感谢您的反馈。
混合数据安全和视频网格的代理支持
反馈?本节介绍混合数据安全的代理支持功能。本文旨在补充《Cisco Webex 混合数据安全部署指南》(位于 https://www.cisco.com/go/hybrid-data-security)。如果是新部署,您需要在于节点上上传和装载 HDS 配置 ISO 之后并且将节点注册到 Cisco Webex 云之前,在每个节点上配置代理设置。
混合数据安全支持显式代理、透明检查代理和不检查代理。您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。
混合数据安全节点支持以下代理选项:
-
无代理— 如果您未使用 HDS 节点设置信任库,则为默认值 & 配置代理以集成代理。无需证书更新。
-
透明非检查代理—节点未配置为使用特定的代理服务器地址,并且无需任何更改即可与非检查代理一起工作。无需证书更新。
-
透明隧道或检查代理— 节点未配置为使用特定的代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是,节点需要根证书,以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。
-
显式代理—通过显式代理,您可以告诉 HDS 节点要使用哪个代理服务器和身份验证方案。要配置显式代理,您必须在每个节点上输入以下信息:
-
代理人 IP/FQDN—可用于访问代理服务器的地址。
-
代理端口—代理用于监听代理流量的端口号。
-
代理协议—根据您的代理服务器支持的功能,从以下协议中选择:
-
HTTP - 查看和控制客户端发送的所有请求。
-
HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。
-
-
身份验证类型— 请从以下身份验证类型中选择:
-
无—无需进一步身份验证。
在选择 HTTP 或 HTTPS 作为代理协议时可用。
-
基本—用于 HTTP 用户代理在发出请求时提供用户名和密码。使用 Base64 编码。
在选择 HTTP 或 HTTPS 作为代理协议时可用。
要求您在每个节点上输入用户名和密码。
-
摘要—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。
仅当您选择 HTTPS 作为代理协议时可用。
要求您在每个节点上输入用户名和密码。
-
-
混合数据安全节点和代理的示例
此图显示了混合数据安全、网络和代理之间的连接示例。对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。
阻止外部 DNS 解析模式(显式代理配置)
当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。在此模式下,可以继续进行节点注册和其他代理连接测试。
-
我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。
-
透明代理 - Cisco Web 安全设备 (WSA)。
-
显式代理 - Squid。
检查 HTTPS 流量的 Squid 代理可能会干扰 WebSocket 连接的建立。 (wss:) 联系。要解决此问题,请参阅 配置 Squid 代理以实现混合数据安全。
-
-
我们支持显式代理的以下验证类型组合:
-
不进行 HTTP 或 HTTPS 验证
-
进行 HTTP 或 HTTPS 基本验证
-
仅进行 HTTPS 摘要验证
-
-
对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。
-
托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。
-
检查网络流量的代理可能会干扰 Web 套接字连接。如果出现此问题,绕过(不检查)到
wbx2.com和ciscospark.com的流量即可解决问题。
如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。
| 1 |
在网页浏览器中输入 HDS 节点设置 URL |
| 2 |
转至信任库和代理,然后选择一个选项:
按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。 |
| 3 |
单击上传根证书或最终实体证书,然后导航以选择代理的根证书。 证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除。 |
| 4 |
单击检查代理连接以测试节点和代理服务器之间的网络连接。 如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。 如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是一个错误,请完成以下步骤,然后查看 关闭阻止的外部 DNS 解析模式。 |
| 5 |
在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。 |
| 6 |
单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装。 节点在几分钟内重启。 |
| 7 |
节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。 代理连接检查仅测试 webex.com 的子域。如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。 |
当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。
如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。
准备工作
| 1 |
在网页浏览器中,打开混合数据安全节点界面(IP地址) address/setup, 例如, https://192.0.2.0/setup), 输入您为节点设置的管理员凭据,然后单击 登录。 |
| 2 |
转至概述(缺省页面)。  启用后,阻止外部 DNS 解析会设置为是。 |
| 3 |
转至信任库和代理页面。 |
| 4 |
单击检查代理连接。 如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。 |
下一步
本节介绍 Webex 视频网格的代理支持功能。本文旨在补充《Cisco Webex 视频网格部署指南》(位于 https://www.cisco.com/go/video-mesh)。如果是新部署,您需要在虚拟机环境中部署视频网格软件之后并且将节点注册到 Cisco Webex 云之前,在每个节点上配置代理设置。
视频网格支持显式、透明的检查代理和非检查代理。您可以将这些代理与您的视频网格部署关联起来,以便您可以保护和监控从企业到云端的流量。此功能会将基于 https 的信号流量和管理流量发送给代理。对于透明代理,视频网节点中的网络请求将通过企业网络路由规则转发到特定代理。在节点上实施代理后,您可以使用 Video Mesh 管理界面进行证书管理和整体连接状态管理。
媒体不会经过代理。您仍必须打开媒体流所需的端口才能直接连接云端。请参阅 管理端口和协议。
视频网格支持以下代理类型:
-
显式代理(检查或不检查)- 使用显式代理,您可以告诉客户端(视频网格节点)要使用哪个代理服务器。此选项支持以下验证类型之一:
-
无 - 无需进一步验证。(适用于 HTTP 或 HTTPS 显式代理。)
-
基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码,并使用 Base64 编码。(适用于 HTTP 或 HTTPS 显式代理。)
-
摘要 - 用于在发送敏感信息之前确认帐户的身份,并在通过网络发送之前对用户名和密码应用哈希函数。(适用于 HTTPS 显式代理。)
-
NTLM - 与“摘要”类似,NTLM 用于在发送敏感信息之前确认帐户的身份。使用 Windows 凭证而不是用户名和密码。此验证方案需要多次交换才能完成。(适用于 HTTP 显式代理。)
-
-
透明代理(不检查)- 视频网格节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。
-
透明代理(检查)- 视频网格节点没有配置为使用特定代理服务器地址。视频网格上无需进行任何 http(s) 配置更改,但是视频网格节点需要根证书以便它们信任代理。IT 部门通常使用检查代理来强制执行有关可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 https)。
-
我们正式支持以下可与您的视频网格节点集成的代理解决方案。
-
适用于透明代理的 Cisco Web 安全设备 (WSA)
-
适用于显式代理的 Squid
-
-
对于显式代理或透明检查代理(用于检查(解密流量)),您必须拥有代理的根证书副本,您需要将其上传到 Web 界面上的 Video Mesh 节点信任存储区。
-
我们支持以下显式代理和验证类型组合:
-
不进行 http 和 https 验证
-
进行 http 和 https 基本验证
-
仅进行 https 摘要验证
-
仅进行 http NTLM 验证
-
-
对于透明代理,您必须使用路由器/交换机强制 HTTPS/443 流量转发至代理。您还可以强制 WebSocket 使用代理服务器。(Web 套接字使用 https。)
视频网格需要通过 WebSocket 连接到云服务,以便节点能够正常工作。对于显式检查代理和透明检查代理,HTTP 标头是建立正确 WebSocket 连接所必需的。如果这些参数被更改,WebSocket 连接将会失败。
当端口 443 上的 websocket 连接失败时(启用透明检查代理),控制中心会发出注册后警告:“Webex Video Mesh SIP 呼叫无法正常工作”。未启用代理时,可能会因其他原因发生同样的警报。Web 套接字标头在端口 443 被阻止时,媒体不会在应用程序和 SIP 客户端之间流动。
如果媒体流无法传输,这通常是由于节点通过 443 端口发送的 https 流量失败造成的:
-
代理允许端口 443 流量通过,但它是一个检查代理,正在破坏 WebSocket 连接。
要解决这些问题,您可能需要对端口 443 进行“旁路”或“拼接”(禁用检测)操作: *.wbx2.com 和 *.ciscospark.com.
-
使用此过程指定要与视频网格集成的代理类型。如果选择了透明检查代理或显式代理,则可以使用节点的界面上传和安装根证书、检查代理连接以及对任何潜在问题进行故障排除。
准备工作
-
有关支持的代理选项的概述,请参阅 视频网格的代理支持 。
| 1 |
在网页浏览器中输入视频网格设置 URL | ||||||||||
| 2 |
转至信任库和代理,然后选择一个选项:
按照透明检查或显式代理的后续步骤进行操作。 | ||||||||||
| 3 |
单击上传根证书或最终实体证书,然后找到并选择显式或透明检查代理的根证书。 证书已上传但尚未安装,因为需要重启节点才能安装证书。单击证书颁发者名称旁边的箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除。 | ||||||||||
| 4 |
对于透明检查或显式代理,单击检查代理连接以测试视频网格节点和代理之间的网络连接。 如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。 | ||||||||||
| 5 |
连接测试通过后,对于显式代理,将开关打开为 将来自此节点的所有端口 443 https 请求通过显式代理路由。此设置需要 15 秒才能生效。 | ||||||||||
| 6 |
单击将所有证书安装到信任库中(在代理设置期间添加根证书时显示)或重启(在没有添加根证书时显示);阅读提示,然后在准备就绪后单击安装。 节点在几分钟内重启。 | ||||||||||
| 7 |
节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。 代理连接检查仅测试 webex.com 的子域。如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。 |
哪些流量会通过代理
对于视频网格,媒体不会经过代理。此功能会将基于 https 的信号流量和管理流量发送给代理。您仍必须打开媒体流所需的端口才能直接连接云端。
没有在代理上启用 TCP 端口 444
此端口对视频网格是必需的,因为视频网格要使用此端口访问基于云的服务,它必须使用这些服务才能正常运行。必须按照视频网格部署指南和 Webex Teams 服务的网络要求中所述,对此端口和 ANY 进行代理例外设置。
不支持按 IP 地址过滤信令流量,因为我们的解决方案使用的 IP 地址是动态的,随时可能更改。
没有安装根证书
当您的节点与显式代理对话时,必须安装根证书并在防火墙上输入该 URL 的例外。
连接检查失败
即使已通过代理连接检查且代理安装已完成,概述页面上的连接检查可能仍会由于下列原因而失败:
-
代理检查没有转发至 webex.com 的流量。
-
代理阻止 webex.com 以外的域。
验证详细信息不正确
对于使用验证机制的代理,请确保在节点中添加正确的验证详细信息。
代理拥塞
代理拥塞可能会造成与云之间的流量延迟和丢包。检查您的代理环境,以确定是否需要流量限制。
Websocket 无法通过 Squid 代理连接
检查 HTTPS 流量的 Squid 代理可能会干扰混合数据安全所需的 websocket (wss:) 连接的建立。这些章节提供了有关如何配置各种版本的 Squid 以忽略 wss: 流量,从而使服务正常运行的指导。
Squid 4 和 5
将 on_unsupported_protocol 指令添加到 squid.conf:
on_unsupported_protocol tunnel allSquid 3.5.27
我们已成功测试了混合数据安全,并在 squid.conf中添加了以下规则。随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
