporabljate shrambe zaupanja za nastavitev vozlišča HDS & Konfiguracija proxyja za integracijo proxyja. Posodobitev potrdila ni potrebna.
-
Transparentni nenadzorovani proxy— Vozlišča niso konfigurirana za uporabo določenega naslova proxy strežnika in ne bi smela zahtevati nobenih sprememb za delo z nenadzorovanim proxyjem. Posodobitev potrdila ni potrebna.
-
Transparentno tuneliranje ali pregledovanje proxyja— Vozlišča niso konfigurirana za uporabo določenega naslova proxy strežnika. Na vozliščih ni potrebno spreminjati konfiguracije HTTP ali HTTPS. Vendar pa vozlišča potrebujejo korensko potrdilo, da lahko zaupajo posredniku. Pregledovanje posredniških strežnikov običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).
-
Eksplicitni proxy– Z eksplicitnim proxyjem vozlišči HDS poveste, kateri proxy strežnik in shemo preverjanja pristnosti naj uporabijo. Če želite konfigurirati eksplicitni proxy, morate na vsakem vozlišču vnesti naslednje podatke:
-
Proksi IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do posredniškega računalnika.
-
Vrata posredniškega strežnika– Številka vrat, ki jih posredniški strežnik uporablja za poslušanje prometa prek posredniškega strežnika.
-
Protokol proxy– Glede na to, kaj podpira vaš proxy strežnik, izberite med naslednjimi protokoli:
-
HTTP – Pregleduje in nadzoruje vse zahteve, ki jih pošlje odjemalec.
-
HTTPS – Zagotavlja kanal strežniku. Odjemalec prejme in potrdi potrdilo strežnika.
-
-
Vrsta preverjanja pristnosti– Izberite med naslednjimi vrstami preverjanja pristnosti:
-
Brez— Nadaljnja overitev ni potrebna.
Na voljo, če kot protokol proxy izberete HTTP ali HTTPS.
-
Osnovno– Uporablja se za uporabniški agent HTTP, ki pri oddaji zahteve posreduje uporabniško ime in geslo. Uporablja kodiranje Base64.
Na voljo, če kot protokol proxy izberete HTTP ali HTTPS.
Zahteva, da na vsakem vozlišču vnesete uporabniško ime in geslo.
-
Povzetek– Uporablja se za potrditev računa pred pošiljanjem občutljivih podatkov. Pred pošiljanjem prek omrežja na uporabniško ime in geslo uporabi zgoščevalno funkcijo.
Na voljo samo, če kot protokol proxy izberete HTTPS.
Zahteva, da na vsakem vozlišču vnesete uporabniško ime in geslo.
-
-
Primer hibridnih vozlišč za varnost podatkov in posredniškega strežnika
Ta diagram prikazuje primer povezave med hibridno varnostjo podatkov, omrežjem in posredniškim strežnikom. Za možnosti preglednega inšpekcijskega pregleda in eksplicitnega inšpekcijskega pregleda HTTPS mora biti na posredniškem strežniku in vozliščih Hybrid Data Security nameščeno isto korensko potrdilo.
Način blokiranega zunanjega ločevanja DNS-a (eksplicitne konfiguracije proxyja)
Ko registrirate vozlišče ali preverite konfiguracijo proxyja vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. V uvedbah z eksplicitnimi konfiguracijami proxyja, ki ne dovoljujejo zunanjega razreševanja DNS za notranje odjemalce, če vozlišče ne more poizvedovati strežnikov DNS, samodejno preklopi v način blokiranega zunanjega razreševanja DNS. V tem načinu se lahko nadaljuje registracija vozlišč in drugi testi povezljivosti posredniškega strežnika.
-
Uradno podpiramo naslednje rešitve proxy, ki se lahko integrirajo z vašimi vozlišči Hybrid Data Security.
-
Transparentni posredniški strežnik – Cisco Web Security Appliance (WSA).
-
Eksplicitni posrednik – Squid.
Proxyji Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev spletne vtičnice (wss:) povezave. Če želite to težavo obiti, glejte Konfiguriranje proxyjev Squid za hibridno varnost podatkov.
-
-
Za eksplicitne posredniške strežnike podpiramo naslednje kombinacije vrst preverjanja pristnosti:
-
Brez preverjanja pristnosti s HTTP ali HTTPS
-
Osnovno preverjanje pristnosti s HTTP ali HTTPS
-
Preverjanje pristnosti samo s HTTPS
-
-
Za pregleden inšpekcijski proxy ali proxy z eksplicitnim HTTPS-jem morate imeti kopijo korenskega potrdila proxyja. Navodila za uvajanje v tem priročniku vam povedo, kako naložite kopijo v shrambe zaupanja vozlišč Hybrid Data Security.
-
Omrežje, ki gosti vozlišča HDS, mora biti konfigurirano tako, da odhodni promet TCP na vratih 443 vsili usmerjanje prek posredniškega strežnika.
-
Proxyji, ki pregledujejo spletni promet, lahko motijo povezave spletnih vtičnic. Če se pojavi ta težava, jo bo rešilo obhod (nepregledovanje) prometa do
wbx2.cominciscospark.com.
Če omrežno okolje zahteva posredniški strežnik, s tem postopkom določite vrsto posredniškega strežnika, ki ga želite integrirati s Hybrid Data Security. Če izberete prozoren inšpekcijski proxy ali eksplicitni proxy HTTPS, lahko za nalaganje in namestitev korenskega potrdila uporabite vmesnik vozlišča. Povezavo s proxyjem lahko preverite tudi prek vmesnika in odpravite morebitne težave.
Preden začnete
-
Za pregled podprtih možnosti proxyja glejte Podpora za proxy.
| 1 |
V spletni brskalnik vnesite URL za nastavitev vozlišča HDS |
| 2 |
Pojdi na Zaupanja vredno trgovino & Proxyin nato izberite možnost:
Za pregleden inšpekcijski proxy, proxy z eksplicitnim HTTP-jem z osnovnim preverjanjem pristnosti ali proxy z eksplicitnim HTTPS-jem sledite naslednjim korakom. |
| 3 |
Kliknite Naloži korensko potrdilo ali potrdilo končne entitetein se nato pomaknite do izbire korenskega potrdila za posredniški strežnik. Potrdilo je naloženo, vendar še ni nameščeno, ker morate za namestitev potrdila znova zagnati vozlišče. Za več podrobnosti kliknite puščico v obliki puščice poleg imena izdajatelja potrdila ali kliknite Izbriši, če ste naredili napako in želite datoteko znova naložiti. |
| 4 |
Kliknite Preveri povezavo s proxyjem, da preizkusite omrežno povezljivost med vozliščem in proxyjem. Če preizkus povezave ne uspe, se prikaže sporočilo o napaki, ki prikazuje razlog in kako lahko težavo odpravite. Če se prikaže sporočilo, da zunanje razreševanje DNS ni bilo uspešno, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v mnogih eksplicitnih konfiguracijah proxyja. Z nastavitvijo lahko nadaljujete in vozlišče bo delovalo v načinu blokiranega zunanjega ločevanja DNS-a. Če menite, da gre za napako, dokončajte te korake in si nato oglejte Izklop načina blokiranega zunanjega razreševanja DNS-a. |
| 5 |
Ko je test povezave uspešen, za eksplicitni proxy, nastavljen samo na https, vklopite stikalo na Usmeritev vseh vrat 443/444 https zahteve iz tega vozlišča prek eksplicitnega proxyja. Ta nastavitev začne veljati v 15 sekundah. |
| 6 |
Kliknite Namesti vsa potrdila v shrambo zaupanja (prikaže se za eksplicitni proxy HTTPS ali prozoren inšpekcijski proxy) ali Ponovni zagon (prikaže se za eksplicitni proxy HTTP), preberite poziv in nato kliknite Namesti, če ste pripravljeni. Vozlišče se ponovno zažene v nekaj minutah. |
| 7 |
Ko se vozlišče znova zažene, se po potrebi znova prijavite in nato odprite stran Pregled, da preverite preverjanja povezljivosti in se prepričate, da so vsa stanja zelena. Preverjanje povezave s proxyjem testira samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy. |
Ko registrirate vozlišče ali preverite konfiguracijo proxyja vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če strežnik DNS vozlišča ne more razrešiti javnih imen DNS, vozlišče samodejno preklopi v način blokiranega zunanjega razreševanja DNS.
Če vaša vozlišča lahko razrešujejo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da na vsakem vozlišču znova zaženete preizkus povezave s proxyjem.
Preden začnete
| 1 |
V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (IP address/setup, na primer, https://192.0.2.0/setup), vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava. |
| 2 |
Pojdite na Pregled (privzeta stran).  Ko je omogočeno, je možnost Blokirano zunanje ločljivost DNS nastavljena na Da. |
| 3 |
Pojdite v trgovino zaupanja vrednih predmetov & Proxy. stran. |
| 4 |
Kliknite Preveri povezavo s proxyjem. Če se prikaže sporočilo, da zunanje razreševanje DNS ni bilo uspešno, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru mora biti po ponovnem zagonu vozlišča in vrnitvi na stran Pregled možnost Blokirano zunanje ločljivost DNS nastavljena na ne. |
Kaj storiti naprej
V tem razdelku je opisana funkcija podpore za proxy za Webex Video Mesh. Namenjen je dopolnjevanju Vodnika za uvajanje za Cisco Webex Video Mesh, ki je na voljo na https://www.cisco.com/go/video-mesh. V novi uvedbi konfigurirate nastavitev proxyja na vsakem vozlišču po uvedbi programske opreme Video Mesh v okolje virtualnega stroja in pred registracijo vozlišča v oblaku Cisco Webex.
Video Mesh podpira eksplicitne, transparentne inšpekcijske in neinšpekcijske posrednike. Te posredniške strežnike lahko povežete z vašo uvedbo Video Mesh, da lahko zaščitite in spremljate promet iz podjetja v oblak. Ta funkcija pošilja signalni in upravljalni promet na osnovi https na posredniški strežnik. Pri transparentnih posredniških strežnikih se omrežne zahteve iz vozlišč Video Mesh posredujejo določenemu posredniškemu strežniku prek pravil usmerjanja v omrežju podjetja. Po implementaciji proxyja z vozlišči lahko za upravljanje potrdil in splošno stanje povezljivosti uporabite skrbniški vmesnik Video Mesh.
Mediji ne potujejo prek posredniškega strežnika. Še vedno morate odpreti zahtevana vrata, da bodo medijski tokovi neposredno dosegli oblak. Glejte Vrata in protokoli za upravljanje.
Video Mesh podpira naslednje vrste proxy strežnikov:
-
Eksplicitni proxy (z ali brez pregleda) – Pri eksplicitnem proxyju odjemalcu (vozliščih Video Mesh) sporočite, kateri proxy strežnik naj uporabi. Ta možnost podpira eno od naslednjih vrst preverjanja pristnosti:
-
Brez – Nadaljnje preverjanje pristnosti ni potrebno. (Za eksplicitni proxy HTTP ali HTTPS.)
-
Osnovno – Uporablja se za uporabniški agent HTTP za vnos uporabniškega imena in gesla pri oddaji zahteve ter uporablja kodiranje Base64. (Za eksplicitni proxy HTTP ali HTTPS.)
-
Zgoščeni zapis – uporablja se za potrditev identitete računa pred pošiljanjem občutljivih podatkov in pred pošiljanjem prek omrežja na uporabniško ime in geslo uporabi zgoščevalno funkcijo. (Za eksplicitni proxy HTTPS.)
-
NTLM – Tako kot Digest se tudi NTLM uporablja za potrditev identitete računa pred pošiljanjem občutljivih podatkov. Uporablja poverilnice sistema Windows namesto uporabniškega imena in gesla. Ta shema preverjanja pristnosti zahteva več izmenjav. (Za HTTP eksplicitni proxy.)
-
-
Transparentni posredniški strežnik (brez pregledovanja) – Vozlišča Video Mesh niso konfigurirana za uporabo določenega naslova posredniškega strežnika in za delo z posredniškim strežnikom brez pregledovanja ne bi smele zahtevati nobenih sprememb.
-
Transparentni posredniški strežnik (pregled) – vozlišča Video Mesh niso konfigurirana za uporabo določenega naslova posredniškega strežnika. Spremembe konfiguracije http(s) na Video Mesh niso potrebne, vendar vozlišča Video Mesh potrebujejo korensko potrdilo, da zaupajo proxyju. Pregledovanje posredniških strežnikov običajno uporablja IT za uveljavljanje pravilnikov glede tega, katera spletna mesta je dovoljeno obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi https).
-
Uradno podpiramo naslednje rešitve proxy, ki se lahko integrirajo z vašimi vozlišči Video Mesh.
-
Cisco Web Security Appliance (WSA) za pregleden proxy
-
Squid za eksplicitni proxy
-
-
Za eksplicitni ali transparentni pregledovalni proxy, ki pregleduje (dešifrira) promet, morate imeti kopijo korenskega potrdila proxyja, ki ga boste morali naložiti v shrambo zaupanja v vozlišče Video Mesh v spletnem vmesniku.
-
Podpiramo naslednje eksplicitne kombinacije posredniškega strežnika in vrste preverjanja pristnosti:
-
Brez preverjanja pristnosti s http in https
-
Osnovno preverjanje pristnosti s http in https
-
Preverjanje pristnosti samo s https
-
NTLM overjanje samo s http
-
-
Za transparentne posredniške strežnike morate uporabiti router/switch prisiliti HTTPS/443 promet, ki gre do proxyja. Web Socket lahko tudi prisilite, da preklopi na proxy. (Spletna vtičnica uporablja https.)
Video Mesh zahteva povezave spletnih vtičnic s storitvami v oblaku, da vozlišča delujejo pravilno. Pri eksplicitnih in transparentnih proxy strežnikih so za pravilno povezavo prek spletnega vtičnika potrebne glave http. Če so spremenjeni, povezava z websocketom ne bo uspela.
Ko pride do napake v povezavi z websocketom na vratih 443 (z omogočenim transparentnim preglednim proxyjem), se v Control Hubu prikaže opozorilo po registraciji: »Klic Webex Video Mesh SIP ne deluje pravilno.« Isti alarm se lahko pojavi tudi iz drugih razlogov, če posredniški strežnik ni omogočen. Ko so glave spletnih vtičnic blokirane na vratih 443, mediji ne tečejo med aplikacijami in odjemalci SIP.
Če mediji ne tečejo, se to pogosto zgodi, ko promet https iz vozlišča prek vrat 443 ne uspe:
-
Promet na vratih 443 je dovoljen s strani posrednika, vendar je to pregledovalni posrednik in moti spletno vtičnico.
Za odpravo teh težav boste morda morali "običi" ali "spojiti" (onemogočiti pregled) vrata 443 z: *.wbx2.com in *.ciscospark.com.
-
S tem postopkom določite vrsto posredniškega strežnika, ki ga želite integrirati z video mrežo. Če izberete pregleden inšpekcijski proxy ali eksplicitni proxy, lahko z vmesnikom vozlišča naložite in namestite korensko potrdilo, preverite povezavo proxyja in odpravite morebitne težave.
Preden začnete
-
Za pregled podprtih možnosti proxyja glejte Podpora za proxy za video mrežo.
| 1 |
V spletni brskalnik vnesite URL za nastavitev Video Mesh | ||||||||||
| 2 |
Pojdi na Zaupanja vredno trgovino & Proxyin nato izberite možnost:
Za pregleden pregled ali eksplicitni posredniški strežnik sledite naslednjim korakom. | ||||||||||
| 3 |
Kliknite Naloži korensko potrdilo ali potrdilo končne entitetein nato poiščite ter izberite korensko potrdilo za eksplicitni ali transparentni pregledni posredniški strežnik. Potrdilo je naloženo, vendar še ni nameščeno, ker je treba vozlišče znova zagnati, da se namesti potrdilo. Za več podrobnosti kliknite puščico ob imenu izdajatelja potrdila ali kliknite Izbriši, če ste naredili napako in želite datoteko znova naložiti. | ||||||||||
| 4 |
Za pregleden pregled ali eksplicitne posredniške strežnike kliknite Preveri povezavo posredniškega strežnika, da preizkusite omrežno povezljivost med vozliščem Video Mesh in posredniškim strežnikom. Če preizkus povezave ne uspe, se prikaže sporočilo o napaki, ki prikazuje razlog in kako lahko težavo odpravite. | ||||||||||
| 5 |
Ko je test povezave uspešen, za eksplicitni proxy vklopite stikalo na Usmeri vse zahteve https na vratih 443 iz tega vozlišča prek eksplicitnega proxyja. Ta nastavitev začne veljati v 15 sekundah. | ||||||||||
| 6 |
Kliknite Namesti vsa potrdila v shrambo zaupanja (prikaže se vsakič, ko je bilo med nastavitvijo proxyja dodano korensko potrdilo) ali Ponovni zagon (prikaže se, če korensko potrdilo ni bilo dodano), preberite poziv in nato kliknite Namesti, če ste pripravljeni. Vozlišče se ponovno zažene v nekaj minutah. | ||||||||||
| 7 |
Ko se vozlišče znova zažene, se po potrebi znova prijavite in nato odprite stran Pregled, da preverite preverjanja povezljivosti in se prepričate, da so vsa stanja zelena. Preverjanje povezave s proxyjem testira samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy. |
Kakšen promet gre skozi proxy
Pri Video Mesh mediji ne prečkajo proxyja. Ta funkcija pošilja signalni in upravljalni promet na podlagi https na posredniški strežnik. Še vedno morate odpreti zahtevana vrata, da medijski tokovi dosežejo neposredno oblak.
Vrata TCP 444 niso omogočena na posredniškem strežniku
Ta vrata so obvezna za Video Mesh, ker Video Mesh uporablja ta vrata za dostop do storitev v oblaku, ki jih mora uporabljati za pravilno delovanje. Za ta in VSAKA vrata je treba narediti izjemo posredniškega strežnika, kot je dokumentirano v vodniku za uvajanje Video Mesh in omrežnih zahtevah za storitve Webex Teams.
Filtriranje signalnega prometa po naslovu IP ni podprto, saj so naslovi IP, ki jih uporabljajo naše rešitve, dinamični in se lahko kadar koli spremenijo.
Korensko potrdilo ni nameščeno
Ko vaša vozlišča komunicirajo z eksplicitnim posredniškim strežnikom, morate namestiti korensko potrdilo in v požarni zid vnesti izjemo za ta URL.
Preverjanje povezljivosti ni uspelo
Če je bilo preverjanje povezljivosti proxyja uspešno in je bila namestitev proxyja dokončana, lahko preverjanja povezljivosti na strani s pregledom še vedno ne uspejo iz teh razlogov:
-
Proxy pregleduje promet, ki ne gre na webex.com.
-
Proxy blokira domene, ki niso webex.com.
Podatki za preverjanje pristnosti so napačni
Za posrednike, ki uporabljajo mehanizem za preverjanje pristnosti, se prepričajte, da v vozlišče dodate pravilne podatke za preverjanje pristnosti.
Zastoji na posredniškem strežniku
Preobremenjenost vašega proxyja lahko povzroči zamude in padce prometa v oblak. Preverite okolje proxyja, da vidite, ali je potrebno omejevanje prometa.
Websocket se ne more povezati prek proxyja Squid
Proxyji Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavljanje povezav websocket (wss:), ki jih zahteva Hybrid Data Security. Ti razdelki dajejo navodila o tem, kako konfigurirati različne različice Squida, da prezrejo wss: promet za pravilno delovanje storitev.
Lignji 4 in 5
Dodajte direktivo on_unsupported_protocol v squid.conf:
on_unsupported_protocol tunnel allLignji 3.5.27
Uspešno smo preizkusili hibridno varnost podatkov z naslednjimi pravili, dodanimi v squid.conf. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
