本節介紹混合資料安全的 Proxy 支援功能。 它旨在對《Cisco Webex 混合資料安全的部署指南》(位於 https://www.cisco.com/go/hybrid-data-security)進行補充。 在新部署中,可在節點上上傳並裝載 HDS 設定 ISO 之後,且在向 Cisco Webex 雲端註冊節點之前,在每個節點上進行 Proxy 設定。

混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。 您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。 在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。

混合資料安全節點支援以下 Proxy 選項:

  • 無 Proxy — 在不使用 HDS 節點設定「信任儲存庫和 Proxy」設定來整合 Proxy 的情況下的預設值。 無需更新憑證。

  • 透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,並且不應要求進行任何變更以使用非檢查 Proxy。 無需更新憑證。

  • 透通通道或檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。 不需要在節點上變更 HTTP 或 HTTPS 設定。 但是,節點需要根憑證以便信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。 這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。

  • 明確 Proxy — 可使用明確 Proxy 告知 HDS 節點使用哪個 Proxy 伺服器和驗證配置。 若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:

    1. Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。

    2. Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。

    3. Proxy 通訊協定 — 根據 Proxy 伺服器支援的內容,從以下通訊協定中選擇:

      • HTTP — 檢視並控制用戶端傳送的所有請求。

      • HTTPS — 提供通往伺服器的通道。 用戶端接收並驗證伺服器的憑證。

    4. 驗證類型 — 從以下驗證類型中選擇:

      • — 無需進一步驗證。

        如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。

      • 基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。 使用 Base64 編碼。

        如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。

        要求您在每個節點上輸入使用者名稱和密碼。

      • 摘要式 — 用於在傳送機密資訊之前確認帳戶。 在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。

        僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。

        要求您在每個節點上輸入使用者名稱和密碼。

混合資料安全節點和 Proxy 的範例

此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。 對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。

已封鎖外部 DNS 解析模式(明確 Proxy 設定)

當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。 在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。 在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。

  • 我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。

    • 透通 Proxy — Cisco 網路安全設備 (WSA)。

    • 明確 Proxy — Squid。


      檢查 HTTPS 流量的 Squid Proxy 可能會干擾建立 websocket (wss:) 連線。 若要解決此問題,請參閱 設定 Squid Proxy 以實現混合資料安全

  • 我們支援明確 Proxy 的以下驗證類型組合:

    • 不使用 HTTP 或 HTTPS 進行驗證

    • 使用 HTTP 或 HTTPS 進行基本驗證

    • 僅使用 HTTPS 進行摘要式驗證

  • 對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。 本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。

  • 必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。

  • 檢查網路流量的 Proxy 可能會干擾網路通訊端連線。 如果發生此問題,則繞過(而不是檢查)流向 wbx2.comciscospark.com 的流量可以解決問題。

如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。 如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。 您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。

開始之前

1

在 Web 瀏覽器中輸入 HDS 節點設定 URL https://[HDS 節點 IP 或 FQDN]/setup,輸入您為該節點設定的管理員認證,然後按一下登入

2

轉至信任儲存庫和 Proxy,然後選擇一個選項:

  • 無 Proxy — 整合 Proxy 之前的預設選項。 無需更新憑證。
  • 透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,並且不應要求進行任何變更以使用非檢查 Proxy。 無需更新憑證。
  • 透通的檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。 在混合資料安全部署中不需要變更 HTTPS 設定,但是,HDS 節點需要根憑證以使其信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。 這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
  • 明確 Proxy — 可使用明確 Proxy 告知用戶端(HDS 節點)使用哪個 Proxy 伺服器,並且此選項支援多種驗證類型。 選擇此選項後,您必須輸入以下資訊:
    1. Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。

    2. Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。

    3. Proxy 通訊協定 — 選擇 http(檢視和控制從用戶端收到的所有請求)或 https(提供通往伺服器的通道,且用戶端接收並驗證伺服器的憑證)。 根據 Proxy 伺服器支援的內容來選擇一個選項。

    4. 驗證類型 — 從以下驗證類型中選擇:

      • — 無需進一步驗證。

        適用於 HTTP 或 HTTPS Proxy。

      • 基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。 使用 Base64 編碼。

        適用於 HTTP 或 HTTPS Proxy。

        如果選擇此選項,則您還必須輸入使用者名稱和密碼。

      • 摘要式 — 用於在傳送機密資訊之前確認帳戶。 在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。

        僅適用於 HTTPS Proxy。

        如果選擇此選項,則您還必須輸入使用者名稱和密碼。

針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。

3

按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。

憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。 按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除

4

按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。

如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。

如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。 預期在許多明確的 Proxy 設定中會出現這種情況。 您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。 如果您認為這是一個錯誤,請完成這些步驟,然後參閱 關閉封鎖的外部 DNS 解析模式

5

連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。 此設定需要 15 秒才能生效。

6

按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝

節點會在幾分鐘內重新啟動。

7

節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。

Proxy 連線檢查只會測驗 webex.com 的子網域。 如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。

本節介紹 Webex 視訊網格的 Proxy 支援功能。 它旨在對《Cisco Webex 視訊網格的部署指南》(位於 https://www.cisco.com/go/video-mesh)進行補充。 在新部署中,可在虛擬機器環境中部署視訊網格軟體之後,且在向 Cisco Webex 雲端註冊節點之前,在每個節點上進行 Proxy 設定。

Cisco Webex 視訊網格支援明確透通檢查和非檢查 Proxy。 您可以將這些 Proxy 連結到 Webex 視訊網格部署,以便能夠保護和監控從企業流向雲端的流量。 此功能用於將基於訊號和管理 https 的流量傳送到 Proxy。 對於透通 Proxy,來自視訊網格節點的網路請求透過企業網路路由規則轉寄到特定 Proxy。 在使用節點實現 Proxy 後,您可以使用 Webex 視訊網格管理界面來管理憑證並查看整體連線狀態。


媒體不經過 Proxy。 您仍然必須開放媒體串流直接到達雲端所需的連接埠。

視訊網格支援以下 Proxy 類型:

  • 明確 Proxy(檢查或非檢查)— 可使用明確 Proxy 告知用戶端(視訊網格節點)使用哪個 Proxy 伺服器。 此選項支援以下驗證類型之一:

    • 無 — 無需進一步驗證。 (適用於 HTTP 或 HTTPS 明確 Proxy。)

    • 基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼,並使用 Base64 編碼。 (適用於 HTTP 或 HTTPS 明確 Proxy。)

    • 摘要式 — 用於在傳送機密資訊之前確認帳戶的身分,並在透過網路傳送之前對使用者名稱和密碼套用雜湊函數。 (適用於 HTTPS 明確 Proxy。)

    • NTLM — 與摘要式一樣,NTLM 用於在傳送機密資訊之前確認帳戶的身分。 使用 Windows 認證而非使用者名稱和密碼。 此驗證配置需要多次交換才能完成。 (適用於 HTTP 明確 Proxy。)

  • 透通 Proxy(非檢查)— 視訊網格節點未設定為使用特定 Proxy 伺服器位址,並且不應要求進行任何變更以使用非檢查 Proxy。

  • 透通 Proxy(檢查)— 視訊網格節點未設定為使用特定的 Proxy 伺服器位址。 在視訊網格上不必變更 http(s) 設定,但是,視訊網格節點需要根憑證以便信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以造訪哪些網站以及不允許使用哪些類型的內容的政策。 這種類型的 Proxy 會解密您的所有流量(甚至是 https)。

圖 1. Webex 視訊網格節點和 Proxy 範例.

此圖顯示了 Webex 視訊網格、網路和 Proxy 之間的連線範例。 對於透通檢查和明確檢查 Proxy 選項,必須在 Proxy 和視訊網格節點上安裝相同的根憑證。

  • 我們正式支援以下可與您的 Webex 視訊網格節點整合的 Proxy 解決方案。

    • 適用於透通 Proxy 的 Cisco 網路安全設備 (WSA)

    • 適用於明確 Proxy 的 Squid

  • 對於檢查(解密流量)的明確 Proxy 或透通檢查 Proxy,您必須擁有一份 Proxy 的根憑證,您需要將其上傳到 Web 介面上的 Webex 視訊網格節點信任儲存庫。

  • 我們支援以下明確 Proxy 和驗證類型的組合:

    • 不使用 http 和 https 進行驗證

    • 使用 http 和 https 進行基本驗證

    • 僅使用 https 進行摘要式驗證

    • 僅使用 http 進行 NTLM 驗證

  • 對於透通 Proxy,您必須使用路由器/交換器強制 HTTPS/443 流量流向 Proxy。 您還可以強制網路通訊端/444 進入 Proxy。 (網路通訊端使用 https。) 連接埠 444 取決於您的網路設定。 如果連接埠 444 未透過 Proxy 路由,則必須直接從節點開啟以進入雲端。


    Webex 視訊網格要求網路通訊端連線至雲端服務,以便節點正常運作。 在明確檢查和透通檢查 Proxy 上,會更改正確連線網路通訊端所需的 http 標頭,並且網路通訊端連線會失敗。

    當連接埠 443(啟用了透通檢查 Proxy)上出現這種情況時的症狀是 Control Hub 中顯示一則註冊後警告: 「Webex 視訊網格 SIP 通話功能無法正常運作。」 未啟用 Proxy 時,可能會因其他原因出現相同的警報。 當在連接埠 443 上封鎖網路通訊端標頭時,媒體不會在應用程式與 SIP 用戶端之間流動。

    如果媒體未流動,通常在透過埠444或埠443的節點的 HTTPs 流量失敗時,會發生此情況:

    • Proxy 未檢查,但 Proxy 不允許通過連接埠 444 流量。

    • Proxy 允許使用埠443或埠444流量,但它是檢查的 proxy,且違反 websocket。

    若要更正這些問題,您可能需要在連接埠 444 和 443 上「繞過」或「接合」(停用檢查)至: *.wbx2.com 和 *.ciscospark.com。

使用此過程指定要與 Webex 視訊網格整合的 Proxy 類型。 如果選擇透通檢查 Proxy 或明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證,請檢查 Proxy 連線並針對任何潛在問題進行疑難排解。

開始之前

1

在 Web 瀏覽器中輸入 Webex 視訊網格設定 URL https://[IP 或 FQDN/setup,輸入您為該節點設定的管理員認證,然後按一下登入

2

轉至信任儲存庫和 Proxy,然後選擇一個選項:

  • 無 Proxy — 整合 Proxy 之前的預設選項。 無需更新憑證。
  • 透通的非檢查 Proxy — 視訊網格節點未設定為使用特定 Proxy 伺服器位址,並且不應要求進行任何變更以使用非檢查 Proxy。 無需更新憑證。
  • 透通的檢查 Proxy — 視訊網格節點未設定為使用特定的 Proxy 伺服器位址。 在視訊網格上不必變更 http(s) 設定,但是,視訊網格節點需要根憑證以便信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以造訪哪些網站以及不允許使用哪些類型的內容的政策。 這種類型的 Proxy 會解密您的所有流量(甚至是 https)。
  • 明確 Proxy — 可使用明確 Proxy 告知用戶端(視訊網格節點)使用哪個 Proxy 伺服器,並且此選項支援多種驗證類型。 選擇此選項後,您必須輸入以下資訊:
    1. Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。

    2. Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。

    3. Proxy 通訊協定 — 選擇 http(視訊網格透過 http Proxy 傳輸其 https 流量)或 https(從視訊網格節點流向 Proxy 的流量使用 https 通訊協定)。 根據 Proxy 伺服器支援的內容來選擇一個選項。

    4. 根據您的 Proxy 環境從以下驗證類型中進行選擇:

      選項

      使用情況

      沒有

      選擇以用於不含驗證方法的 HTTP 或 HTTPS 明確 Proxy。

      基本

      適用於 HTTP 或 HTTPS 明確 Proxy。

      供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼,並使用 Base64 編碼。

      摘要式

      僅適用於 HTTPS 明確 Proxy。

      用於在傳送機密資訊之前確認帳戶,並在透過網路傳送之前對使用者名稱和密碼套用雜湊函數。

      NTLM

      僅適用於 HTTP 明確 Proxy。

      與摘要式一樣,用於在傳送機密資訊之前確認帳戶。 使用 Windows 認證而非使用者名稱和密碼。

      如果您選擇此選項,請在 NTLM 網域欄位中輸入 Proxy 用於驗證的 Active Directory 網域。 在 NTLM 工作站欄位中輸入指定 NTLM 網域內的 Proxy 工作站(也稱為工作站帳戶或機器帳戶)的主機名稱。

針對透通檢查或明確 Proxy,請遵循以下步驟進行操作。

3

按一下上傳根憑證或最終實體憑證,然後找到並選擇明確或透通檢查 Proxy 的根憑證。

憑證已上傳但尚未安裝,因為需要重新啟動節點才能安裝憑證。 按一下憑證簽發者姓名的箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除

4

對於透通檢查或明確 Proxy,按一下檢查 Proxy 連線以測驗視訊網格節點與 Proxy 之間的網路連線。

如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。

5

連線測驗通過後,針對明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。 此設定需要 15 秒才能生效。

6

按一下將所有憑證安裝到信任儲存庫(在設定 Proxy 期間新增了根憑證時會出現此項)或重新啟動(未新增根憑證時會出現此項),閱讀提示,然後在準備妥當後按一下安裝

節點會在幾分鐘內重新啟動。

7

節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。

Proxy 連線檢查只會測驗 webex.com 的子網域。 如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。

哪些流量流經 Proxy

對於視訊網格,媒體不會遍訪 Proxy。 此功能用於將基於訊號和管理 https 的流量傳送到 Proxy。您仍然必須開放所需的連接埠,以便媒體串流直接流向雲端。

在 Proxy 上未啟用 TCP 連接埠 444

此連接埠是視訊網格的要求,因為視訊網格使用此連接埠存取基於雲端的服務,它必須使用這些服務才能正常運作。 必須對此連接埠以及《視訊網格部署指南》和 Webex Teams Services 的網路要求中所記錄的任何連接埠設定 Proxy 例外情況。


不支援依 IP 位址篩選訊號流量,因為我們的解決方案使用動態 IP 位址,隨時可能會變更。

未安裝根憑證

當您的節點與明確 Proxy 通訊時,您必須安裝根憑證並在防火牆上輸入該 URL 的例外情況。

連線檢查失敗

如果 Proxy 連線檢查已通過且 Proxy 安裝已完成,則概觀頁面上的連線檢查可能仍會因以下原因而失敗:

  • Proxy 正在檢查未流向 webex.com 的流量。

  • Proxy 正在封鎖 webex.com 以外的網域名稱。

驗證詳細資訊不正確

對於使用驗證機制的 Proxy,請確保在節點中新增正確的驗證詳細資訊。

Proxy 上出現擁塞

Proxy 上出現擁塞可能會導致延遲並導致流向雲端的流量中斷。 請檢查您的 Proxy 環境以查看是否需要進行節流。

檢查 HTTPS 流量的 Squid Proxy 可能會干擾建立 websocket (wss:) 連線(該連線是混合資料安全所必需的)。 這些章節提供了有關如何設定各種版本 Squid 的指導,以使其忽略 wss: 流量,從而確保服務正確運作。

Squid 4 和 5

新增 on_unsupported_protocol 指示詞至 squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

我們透過新增以下規則至 squid.conf,成功地測試了混合資料安全。 這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all