I det här avsnittet beskrivs proxy Support för Hybrid-datasäkerhet. Den är avsedd att komplettera distributions guiden för Cisco Webex hybrid-datasäkerhet somfinns tillgänglig på https://www.cisco.com/go/hybrid-data-security. I en ny distribution konfigurerar du proxykonfigurationen på varje nod när du har laddat upp och monterat HDS-konfigurationen ISO på noden och innan du registrerar noden med Cisco Webex Cloud.

Hybrid-datasäkerhet stöder uttryckliga, genomskinliga inspektioner och icke-inspekterande proxy. Du kan knyta dessa proxyservrar till din distribution så att du kan säkra och övervaka trafik från företaget till molnet. Du kan använda ett plattforms administratörs gränssnitt på noderna för certifikathantering och kontrol lera anslutnings status när du har ställt in proxyn på noderna.

Datanoderna för Hybrid har stöd för följande proxyinställningar:

  • Ingen proxy– standard om du inte använder HDS-noden konfiguration av betrodd Arkiv & proxy för att integrera en proxy. Ingen certifikat uppdatering krävs.

  • Transparent icke-inspekterande proxy– noderna är inte konfigurerade för att använda en specifik proxyserver adress och kräver inga ändringar för att arbeta med en icke-inspekterande proxy. Ingen certifikat uppdatering krävs.

  • Transparent tunnlar eller inspekterar proxy– noderna är inte konfigurerade för att använda en specifik proxyserver adress. Inga HTTP-eller HTTPS-konfigurationsinställningar behöver ändras på noderna. Noderna behöver dock en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).

  • Explicit proxy– med en uttrycklig proxy talar du om vilka HDS-noder som proxyserver och verifierings schema att använda. För att konfigurera en uttrycklig proxy måste du ange följande information för varje nod:

    1. Proxy-IP/FQDN— adress som kan användas för att nå proxyservern.

    2. Proxy-port– ett port nummer som proxyn använder för att lyssna efter proxy-trafik.

    3. Proxy-protokoll– beroende på vad som stöds av din proxyserver, Välj mellan följande protokoll:

      • HTTP – Visa och kontrol lera alla förfrågningar som klienten skickar.

      • HTTPS – tillhandahåller en kanal till servern. Klienten får och validerar serverns certifikat.

    4. Autentiseringstyp– Välj bland följande autentiseringstyper:

      • Ingaytterligare autentisering krävs.

        Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.

      • Grundläggande– används för en HTTP-användaragent för att tillhandahålla ett användarnamn och ett lösen ord när de gör en begäran. Använder base64-kodning.

        Tillgängligt om du väljer HTTP eller HTTPS som proxy-protokoll.

        Kräver att du anger användarnamn och lösen ordet för varje nod.

      • Sammandrag– används för att bekräfta kontot innan känslig information skickas. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.

        Endast tillgängligt om du har valt HTTPS som proxy-protokoll.

        Kräver att du anger användarnamn och lösen ordet för varje nod.

Exempel på data säkerhets noder och proxy för Hybrid

Det här diagrammet visar en exempel anslutning mellan hybrid data säkerhet, nätverk och en proxy. För transparent inspektion och HTTPS-kontroll av proxyinställningarna måste samma rotcertifikat installeras på proxyn och på Hybrid data säkerhets noder.

Blockerat externt DNS-matchningsfel (uttryckliga proxy-konfigurationer)

När du registrerar en nod eller markerar nodens proxykonfiguration, testas DNS-sökning och anslutning till Cisco Webex Cloud. I distributioner med explicita proxy-konfigurationer som inte tillåter extern DNS-matchning för interna klienter, och noden inte kan fråga DNS-servrarna, skickas den automatiskt till blockerad extern DNS-resolution. I det här läget kan registrerings-och andra proxy-anslutnings test fortsätta.

  • Vi har officiellt stöd för följande proxyservrar som kan integreras med dina säkerhetsnoder för Hybrid.

    • Transparent proxy – Cisco webb säkerhetsutrustning (WSA).

    • Explicit proxy – squid.


      Squid-proxyservrar som inspekterar HTTPS-trafik kan störa upprättandet av WebSocket (WSS:) Anslutningar. För att undvika det här problemet, se Konfigurera squid-proxyservrar för Hybrid-datasäkerhet.

  • Vi har stöd för följande typer av autentiseringsmetoder för uttryckliga proxyservrar:

    • Ingen autentisering med HTTP eller HTTPS

    • Grundläggande autentisering med HTTP eller HTTPS

    • Digest-autentisering med endast HTTPS

  • För en öppen proxy eller en HTTPS-proxy måste du ha en kopia av proxyns rotcertifikat. Installations anvisningarna i den här hand ledningen beskriver hur du överför kopian till hybrid Data Security-nodernas betrodda platser.

  • Nätverket som är värd för HDS-noderna måste vara konfigurerade för att tvinga utgående TCP-trafik på port 443 för att dirigera genom proxyn.

  • Proxyservrar som undersöker webb trafik kan störa webb anslutningarna. Om det här problemet uppstår kan det lösa problemet genom att kringgå (inte kontrol lera) trafik till wbx2.com och ciscospark.com .

Om nätverks miljön kräver en proxy, Använd denna procedur för att ange vilken typ av proxy du vill integrera med hybrid-datasäkerhet. Om du väljer en genomskinlig eller HTTPS-proxy kan du använda nodens gränssnitt för att överföra och installera rotcertifikat. Du kan också kontrol lera proxykonfigurationen från gränssnittet och felsöka eventuella problem.

Innan du börjar

1

Skriv in URL: en för HDS-nodens konfiguration , https://[HDS nod IP eller FQDN]/Setup i en webbläsare, ange administratörs uppgifterna som du har angett för noden och klicka sedan på Logga in.

2

Klicka på betrodd Arkiv & proxyoch välj sedan ett alternativ:

  • Ingen proxy– standard alternativet innan du integrerar en proxy. Ingen certifikat uppdatering krävs.
  • Transparent icke-inspekterande proxy– noderna är inte konfigurerade för att använda en specifik proxyserver adress och kräver inga ändringar för att arbeta med en icke-inspekterande proxy. Ingen certifikat uppdatering krävs.
  • Transparent inspekterande proxy– noderna är inte konfigurerade för att använda en specifik proxyserver adress. Inga ändringar av HTTPS-konfigurationen behövs för hybridens säkerhets distribution, men HDS-noderna behöver en rotcertifikat så att de litar på proxyn. Kontroll av proxyservrar används vanligt vis av den för att säkerställa att de olika webbplatserna kan nås och vilka typer av innehåll som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn HTTPS).
  • Explicit proxy– med explicit proxy talar du om för klienten (HDS-noder) som proxyserver att använda, och det här alternativet stöder flera autentiseringstyper. När du har valt det här alternativet måste du ange följande information:
    1. Proxy-IP/FQDN— adress som kan användas för att nå proxyservern.

    2. Proxy-port– ett port nummer som proxyn använder för att lyssna efter proxy-trafik.

    3. Proxy-protokoll – Välj http (Visa och kontrol lera alla förfrågningar som tas emot från klienten) eller https (ger en kanal till servern och klienten får och validerar serverns certifikat). Välj ett alternativ baserat på vad din proxyserver har stöd för.

    4. Autentiseringstyp– Välj bland följande autentiseringstyper:

      • Ingaytterligare autentisering krävs.

        Tillgängligt för HTTP-och HTTPS-proxyservrar.

      • Grundläggande– används för en HTTP-användaragent för att tillhandahålla ett användarnamn och ett lösen ord när de gör en begäran. Använder base64-kodning.

        Tillgängligt för HTTP-och HTTPS-proxyservrar.

        Om du väljer det här alternativet måste du också ange användarnamn och lösen ordet.

      • Sammandrag– används för att bekräfta kontot innan känslig information skickas. Använder en hash-funktion på användarnamn och lösen ordet innan sändningen skickas över nätverket.

        Endast tillgängligt för HTTPS-proxyservrar.

        Om du väljer det här alternativet måste du också ange användarnamn och lösen ordet.

Följ nästa steg för en genomskinlig kontrollant, en HTTP-explicit proxy med grundläggande autentisering eller en HTTPS-proxy.

3

Klicka på överför ett rot certifikat eller ett Slutenhets certifikatoch navigera sedan till en Välj rotcertifikat för proxyn.

Certifikatet har laddats upp men har ännu inte installerats eftersom du måste starta om noden för att installera certifikatet. Klicka på den nedpilen av certifikat utfärdarens namn för att få mer information eller klicka på ta bort om du gjorde ett misstag och vill överföra filen igen.

4

Klicka på kontrol lera proxy-anslutning för att testa nätverks anslutningen mellan noden och proxyn.

Om anslutnings testet Miss lyckas visas ett fel meddelande som visar anledningen och hur du kan åtgärda problemet.

Om du ser ett meddelande om att en extern DNS-matchning inte lyckades gick det inte att nå DNS-servern. Detta tillstånd är förväntat i flera uttryckliga proxyinställningar. Du kan fortsätta med konfigurationen, och noden kommer att fungera i blockerad extern DNS-Matchningstid. Om du tror att detta är ett fel, genomför du dessa steg och går till Inaktivera blockerad extern DNS-Matchningstid.

5

När anslutnings testet har passerat, för uttrycklig proxy inställd på endast https, slå på/av av alla port 443/444 https-förfrågningar från denna nod via den uttryckliga proxyn. Den här inställningen kräver att 15 sekunder börjar gälla.

6

Klicka på Installera alla certifikat i Trust Store (visas för en https-proxy eller en transparent kontrollant) eller starta om (visas för en http-explicit proxy), Läs meddelandet och klicka sedan på installera om du är redo.

Noden startas om inom några minuter.

7

När noden har startat om, logga in igen om det behövs och öppna sedan översikts sidan för att kontrol lera anslutnings kontrollerna för att säkerställa att de är i grönt tillstånd.

Proxy-anslutnings kontrollen testar endast en under domän av webex.com. Om det uppstår anslutnings problem innebär ett vanligt problem att vissa av moln domänerna som listas i installations anvisningarna blockeras på proxyn.

I det här avsnittet beskrivs proxy Support för Webex-videonätet. Det är avsett att komplettera installations guiden för Cisco Webex-videonät, som finns på https://www.cisco.com/go/video-mesh. I en ny distribution konfigurerar du proxykonfigurationen för varje nod efter att du har distribuerat video näts program varan på en virtuell dator-miljö, och innan du registrerar noden med Cisco Webex Cloud.

Cisco Webex-videonät stöder uttryckliga, genomskinliga inspektioner och icke-inspekterande proxyservrar. Du kan knyta dessa proxyservrar till din Webex video nätdistribuering så att du kan säkra och övervaka trafik från företaget till molnet. Med den här funktionen skickas signalerning och hantering av https-baserade trafik till proxyn. För transparent proxy skickas nätverks förfrågningar från video nätnoder till en specifik proxy genom nätverks Dirigerings regler för företag. Du kan använda Webex video näts administrations gränssnitt för certifikathantering och den övergripande anslutnings statusen när du har implementerat proxyn med noderna.


Media färdas inte genom proxyn. Du måste fortfarande öppna de obligatoriska portarna för medie flöden för att nå molnet direkt.

Följande proxy typer stöds av video nätet:

  • Explicit proxy (inspekterar eller inte inspekterar) – med en uttrycklig proxy är du informerad om klienten (nätnoder) som proxyserver att använda. Det här alternativet stöder en av följande autentiseringstyper:

    • Inga ytterligare autentisering krävs. (För HTTP-eller HTTPS explicit-proxy.)

    • Grundläggande – används för en HTTP-användaragent för att ange användar namn och lösen ord när de gör en förfrågan, och använder base64-kodning. (För HTTP-eller HTTPS explicit-proxy.)

    • Digest – används för att bekräfta kontots identitet innan den skickar känslig information, och tillämpar en hash-funktion på användar namnet och lösen ordet innan de skickas över nätverket. (För HTTPS explicit-proxy.)

    • NTLM, som Digest, används för att bekräfta kontots identitet innan känslig information skickas. Använder Windows-autentiseringsuppgifter istället för användar namn och lösen ord. Detta autentiseringsschema kräver att flera byten är klara. (För HTTP explicit-proxy.)

  • Transparent proxy (utan inspektion) — nätnoder är inte konfigurerade för att använda en specifik proxyserver adress och behöver inte göra några ändringar för att arbeta med en icke-inspekterande proxy.

  • Transparent proxy (inspektion) — nätnoder är inte konfigurerade för att använda en specifik proxyserver adress. Inga http (s)-ändringar behövs på video nätet, men nätnoderna behöver ett rotcertifikat så att de litar på proxyn. Inspektion av proxyservrar används vanligt vis av den för att upprätthålla policyer som kan användas och innehålls typer som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn https).

Figur 1. Exempel på Webex videomask-noder och proxy.

Det här diagrammet visar en exempel anslutning mellan Webex-videonätet, nätverk och en proxy. För transparent inspektion och explicit inspektion av proxyinställningarna måste samma rotcertifikat installeras på proxyn och video näten.

  • Vi har officiellt stöd för följande proxyservrar som kan integreras med din Webex videomask-noder.

    • Cisco webb säkerhetsutrustning (WSA) för transparent proxy

    • Squid för uttrycklig proxy

  • För en uttrycklig proxy-eller transparent kontrollant som undersöker (dekrypterar trafik) måste du ha en kopia av proxyns rotcertifikat som du behöver överföra till Webex-nod för video mask i webb gränssnittet.

  • Vi har stöd för följande uttryckliga kombinationer av proxy-och autentiseringstyp:

    • Ingen autentisering med http och https

    • Grundläggande autentisering med http och https

    • Digest-autentisering med endast https

    • NTLM-autentisering med endast http

  • För transparent proxy måste du använda routern/switchen för att tvinga trafik via HTTPS/443 till proxyn. Du kan även tvinga webb-socket/444 att återgå till proxy. (Webb-socket använder https.) Port 444 beror på din nätverks konfiguration. Om port 444 inte dirigeras genom proxyn, måste den vara öppen direkt från noden till molnet.


    Webex-videonätet kräver WebSocket-anslutningar till moln tjänster så att noderna fungerar som det ska. På en uttrycklig inspektion och genomskinlig inspektion av proxyservrar ändras HTTP-huvuden som krävs för en korrekt WebSocket-anslutning och WebSocket-anslutningar Miss lyckas.

    Symptomet när detta inträffar på port 443 (med transparent inspektion av proxy aktive rad) är ett varnings meddelande om registrering i Control Hub: "Webex video nät SIP-samtal fungerar inte korrekt." Samma larm kan inträffa av andra orsaker till att proxy inte är aktive rad. När WebSocket-huvuden blockeras på port 443, flödar media inte mellan appar och SIP-klienter.

    Om media inte svarar händer detta ofta när HTTPS-trafik från noden över port 444 eller port 443 Miss lyckas:

    • Proxyn kontrollerar inte, men port 444-trafik tillåts inte av proxyn.

    • Port 443 eller port 444 trafik tillåts av proxyn, men den är en inspekterande proxy och bryter på WebSocket.

    För att åtgärda dessa problem kan du behöva "kringgå" eller "splice" (inaktivera inspektion) på portarna 444 och 443 för att: *. wbx2.com och *. ciscospark.com.

Använd den här proceduren för att ange vilken typ av proxy som du vill integrera med ett Webex-videonätet. Om du väljer en transparent inspektion av proxy eller en uttrycklig proxy kan du använda nodens gränssnitt för att överföra och installera rotcertifikat, kontrol lera proxykonfigurationen och felsöka eventuella problem.

Innan du börjar

1

Ange installations-URL: en för Webex videokonferenser https./[IP eller FQDN/konfiguration i en webbläsare, ange de administratörs uppgifter som du har angett för noden och klicka sedan på Logga in.

2

Klicka på betrodd Arkiv & proxyoch välj sedan ett alternativ:

  • Ingen proxy– standard alternativet innan du integrerar en proxy. Ingen certifikat uppdatering krävs.
  • Transparent icke-inspekterande proxy– videomask-noderna är inte konfigurerade för att använda en specifik proxyserver adress och behöver inte göra några ändringar för att arbeta med en icke-inspekterande proxy. Ingen certifikat uppdatering krävs.
  • Transparent inspekterande proxy– nätnoder är inte konfigurerade för att använda en specifik proxyserver adress. Inga http-konfigurationsinställningar är nödvändiga för video nätet. Däremot behöver nätnoderna ett rotcertifikat så att de litar på proxyn. Inspektion av proxyservrar används vanligt vis av den för att upprätthålla policyer som kan användas och innehålls typer som inte är tillåtna. Den här typen av proxy avkrypterar all din trafik (jämn https).
  • Explicit proxy– med en uttrycklig proxy talar du om för klienten (nätnoder) som proxyserver att använda, och det här alternativet stöder flera autentiseringstyper. När du har valt det här alternativet måste du ange följande information:
    1. Proxy-IP/FQDN— adress som kan användas för att nå proxyservern.

    2. Proxy-port– ett port nummer som proxyn använder för att lyssna efter proxy-trafik.

    3. Proxy-protokoll – Välj http (video nät tunnlar sin HTTPS-trafik genom HTTP-proxyn) eller https (trafik från videomask-noden till proxyn använder HTTPS-protokollet). Välj ett alternativ baserat på vad din proxyserver har stöd för.

    4. Välj bland följande autentiseringstyper, beroende på din proxy-miljö:

      Alternativ

      Användning

      Inget

      Välj för HTTP-eller HTTPS-proxyservrar som saknar verifieringsmetod.

      Grundläggande

      Tillgängligt för HTTP-och HTTPS-explicit-proxyservrar.

      Används för en HTTP-användaragent för att ange användar namn och lösen ord när de gör en förfrågan, och använder base64-kodning.

      Digest

      Endast tillgängligt för HTTPS explicit-proxyservrar.

      Använder för att bekräfta kontot innan de skickar känslig information, och tillämpar en hash-funktion på användarnamn och lösen ordet innan de skickar över nätverket.

      Ntlm

      Endast tillgängligt för HTTP explicit-proxyservrar.

      Som Digest, används för att bekräfta kontot innan känslig information skickas. Använder Windows-autentiseringsuppgifter istället för användar namn och lösen ord.

      Om du väljer det här alternativet anger du Active Directory domänen som proxyn använder för autentisering i NTLM-domännamnet . Ange namnet på proxy-arbets stationen (även kallad ett Workstation-konto eller dator konto) inom den angivna NTLM-domänen i fältet för NTLM-arbetsstation .

Följ stegen nedan för en genomskinlig inspektion eller en uttrycklig proxy.

3

Klicka på överför ett rot certifikat eller ett Slutenhets certifikatoch leta sedan upp och välj rotcertifikat för den uttryckliga eller transparenta granskade proxyn.

Certifikatet har laddats upp men har ännu inte installerats eftersom noden behöver startas om för att installera certifikatet. Klicka på pilen efter certifikatets Issuer-namn för att få mer information eller klicka på ta bort om du gjorde ett misstag och vill överföra filen igen.

4

Klicka på kontrol lera proxy anslutning för att testa nätverks anslutningen mellan nätnoden och proxyn för genomskinlig inspektion eller explicita proxyservrar.

Om anslutnings testet Miss lyckas visas ett fel meddelande som visar anledningen och hur du kan åtgärda problemet.

5

När anslutnings testet har passerat, för en uttrycklig proxy, slå på den för att dirigera alla port 443/444 https-förfrågningar från den här noden genom den uttryckliga proxyn. Den här inställningen kräver att 15 sekunder börjar gälla.

6

Klicka på Installera alla certifikat i Trust Store (visas när ett rotcertifikat lades till under proxykonfigurationen) eller starta om (visas om du inte har lagt till någon rotcertifikat) och klicka sedan på installera om du är redo.

Noden startas om inom några minuter.

7

När noden har startat om, logga in igen om det behövs och öppna sedan översikts sidan för att kontrol lera anslutnings kontrollerna för att säkerställa att de är i grönt tillstånd.

Proxy-anslutnings kontrollen testar endast en under domän av webex.com. Om det uppstår anslutnings problem innebär ett vanligt problem att vissa av moln domänerna som listas i installations anvisningarna blockeras på proxyn.

Vilken trafik går genom proxyn

För video nät använder media inte proxyn. Med den här funktionen skickas signalerning och hantering av https-baserade trafik till proxyn. Du måste fortfarande öppna de obligatoriska portarna för medie flöden för att nå molnet direkt.

TCP-port 444 är inte aktive rad på proxy

Denna port är ett krav för video nät, eftersom video nätet använder denna port för att få åtkomst till molnbaserade tjänster som det måste använda för att fungera korrekt. Ett proxy-undantag måste göras för denna port och alla som finns dokumenterade i installations guiden för video nätet och nätverks kraven för Webex Teams tjänster.


Filtrering av signal trafik via IP-adress stöds inte eftersom de IP-adresser som används av våra lösningar är dynamiska och kan ändras när som helst.

Inget rot certifikat installerat

När dina noder pratar med en uttrycklig proxy måste du installera rotcertifikat och ange ett undantag för URL: en i din brand vägg.

Anslutnings kontrollen Miss lyckas

Om den här anslutnings kontrollen lyckades och proxy-installationen var genomförd, kan anslutnings kontrollerna på översikts sidan sluta fungera av följande anledningar:

  • Proxyn inspekterar trafik som inte går till webex.com.

  • Proxyn blockerar andra domäner än webex.com.

Verifierings informationen är felaktig

Se till att du lägger till korrekta verifierings uppgifter för proxyservrar som använder en autentiseringsmekanism.

Överbelastning på proxyn

Överbelastning på din proxy kan orsaka fördröjning och avtappning av trafik till molnet. Kontrol lera din proxyserver för att se om trafik begränsning krävs.

Squid-proxyservrar som inspekterar HTTPS-trafik kan störa upprättandet av WebSocket (WSS:) anslutningar som hybrid-datasäkerhet kräver. Dessa avsnitt ger dig vägledning om hur du konfigurerar olika versioner av squid för att ignorera WSS: trafik för att tjänsterna ska fungera korrekt.

Squid 4 och 5

Lägg till on_unsupported_protocol-squid. conf:

on_unsupported_protocol tunnla alla

Squid-3.5.27

Vi har testat hybrid data säkerhet med följande regler lades till i squid. conf. Dessa regler kan ändras när vi utvecklar funktioner och uppdatera Webex Cloud.

ACL wssMercuryConnection SSL:: server_name_regex kvicksilver-anslutning ssl_bump splice wssMercuryConnection ACL steg 1 at_step SslBump1 ACL steg 2 at_step SslBump2 ACL steg 3 at_step SslBump3 ssl_bump Peek steg 1 alla ssl_bump stjärna steg 2 alla ssl_bump bump steg 3 alla