I det här avsnittet beskrivs proxy Support för Hybrid-datasäkerhet. Den är avsedd att komplettera distributions guiden för Cisco WebEx hybrid-datasäkerhet somfinns tillgänglig på https://www.cisco.com/go/hybrid-data-security. I en ny distribution konfigurerar du proxykonfigurationen på varje nod när du har laddat upp och monterat HDS-konfigurationen ISO på noden och innan du registrerar noden med Cisco Webex Cloud.

Proxy-Support

Hybrid-datasäkerhet stöder uttryckliga, genomskinliga inspektioner och icke-inspekterande proxy. Du kan knyta dessa proxyservrar till din distribution så att du kan säkra och övervaka trafik från företaget till molnet. Du kan använda ett plattforms administratörs gränssnitt på noderna för certifikathantering och kontrol lera anslutnings status när du har ställt in proxyn på noderna.

Datanoderna för Hybrid har stöd för följande proxyinställningar:

  • Ingen proxy – Standard om du inte använder HDS-nodkonfigurationen Trust Store och proxykonfiguration för att integrera en proxy. Ingen certifikat uppdatering krävs.

  • Transparent proxy utan inspektion – Noderna är inte konfigurerade för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.

  • Transparent tunneling eller inspektion av proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga HTTP-eller HTTPS-konfigurationsinställningar behöver ändras på noderna. Noderna behöver dock en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).

  • Explicit proxy – Med explicit proxy talar du om för HDS-noderna vilken proxyserver och autentiseringsschema som ska användas. För att konfigurera en uttrycklig proxy måste du ange följande information för varje nod:

    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

    2. Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.

    3. Proxyprotokoll – Välj mellan följande protokoll beroende på vad din proxyserver har stöd för:

      • HTTP – Visa och kontrol lera alla förfrågningar som klienten skickar.

      • HTTPS – tillhandahåller en kanal till servern. Klienten får och validerar serverns certifikat.

    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

      • Ingen – Ingen ytterligare autentisering krävs.

        Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.

      • Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.

        Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.

        Kräver att du anger användarnamn och lösen ordet för varje nod.

      • Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.

        Endast tillgängligt om du har valt HTTPS som proxy-protokoll.

        Kräver att du anger användarnamn och lösen ordet för varje nod.

Exempel på data säkerhets noder och proxy för Hybrid

Det här diagrammet visar en exempel anslutning mellan hybrid data säkerhet, nätverk och en proxy. För transparent inspektion och HTTPS-kontroll av proxyinställningarna måste samma rotcertifikat installeras på proxyn och på Hybrid data säkerhets noder.

Blockerat externt DNS-matchningsfel (uttryckliga proxy-konfigurationer)

När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. I distributioner med explicita proxy-konfigurationer som inte tillåter extern DNS-matchning för interna klienter, och noden inte kan fråga DNS-servrarna, skickas den automatiskt till blockerad extern DNS-resolution. I det här läget kan registrerings-och andra proxy-anslutnings test fortsätta.

Proxy Server krav

  • Vi har officiellt stöd för följande proxyservrar som kan integreras med dina säkerhetsnoder för Hybrid.

    • Transparent proxy – Cisco webb säkerhetsutrustning (WSA).

    • Explicit proxy – squid.

      Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:). Se Konfigurera Squid-proxyservrar för Hybrid-datasäkerhet för att kringgå problemet.

  • Vi har stöd för följande typer av autentiseringsmetoder för uttryckliga proxyservrar:

    • Ingen autentisering med HTTP eller HTTPS

    • Grundläggande autentisering med HTTP eller HTTPS

    • Digest-autentisering med endast HTTPS

  • För en öppen proxy eller en HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Installations anvisningarna i den här hand ledningen beskriver hur du överför kopian till hybrid Data Security-nodernas betrodda platser.

  • Nätverket som är värd för HDS-noderna måste vara konfigurerade för att tvinga utgående TCP-trafik på port 443 för att dirigera genom proxyn.

  • Proxyservrar som undersöker webb trafik kan störa webb anslutningarna. Om det här problemet uppstår kan det lösa problemet genom att kringgå (inte kontrol lera) trafik till wbx2.com och ciscospark.com .

Konfigurera HDS-noden för proxy-integrering

Om nätverks miljön kräver en proxy, Använd denna procedur för att ange vilken typ av proxy du vill integrera med hybrid-datasäkerhet. Om du väljer en genomskinlig eller HTTPS-proxy kan du använda nodens gränssnitt för att överföra och installera rotcertifikat. Du kan också kontrol lera proxykonfigurationen från gränssnittet och felsöka eventuella problem.

Innan du börjar

1

Skriv in URL: en för HDS-nodens konfiguration , https://[HDS nod IP eller FQDN]/Setup i en webbläsare, ange administratörs uppgifterna som du har angett för noden och klicka sedan på Logga in.

2

Klicka på betrodd Arkiv & proxyoch välj sedan ett alternativ:

  • Ingen proxy – standardalternativet innan du integrerar en proxy. Ingen certifikat uppdatering krävs.
  • Transparent proxy utan inspektion – noder är inte konfigurerade att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en proxy utan inspektion. Ingen certifikat uppdatering krävs.
  • Transparent inspekterande proxy – noderna är inte konfigurerade för att använda en specifik proxyserveradress. Inga ändringar av HTTPS-konfigurationen behövs för hybridens säkerhets distribution, men HDS-noderna behöver en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).
  • Explicit proxy – Med explicit proxy talar du om för klienten (HDS-noder) vilken proxyserver som ska användas, och det här alternativet har stöd för flera autentiseringstyper. När du har valt det här alternativet måste du ange följande information:

    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

    2. Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.

    3. Proxy Protocol – Välj http (visar och styr alla förfrågningar som tas emot från klienten) eller https (ger en kanal till servern och klienten tar emot och validerar serverns certifikat). Välj ett alternativ baserat på vad din proxyserver har stöd för.

    4. Autentiseringstyp – Välj bland följande autentiseringstyper:

      • Ingen – Ingen ytterligare autentisering krävs.

        Tillgängligt för HTTP-och HTTPS-proxyservrar.

      • Grundläggande – används för en HTTP-användaragent för att ange ett användarnamn och lösenord när du gör en begäran. Använder base64-kodning.

        Tillgängligt för HTTP-och HTTPS-proxyservrar.

        Om du väljer det här alternativet måste du också ange användarnamn och lösen ordet.

      • Sammanfattning – används för att bekräfta kontot innan du skickar känslig information. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.

        Endast tillgängligt för HTTPS-proxyservrar.

        Om du väljer det här alternativet måste du också ange användarnamn och lösen ordet.

Följ nästa steg för en genomskinlig kontrollant, en HTTP-explicit proxy med grundläggande autentisering eller en HTTPS-proxy.

3

Klicka på överför ett rot certifikat eller ett Slutenhets certifikatoch navigera sedan till en Välj rotcertifikat för proxyn.

Certifikatet har laddats upp men har ännu inte installerats eftersom du måste starta om noden för att installera certifikatet. Klicka på den nedpilen av certifikat utfärdarens namn för att få mer information eller klicka på ta bort om du gjorde ett misstag och vill överföra filen igen.

4

Klicka på kontrol lera proxy-anslutning för att testa nätverks anslutningen mellan noden och proxyn.

Om anslutnings testet Miss lyckas visas ett fel meddelande som visar anledningen och hur du kan åtgärda problemet.

Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern. Detta tillstånd är förväntat i flera uttryckliga proxyinställningar. Du kan fortsätta med konfigurationen, och noden kommer att fungera i blockerad extern DNS-Matchningstid. Om du tror att detta är ett fel ska du slutföra dessa steg och se Stäng av blockerat externt DNS-upplösningsläge.

5

När anslutnings testet har passerat, för uttrycklig proxy inställd på endast https, slå på/av av alla port 443/444 https-förfrågningar från denna nod via den uttryckliga proxyn. Den här inställningen kräver att 15 sekunder börjar gälla.

6

Klicka på Installera alla certifikat i Trust Store (visas för en https-proxy eller en transparent kontrollant) eller starta om (visas för en http-explicit proxy), Läs meddelandet och klicka sedan på installera om du är redo.

Noden startas om inom några minuter.

7

När noden har startat om, logga in igen om det behövs och öppna sedan översikts sidan för att kontrol lera anslutnings kontrollerna för att säkerställa att de är i grönt tillstånd.

Proxy-anslutnings kontrollen testar endast en under domän av webex.com. Om det uppstår anslutnings problem innebär ett vanligt problem att vissa av moln domänerna som listas i installations anvisningarna blockeras på proxyn.

Inaktivera blockerad extern DNS-Matchningstid

När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. Om nodens DNS-server inte kan matcha allmänna DNS-namn, återgår noden automatiskt till blockerad extern DNS-resolution.

Om dina noder kan matcha allmänna DNS-namn via interna DNS-servrar, går det att stänga av detta läge genom att köra testet av anslutnings programmet på alla noder.

Innan du börjar

Se till att dina interna DNS-servrar kan matcha allmänna DNS-namn och att noderna kan kommunicera med dem.
1

Öppna datasäkerhetsnodens gränssnitt för hybrid i en webbläsare (IP-adress/inställning, t.ex. https://192.0.2.0/setup), ange administratörsuppgifterna som du har ställt in för noden och klicka sedan på Logga in.

2

Går du till Översikt (standard sidan).

När den är aktive rad är blockerad extern DNS-matchning inställd på Ja.

3

Går du till sidan betrodda certifikat \ proxy .

4

Klicka på kontrol lera proxy-anslutning.

Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern och kommer att förbli kvar i detta läge. När du har startat om noden och sedan går tillbaka till översikts sidan ska den blockerade externa DNS-matchningen ställas in på Nej.

Nästa steg

Upprepa test av anslutnings proxy på alla noder i ditt data säkerhets kluster för Hybrid.

I det här avsnittet beskrivs proxy Support för Webex-videonätet. Det är avsett att komplettera installations guiden för Cisco WebEx-videonät, som finns på https://www.cisco.com/go/video-mesh. I en ny distribution konfigurerar du proxykonfigurationen för varje nod efter att du har distribuerat video näts program varan på en virtuell dator-miljö, och innan du registrerar noden med Cisco Webex Cloud.

Proxystöd för videonät

Videonät har stöd för explicit, transparent och icke-inspekterande proxyservrar. Du kan binda dessa proxyservrar till din distribution av videonät så att du kan skydda och övervaka trafik från företaget till molnet. Den här funktionen skickar https-baserad trafik för signalering och hantering till proxyn. För transparenta proxyservrar vidarebefordras nätverksförfrågningar från videonätsnoder till en specifik proxy via företagets nätverksdirigeringsregler. Du kan använda gränssnittet för videonät för certifikathantering och övergripande anslutningsstatus när du har implementerat proxyn med noderna.

Media inte färdas via proxyn. Du måste fortfarande öppna de nödvändiga portarna för medieströmmar för att nå molnet direkt. Se Portar och protokoll för hantering.

Följande proxy typer stöds av video nätet:

  • Explicit proxy (inspekterar eller inte inspekterar) – med en uttrycklig proxy är du informerad om klienten (nätnoder) som proxyserver att använda. Det här alternativet stöder en av följande autentiseringstyper:

    • Inga ytterligare autentisering krävs. (För HTTP-eller HTTPS explicit-proxy.)

    • Grundläggande – används för en HTTP-användaragent för att ange användar namn och lösen ord när de gör en förfrågan, och använder base64-kodning. (För HTTP-eller HTTPS explicit-proxy.)

    • Digest – används för att bekräfta kontots identitet innan den skickar känslig information, och tillämpar en hash-funktion på användar namnet och lösen ordet innan de skickas över nätverket. (För HTTPS explicit-proxy.)

    • NTLM, som Digest, används för att bekräfta kontots identitet innan känslig information skickas. Använder Windows-autentiseringsuppgifter istället för användar namn och lösen ord. Detta autentiseringsschema kräver att flera byten är klara. (För HTTP explicit-proxy.)

  • Transparent proxy (utan inspektion) — nätnoder är inte konfigurerade för att använda en specifik proxyserver adress och behöver inte göra några ändringar för att arbeta med en icke-inspekterande proxy.

  • Transparent proxy (inspektion) — nätnoder är inte konfigurerade för att använda en specifik proxyserver adress. Inga http (s)-ändringar behövs på video nätet, men nätnoderna behöver ett rotcertifikat så att de litar på proxyn. Inspektion av proxyservrar används vanligt vis av den för att upprätthålla policyer som kan användas och innehålls typer som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn https).

Exempel på videonätsnoder och proxy
Krav för proxystöd för videonät

  • Vi har officiellt stöd för följande proxylösningar som kan integreras med dina videonätsnoder.

    • Cisco webb säkerhetsutrustning (WSA) för transparent proxy

    • Squid för uttrycklig proxy

  • För en explicit proxy eller transparent inspekterande proxy som inspekterar (dekrypterar trafik) måste du ha en kopia av proxyns rotcertifikat som du måste överföra till förtroendearkivet för videonätsnod i webbgränssnittet.

  • Vi har stöd för följande uttryckliga kombinationer av proxy-och autentiseringstyp:

    • Ingen autentisering med http och https

    • Grundläggande autentisering med http och https

    • Digest-autentisering med endast https

    • NTLM-autentisering med endast http

  • För transparent proxy måste du använda routern/switchen för att tvinga trafik via HTTPS/443 till proxyn. Du kan även tvinga webbsocket att gå till proxy. (Webb-socket använder https.)

    Videonät kräver websocket-anslutningar till molntjänster, så att noderna fungerar korrekt. Vid explicit inspektion och transparent inspektion av proxyservrar krävs http-rubriker för en korrekt websocket-anslutning. Om de ändras kommer websocket-anslutningen att misslyckas.

    När websocket-anslutningen misslyckas på port 443 (med transparent inspektionsproxy aktiverad) leder det till en varning efter registrering i Control Hub: ”Webex-videonät SIP-samtal fungerar inte korrekt.” Samma larm kan inträffa av andra orsaker till att proxy inte är aktive rad. När WebSocket-huvuden blockeras på port 443, flödar media inte mellan appar och SIP-klienter.

    Om media inte flödar uppstår detta ofta när https-trafik från noden över port 443 misslyckas:

    • Port 443-trafik tillåts av proxyn, men det är en inspekterande proxy och bryter websocket.

    För att korrigera dessa problem kan du behöva ”kringgå” eller ”splice” (inaktivera inspektion) på port 443 till: *.wbx2.com och *.ciscospark.com.

Konfigurera videonätsnod för proxyintegrering

Använd denna procedur för att ange vilken typ av proxy du vill integrera med ett videonät. Om du väljer en transparent inspektion av proxy eller en uttrycklig proxy kan du använda nodens gränssnitt för att överföra och installera rotcertifikat, kontrol lera proxykonfigurationen och felsöka eventuella problem.

Innan du börjar

1

Ange URL för videonätskonfigurationen https://[IP eller FQDN/setup i en webbläsare, ange administratörsuppgifterna som du har ställt in för noden och klicka sedan på Logga in.

2

Klicka på betrodd Arkiv & proxyoch välj sedan ett alternativ:

  • Ingen proxy – standardalternativet innan du integrerar en proxy. Ingen certifikat uppdatering krävs.
  • Transparent icke-inspekterande proxy – videonätsnoder är inte konfigurerade för att använda en specifik proxyserveradress och bör inte kräva några ändringar för att fungera med en icke-inspekterande proxy. Ingen certifikat uppdatering krävs.
  • Transparent inspekterande proxy – videonätsnoder är inte konfigurerade för att använda en specifik proxyserveradress. Inga http-konfigurationsinställningar är nödvändiga för video nätet. Däremot behöver nätnoderna ett rotcertifikat så att de litar på proxyn. Inspektion av proxyservrar används vanligt vis av den för att upprätthålla policyer som kan användas och innehålls typer som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn https).
  • Explicit proxy – Med explicit proxy talar du om för klienten (videonätsnoder) vilken proxyserver som ska användas, och det här alternativet har stöd för flera autentiseringstyper. När du har valt det här alternativet måste du ange följande information:

    1. Proxy-IP/FQDN – Adress som kan användas för att nå proxydatorn.

    2. Proxyport – ett portnummer som proxyn använder för att lyssna efter närliggande trafik.

    3. Proxyprotokoll – Välj http (videonät tunnlar sin https-trafik via http-proxyn) eller https (trafik från videonätsnoden till proxyn använder https-protokollet). Välj ett alternativ baserat på vad din proxyserver har stöd för.

    4. Välj bland följande autentiseringstyper, beroende på din proxy-miljö:

      Alternativ

      Användning

      Inget

      Välj för HTTP-eller HTTPS-proxyservrar som saknar verifieringsmetod.

      Grundläggande

      Tillgängligt för HTTP-och HTTPS-explicit-proxyservrar.

      Används för en HTTP-användaragent för att ange användar namn och lösen ord när de gör en förfrågan, och använder base64-kodning.

      Digest

      Endast tillgängligt för HTTPS explicit-proxyservrar.

      Använder för att bekräfta kontot innan de skickar känslig information, och tillämpar en hash-funktion på användarnamn och lösen ordet innan de skickar över nätverket.

      Ntlm

      Endast tillgängligt för HTTP explicit-proxyservrar.

      Som Digest, används för att bekräfta kontot innan känslig information skickas. Använder Windows-autentiseringsuppgifter istället för användar namn och lösen ord.

      Om du väljer det här alternativet anger du Active Directory domänen som proxyn använder för autentisering i NTLM-domännamnet . Ange namnet på proxy-arbets stationen (även kallad ett Workstation-konto eller dator konto) inom den angivna NTLM-domänen i fältet för NTLM-arbetsstation .

Följ stegen nedan för en genomskinlig inspektion eller en uttrycklig proxy.

3

Klicka på överför ett rot certifikat eller ett Slutenhets certifikatoch leta sedan upp och välj rotcertifikat för den uttryckliga eller transparenta granskade proxyn.

Certifikatet har laddats upp men har ännu inte installerats eftersom noden behöver startas om för att installera certifikatet. Klicka på pilen efter certifikatets Issuer-namn för att få mer information eller klicka på ta bort om du gjorde ett misstag och vill överföra filen igen.

4

Klicka på kontrol lera proxy anslutning för att testa nätverks anslutningen mellan nätnoden och proxyn för genomskinlig inspektion eller explicita proxyservrar.

Om anslutnings testet Miss lyckas visas ett fel meddelande som visar anledningen och hur du kan åtgärda problemet.

5

När anslutningstestet har passerat aktiverar du knappen för explicit proxy för att dirigera alla port 443 https-förfrågningar från denna nod via den explicita proxyn. Den här inställningen kräver att 15 sekunder börjar gälla.

6

Klicka på Installera alla certifikat i Trust Store (visas när ett rotcertifikat lades till under proxykonfigurationen) eller starta om (visas om du inte har lagt till någon rotcertifikat) och klicka sedan på installera om du är redo.

Noden startas om inom några minuter.

7

När noden har startat om, logga in igen om det behövs och öppna sedan översikts sidan för att kontrol lera anslutnings kontrollerna för att säkerställa att de är i grönt tillstånd.

Proxy-anslutnings kontrollen testar endast en under domän av webex.com. Om det uppstår anslutnings problem innebär ett vanligt problem att vissa av moln domänerna som listas i installations anvisningarna blockeras på proxyn.

Proxy-problem

Vilken trafik går genom proxyn

För video nät använder media inte proxyn. Med den här funktionen skickas signalerning och hantering av https-baserade trafik till proxyn. Du måste fortfarande öppna de obligatoriska portarna för medie flöden för att nå molnet direkt.

TCP-port 444 är inte aktive rad på proxy

Denna port är ett krav för video nät, eftersom video nätet använder denna port för att få åtkomst till molnbaserade tjänster som det måste använda för att fungera korrekt. Ett proxy-undantag måste göras för denna port och alla som finns dokumenterade i installations guiden för video nätet och nätverks kraven för WebEx Teams tjänster.

Filtrering av signal trafik via IP-adress stöds inte eftersom de IP-adresser som används av våra lösningar är dynamiska och kan ändras när som helst.

Inget rot certifikat installerat

När dina noder pratar med en uttrycklig proxy måste du installera rotcertifikat och ange ett undantag för URL: en i din brand vägg.

Anslutnings kontrollen Miss lyckas

Om den här anslutnings kontrollen lyckades och proxy-installationen var genomförd, kan anslutnings kontrollerna på översikts sidan sluta fungera av följande anledningar:

  • Proxyn inspekterar trafik som inte går till webex.com.

  • Proxyn blockerar andra domäner än webex.com.

Verifierings informationen är felaktig

Se till att du lägger till korrekta verifierings uppgifter för proxyservrar som använder en autentiseringsmekanism.

Överbelastning på proxyn

Överbelastning på din proxy kan orsaka fördröjning och avtappning av trafik till molnet. Kontrol lera din proxyserver för att se om trafik begränsning krävs.

WebSocket kan inte ansluta via squid proxy

Squid-proxyservrar som inspekterar HTTPS-trafik kan störa etableringen av websocket-anslutningar (wss:) som krävs för datasäkerhet för hybrid. Dessa avsnitt ger dig vägledning om hur du konfigurerar olika versioner av squid för att ignorera WSS: trafik för att tjänsterna ska fungera korrekt.

Squid 4 och 5

Lägg till on_unsupported_protocol direktivet i squid.conf:

on_unsupported_protocol tunnel alla

Squid-3.5.27

Vi har testat hybrid data säkerhet med följande regler lades till i squid. conf. Dessa regler kan ändras när vi utvecklar funktioner och uppdatera Webex Cloud.

acl wssMercuryConnection ssl::server_name_regex kvicksilveranslutning ssl_bump splice wssMercuryConnection acl steg1 at_step SslBump1 acl steg2 at_step SslBump2 acl steg3 at_step SslBump3 ssl_bump peek steg1 alla ssl_bump stare steg2 alla ssl_bump bump steg3 alla