混合資料安全性和視訊網格的 Proxy 支援
瞭解如何使用 Cisco Webex 混合資料安全和 Webex 視訊網格設定 Proxy,包括關於設定節點以使用透通檢查 Proxy 或明確 Proxy 的要求和步驟。您還可以找到基本的疑難排解資訊。
本節介紹混合資料安全的 Proxy 支援功能。它旨在對《Cisco Webex 混合資料安全的部署指南》(位於 https://www.cisco.com/go/hybrid-data-security)進行補充。在新部署中,可在節點上上傳並裝載 HDS 設定 ISO 之後,且在向 Cisco Webex 雲端註冊節點之前,在每個節點上進行 Proxy 設定。
混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。
混合資料安全節點支援以下 Proxy 選項:
-
無 Proxy — 如果您不使用 HDS 節點設定信任儲存和 Proxy 組態來整合 Proxy,則為預設值。無需更新憑證。
-
透通的非檢查 Proxy — 節點未設定為使用特定的代理伺服器位址,因此不需要任何變更即可與非檢查 Proxy 搭配使用。無需更新憑證。
-
透通的通道或檢查 Proxy — 節點未設定為使用特定的代理伺服器位址。不需要在節點上變更 HTTP 或 HTTPS 設定。但是,節點需要根憑證以便信任 Proxy。IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
-
明確的 Proxy - 透過明確的 Proxy,您可以告知 HDS 節點使用哪個代理伺服器和驗證方案。若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:
-
Proxy IP/FQDN — 可用於聯絡 Proxy 機器的地址。
-
Proxy 埠- Proxy 用來偵聽 Proxy 流量的連接埠號碼。
-
Proxy 通訊協定— 根據您的代理伺服器支援的內容,在下列協議之間選擇:
-
HTTP — 檢視並控制用戶端傳送的所有請求。
-
HTTPS — 提供通往伺服器的通道。用戶端接收並驗證伺服器的憑證。
-
-
驗證類型- 從以下驗證類型中選擇:
-
無— 不需要進一步的驗證。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
-
基本- 用於 HTTP 使用者代理以在提出請求時提供使用者名稱和密碼。使用 Base64 編碼。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
要求您在每個節點上輸入使用者名稱和密碼。
-
摘要- 用於在傳送敏感資訊之前確認帳戶。在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。
僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。
要求您在每個節點上輸入使用者名稱和密碼。
-
-
混合資料安全節點和 Proxy 的範例
此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。
已封鎖外部 DNS 解析模式(明確 Proxy 設定)
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。
-
我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。
-
透通 Proxy — Cisco 網路安全設備 (WSA)。
-
明確 Proxy — Squid。
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 Websocket (wss:) 連線的建立。若要解決此問題,請參閱設定 Squid Proxy 以實現混合資料安全性。
-
-
我們支援明確 Proxy 的以下驗證類型組合:
-
不使用 HTTP 或 HTTPS 進行驗證
-
使用 HTTP 或 HTTPS 進行基本驗證
-
僅使用 HTTPS 進行摘要式驗證
-
-
對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。
-
必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。
-
檢查網路流量的 Proxy 可能會干擾網路通訊端連線。如果發生此問題,則繞過(而不是檢查)流向
wbx2.com
和ciscospark.com
的流量可以解決問題。
如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。
開始之前
-
請參閱Proxy 支援 獲取支援的 Proxy 選項的概觀。
1 |
在 Web 瀏覽器中輸入 HDS 節點設定 URL |
2 |
轉至信任儲存庫和 Proxy,然後選擇一個選項:
針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。 |
3 |
按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。 憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除。 |
4 |
按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。 如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。預期在許多明確的 Proxy 設定中會出現這種情況。您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。如果您認為這是錯誤,請完成以下步驟,然後請參閱關閉「封鎖的外部DNS解析模式」 。 |
5 |
連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。此設定需要 15 秒才能生效。 |
6 |
按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝。 節點會在幾分鐘內重新啟動。 |
7 |
節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。 Proxy 連線檢查只會測驗 webex.com 的子網域。如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。 |
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。
如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。
開始之前
1 |
在 Web 瀏覽器中,開啟「混合資料安全性」節點介面(例如IP 位址/setup,https://192.0.2.0/setup), 輸入您為節點"安裝;設定"的管理員認證,然後按一下登入。 |
2 |
轉至概觀(預設頁面)。 啟用時,封鎖的外部 DNS 解析設定為是。 |
3 |
轉至信任儲存庫和 Proxy 頁面。 |
4 |
按一下檢查 Proxy 連線。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。 |
下一步
本節介紹 Webex 視訊網格的 Proxy 支援功能。它旨在對《Cisco Webex 視訊網格的部署指南》(位於 https://www.cisco.com/go/video-mesh)進行補充。在新部署中,可在虛擬機器環境中部署視訊網格軟體之後,且在向 Cisco Webex 雲端註冊節點之前,在每個節點上進行 Proxy 設定。
視訊網格支援明確、透明的檢查和非檢查 Proxy。您可以將這些 Proxy 與您的「視訊網格」部署綁定,以便您可以保護和監控從企業到雲端的流量。此功能用於將基於訊號和管理 https 的流量傳送到 Proxy。對於透通 Proxy,來自視訊網格節點的網路請求透過企業網路路由規則轉寄到特定 Proxy。在使用節點實現 Proxy 後,可以使用「視訊網格」管理介面進行憑證管理及整體連線狀態。
媒體不經過 Proxy。您仍然必須開放媒體串流直接到達雲端所需的連接埠。請參閱用於管理的埠和通訊協定。
視訊網格支援以下 Proxy 類型:
-
明確 Proxy(檢查或非檢查)— 可使用明確 Proxy 告知用戶端(視訊網格節點)使用哪個 Proxy 伺服器。此選項支援以下驗證類型之一:
-
無 — 無需進一步驗證。(適用於 HTTP 或 HTTPS 明確 Proxy。)
-
基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼,並使用 Base64 編碼。(適用於 HTTP 或 HTTPS 明確 Proxy。)
-
摘要式 — 用於在傳送機密資訊之前確認帳戶的身分,並在透過網路傳送之前對使用者名稱和密碼套用雜湊函數。(適用於 HTTPS 明確 Proxy。)
-
NTLM — 與摘要式一樣,NTLM 用於在傳送機密資訊之前確認帳戶的身分。使用 Windows 認證而非使用者名稱和密碼。此驗證配置需要多次交換才能完成。(適用於 HTTP 明確 Proxy。)
-
-
透通 Proxy(非檢查)— 視訊網格節點未設定為使用特定 Proxy 伺服器位址,並且不應要求進行任何變更以使用非檢查 Proxy。
-
透通 Proxy(檢查)— 視訊網格節點未設定為使用特定的 Proxy 伺服器位址。在視訊網格上不必變更 http(s) 設定,但是,視訊網格節點需要根憑證以便信任 Proxy。IT 部門通常使用檢查 Proxy 來強制執行關於可以造訪哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量(甚至是 https)。
-
我們正式支援下列可以與您的「視訊網格」節點整合的 Proxy 解決方案。
-
適用於透通 Proxy 的 Cisco 網路安全設備 (WSA)
-
適用於明確 Proxy 的 Squid
-
-
對於檢查(解密流量)的明確 Proxy 或透通檢查 Proxy,您必須具有 Proxy根憑證的副本,您需要將需要上傳到Web 介面上的「視訊網格」節點信任儲存區。
-
我們支援以下明確 Proxy 和驗證類型的組合:
-
不使用 http 和 https 進行驗證
-
使用 http 和 https 進行基本驗證
-
僅使用 https 進行摘要式驗證
-
僅使用 http 進行 NTLM 驗證
-
-
對於透通 Proxy,您必須使用路由器/交換器強制 HTTPS/443 流量流向 Proxy。您還可以強制網路 Socket 轉至 Proxy。(網路通訊端使用 https。)
視訊網格需要與雲端服務的 Web Socket 連線,以便節點正常運作。在明確檢查和透通檢查 Proxy 時,正確的 WebSocket 連線需要 http 標頭。如果它們被變更,websocket 連線將會失敗。
當連接埠 443 上發生 WebSocket連線失敗時(啟用了透通檢查 Proxy),會導致 Control Hub 中出現註冊後警告:「Webex視訊網格SIP呼叫無法正常運作」。未啟用 Proxy 時,可能會因其他原因出現相同的警報。當在連接埠 443 上封鎖網路通訊端標頭時,媒體不會在應用程式與 SIP 用戶端之間流動。
如果媒體沒有流動,通常會在透過連接埠 443 來自節點的 https 流量發生故障時發生:
-
Proxy 允許連接埠 443 流量,但它是檢查中的 Proxy,並且正在中斷 WebSocket。
若要更正這些問題,您可能必須在連接埠 443 上「繞過」或「拼接」(停用檢查):*.wbx2.com 和 *.ciscospark.com。
-
使用此流程來指定您想要與「視訊網格」整合的 Proxy 類型。如果選擇透通檢查 Proxy 或明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證,請檢查 Proxy 連線並針對任何潛在問題進行疑難排解。
開始之前
-
請參閱視訊網格的 Proxy 支援 獲取支援的 Proxy 選項的概觀。
1 |
輸入視訊網格設定URL | ||||||||||
2 |
轉至信任儲存庫和 Proxy,然後選擇一個選項:
針對透通檢查或明確 Proxy,請遵循以下步驟進行操作。 | ||||||||||
3 |
按一下上傳根憑證或最終實體憑證,然後找到並選擇明確或透通檢查 Proxy 的根憑證。 憑證已上傳但尚未安裝,因為需要重新啟動節點才能安裝憑證。按一下憑證簽發者姓名的箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除。 | ||||||||||
4 |
對於透通檢查或明確 Proxy,按一下檢查 Proxy 連線以測驗視訊網格節點與 Proxy 之間的網路連線。 如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。 | ||||||||||
5 |
連線測試通過後,對於明確的 Proxy,請將切換開啟至透過明確的 Proxy 路由所有連接埠 443 https 請求。此設定需要 15 秒才能生效。 | ||||||||||
6 |
按一下將所有憑證安裝到信任儲存庫(在設定 Proxy 期間新增了根憑證時會出現此項)或重新啟動(未新增根憑證時會出現此項),閱讀提示,然後在準備妥當後按一下安裝。 節點會在幾分鐘內重新啟動。 | ||||||||||
7 |
節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。 Proxy 連線檢查只會測驗 webex.com 的子網域。如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。 |
哪些流量流經 Proxy
對於視訊網格,媒體不會遍訪 Proxy。此功能用於將基於訊號和管理 https 的流量傳送到 Proxy。您仍然必須開放所需的連接埠,以便媒體串流直接流向雲端。
在 Proxy 上未啟用 TCP 連接埠 444
此連接埠是視訊網格的要求,因為視訊網格使用此連接埠存取基於雲端的服務,它必須使用這些服務才能正常運作。必須對此連接埠以及《視訊網格部署指南》和 Webex Teams Services 的網路要求中所記錄的任何連接埠設定 Proxy 例外情況。
不支援依 IP 位址篩選訊號流量,因為我們的解決方案使用動態 IP 位址,隨時可能會變更。
未安裝根憑證
當您的節點與明確 Proxy 通訊時,您必須安裝根憑證並在防火牆上輸入該 URL 的例外情況。
連線檢查失敗
如果 Proxy 連線檢查已通過且 Proxy 安裝已完成,則概觀頁面上的連線檢查可能仍會因以下原因而失敗:
-
Proxy 正在檢查未流向 webex.com 的流量。
-
Proxy 正在封鎖 webex.com 以外的網域名稱。
驗證詳細資訊不正確
對於使用驗證機制的 Proxy,請確保在節點中新增正確的驗證詳細資訊。
Proxy 上出現擁塞
Proxy 上出現擁塞可能會導致延遲並導致流向雲端的流量中斷。請檢查您的 Proxy 環境以查看是否需要進行節流。
Websocket 無法透過 Squid Proxy 連線
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 WebSocket 的建立 ( wss:
) 連線。這些章節提供了有關如何設定各種版本 Squid 的指導,以使其忽略 wss:
流量,從而確保服務正確運作。
Squid 4 和 5
新增on_unsupported_protocol
指示為squid 設定檔
:
on_unsupported_protocol 全部傳送
Squid 3.5.27
我們透過新增以下規則至 squid.conf
,成功地測試了混合資料安全。這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。
acl wssMercuryConnection ssl::server_name_regex 水銀連接ssl_bump 拼接 wssMercuryConnection acl 步驟 1at_step SSLBump1 acl 步驟 2at_step SSLBump2 acl 步驟 3at_step SSLBump3ssl_bump 全部查看步驟 1ssl_bump 全部注視第 2 步ssl_bump 全部顛倒第 3 步