感謝您的意見回饋。
混合資料安全和視訊網格的代理支持
意見回饋?本節介紹混合資料安全的 Proxy 支援功能。它旨在對《Cisco Webex 混合資料安全的部署指南》(位於 https://www.cisco.com/go/hybrid-data-security)進行補充。在新部署中,可在節點上上傳並裝載 HDS 設定 ISO 之後,且在向 Cisco Webex 雲端註冊節點之前,在每個節點上進行 Proxy 設定。
混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。
混合資料安全節點支援以下 Proxy 選項:
-
無代理— 若您未使用 HDS 節點設定信任庫,則為預設值 & 配置代理以整合代理。無需更新憑證。
-
透明非檢查代理—節點未配置為使用特定的代理伺服器位址,且無需任何變更即可與非檢查代理程式一起工作。無需更新憑證。
-
透明隧道或檢查代理— 節點未配置為使用特定的代理伺服器位址。不需要在節點上變更 HTTP 或 HTTPS 設定。但是,節點需要根憑證以便信任 Proxy。IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
-
明確代理—透過明確代理,您可以告訴 HDS 節點要使用哪個代理伺服器和驗證方案。若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:
-
代理人 IP/FQDN—可用於存取代理伺服器的位址。
-
代理埠—代理用於監聽代理流量的連接埠號碼。
-
代理協定—根據您的代理伺服器支援的功能,從以下協定中選擇:
-
HTTP — 檢視並控制用戶端傳送的所有請求。
-
HTTPS — 提供通往伺服器的通道。用戶端接收並驗證伺服器的憑證。
-
-
驗證類型— 請從下列驗證類型中選擇:
-
無—無需進一步身份驗證。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
-
基本—用於 HTTP 使用者代理在發出請求時提供使用者名稱和密碼。使用 Base64 編碼。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
要求您在每個節點上輸入使用者名稱和密碼。
-
摘要—用於在發送敏感資訊之前確認帳戶。在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。
僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。
要求您在每個節點上輸入使用者名稱和密碼。
-
-
混合資料安全節點和 Proxy 的範例
此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。
已封鎖外部 DNS 解析模式(明確 Proxy 設定)
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。
-
我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。
-
透通 Proxy — Cisco 網路安全設備 (WSA)。
-
明確 Proxy — Squid。
檢查 HTTPS 流量的 Squid 代理程式可能會幹擾 WebSocket 連線的建立。 (wss:) 聯繫。若要解決此問題,請參閱 配置 Squid 代理程式以實現混合資料安全。
-
-
我們支援明確 Proxy 的以下驗證類型組合:
-
不使用 HTTP 或 HTTPS 進行驗證
-
使用 HTTP 或 HTTPS 進行基本驗證
-
僅使用 HTTPS 進行摘要式驗證
-
-
對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。
-
必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。
-
檢查網路流量的 Proxy 可能會干擾網路通訊端連線。如果出現此問題,繞過(不檢查)到
wbx2.com和ciscospark.com的流量即可解決問題。
如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。
在開始之前
-
有關支援的代理選項的概述,請參閱 代理支援 。
| 1 |
在網頁瀏覽器中輸入 HDS 節點設定 URL |
| 2 |
轉至信任儲存庫和 Proxy,然後選擇一個選項:
針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。 |
| 3 |
按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。 憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除。 |
| 4 |
按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。 如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。預期在許多明確的 Proxy 設定中會出現這種情況。您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。如果您認為這是一個錯誤,請完成下列步驟,然後查看 關閉封鎖的外部 DNS 解析模式。 |
| 5 |
連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。此設定需要 15 秒才能生效。 |
| 6 |
按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝。 節點會在幾分鐘內重新啟動。 |
| 7 |
節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。 Proxy 連線檢查只會測驗 webex.com 的子網域。如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。 |
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。
如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。
在開始之前
| 1 |
在網頁瀏覽器中,開啟混合資料安全節點介面(IP位址) address/setup, 例如, https://192.0.2.0/setup), 輸入您為節點設定的管理員憑證,然後按一下 登入。 |
| 2 |
轉至概觀(預設頁面)。  啟用時,封鎖的外部 DNS 解析設定為是。 |
| 3 |
轉至信任儲存庫和 Proxy 頁面。 |
| 4 |
按一下檢查 Proxy 連線。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。 |
下一步
本節介紹 Webex 視訊網格的 Proxy 支援功能。它旨在對《Cisco Webex 視訊網格的部署指南》(位於 https://www.cisco.com/go/video-mesh)進行補充。在新部署中,可在虛擬機器環境中部署視訊網格軟體之後,且在向 Cisco Webex 雲端註冊節點之前,在每個節點上進行 Proxy 設定。
視訊網格支援顯式、透明的檢查代理和非檢查代理。您可以將這些代理程式與您的視訊網格部署關聯起來,以便您可以保護和監控從企業到雲端的流量。此功能用於將基於訊號和管理 https 的流量傳送到 Proxy。對於透通 Proxy,來自視訊網格節點的網路請求透過企業網路路由規則轉寄到特定 Proxy。在節點上實施代理程式後,您可以使用 Video Mesh 管理介面進行憑證管理和整體連線狀態管理。
媒體不經過 Proxy。您仍然必須開放媒體串流直接到達雲端所需的連接埠。請參閱 管理連接埠和協定。
視訊網格支援以下 Proxy 類型:
-
明確 Proxy(檢查或非檢查)— 可使用明確 Proxy 告知用戶端(視訊網格節點)使用哪個 Proxy 伺服器。此選項支援以下驗證類型之一:
-
無 — 無需進一步驗證。(適用於 HTTP 或 HTTPS 明確 Proxy。)
-
基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼,並使用 Base64 編碼。(適用於 HTTP 或 HTTPS 明確 Proxy。)
-
摘要式 — 用於在傳送機密資訊之前確認帳戶的身分,並在透過網路傳送之前對使用者名稱和密碼套用雜湊函數。(適用於 HTTPS 明確 Proxy。)
-
NTLM — 與摘要式一樣,NTLM 用於在傳送機密資訊之前確認帳戶的身分。使用 Windows 認證而非使用者名稱和密碼。此驗證配置需要多次交換才能完成。(適用於 HTTP 明確 Proxy。)
-
-
透通 Proxy(非檢查)— 視訊網格節點未設定為使用特定 Proxy 伺服器位址,並且不應要求進行任何變更以使用非檢查 Proxy。
-
透通 Proxy(檢查)— 視訊網格節點未設定為使用特定的 Proxy 伺服器位址。在視訊網格上不必變更 http(s) 設定,但是,視訊網格節點需要根憑證以便信任 Proxy。IT 部門通常使用檢查 Proxy 來強制執行關於可以造訪哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量(甚至是 https)。
-
我們正式支援以下可與您的視訊網格節點整合的代理解決方案。
-
適用於透通 Proxy 的 Cisco 網路安全設備 (WSA)
-
適用於明確 Proxy 的 Squid
-
-
對於明確代理程式或透明檢查代理程式(用於檢查(解密流量)),您必須擁有代理程式的根憑證副本,您需要將其上傳到 Web 介面上的 Video Mesh 節點信任儲存區。
-
我們支援以下明確 Proxy 和驗證類型的組合:
-
不使用 http 和 https 進行驗證
-
使用 http 和 https 進行基本驗證
-
僅使用 https 進行摘要式驗證
-
僅使用 http 進行 NTLM 驗證
-
-
對於透通 Proxy,您必須使用路由器/交換器強制 HTTPS/443 流量流向 Proxy。您也可以強制 WebSocket 使用代理伺服器。(網路通訊端使用 https。)
視訊網格需要透過 WebSocket 連接到雲端服務,以便節點能夠正常運作。對於明確檢查代理和透明檢查代理,HTTP 標頭是建立正確 WebSocket 連線所必需的。如果這些參數被更改,WebSocket 連線將會失敗。
當連接埠 443 上的 websocket 連線失敗時(啟用透明檢查代理),控制中心會發出註冊後警告:「Webex Video Mesh SIP 通話無法正常運作」。未啟用 Proxy 時,可能會因其他原因出現相同的警報。當在連接埠 443 上封鎖網路通訊端標頭時,媒體不會在應用程式與 SIP 用戶端之間流動。
如果媒體串流無法傳輸,這通常是由於節點透過 443 連接埠發送的 https 流量失敗所造成的:
-
代理允許連接埠 443 流量通過,但它是一個檢查代理,正在破壞 WebSocket 連線。
要解決這些問題,您可能需要對連接埠 443 進行「旁路」或「拼接」(停用偵測)操作: *.wbx2.com 和 *.ciscospark.com.
-
使用此程序指定要與視訊網格整合的代理類型。如果選擇透通檢查 Proxy 或明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證,請檢查 Proxy 連線並針對任何潛在問題進行疑難排解。
在開始之前
-
有關支援的代理選項的概述,請參閱 視訊網格的代理支援 。
| 1 |
在網頁瀏覽器中輸入視訊網格設定 URL | ||||||||||
| 2 |
轉至信任儲存庫和 Proxy,然後選擇一個選項:
針對透通檢查或明確 Proxy,請遵循以下步驟進行操作。 | ||||||||||
| 3 |
按一下上傳根憑證或最終實體憑證,然後找到並選擇明確或透通檢查 Proxy 的根憑證。 憑證已上傳但尚未安裝,因為需要重新啟動節點才能安裝憑證。按一下憑證簽發者姓名的箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除。 | ||||||||||
| 4 |
對於透通檢查或明確 Proxy,按一下檢查 Proxy 連線以測驗視訊網格節點與 Proxy 之間的網路連線。 如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。 | ||||||||||
| 5 |
連接測試通過後,對於明確代理,將開關打開為 將來自此節點的所有連接埠 443 https 請求透過明確代理路由。此設定需要 15 秒才能生效。 | ||||||||||
| 6 |
按一下將所有憑證安裝到信任儲存庫(在設定 Proxy 期間新增了根憑證時會出現此項)或重新啟動(未新增根憑證時會出現此項),閱讀提示,然後在準備妥當後按一下安裝。 節點會在幾分鐘內重新啟動。 | ||||||||||
| 7 |
節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。 Proxy 連線檢查只會測驗 webex.com 的子網域。如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。 |
哪些流量流經 Proxy
對於視訊網格,媒體不會遍訪 Proxy。此功能用於將基於訊號和管理 https 的流量傳送到 Proxy。您仍然必須開放所需的連接埠,以便媒體串流直接流向雲端。
在 Proxy 上未啟用 TCP 連接埠 444
此連接埠是視訊網格的要求,因為視訊網格使用此連接埠存取基於雲端的服務,它必須使用這些服務才能正常運作。必須對此連接埠以及《視訊網格部署指南》和 Webex Teams Services 的網路要求中所記錄的任何連接埠設定 Proxy 例外情況。
不支援依 IP 位址篩選訊號流量,因為我們的解決方案使用動態 IP 位址,隨時可能會變更。
未安裝根憑證
當您的節點與明確 Proxy 通訊時,您必須安裝根憑證並在防火牆上輸入該 URL 的例外情況。
連線檢查失敗
如果 Proxy 連線檢查已通過且 Proxy 安裝已完成,則概觀頁面上的連線檢查可能仍會因以下原因而失敗:
-
Proxy 正在檢查未流向 webex.com 的流量。
-
Proxy 正在封鎖 webex.com 以外的網域名稱。
驗證詳細資訊不正確
對於使用驗證機制的 Proxy,請確保在節點中新增正確的驗證詳細資訊。
Proxy 上出現擁塞
Proxy 上出現擁塞可能會導致延遲並導致流向雲端的流量中斷。請檢查您的 Proxy 環境以查看是否需要進行節流。
Websocket 無法透過 Squid Proxy 連線
檢查 HTTPS 流量的 Squid 代理程式可能會幹擾混合資料安全所需的 websocket (wss:) 連線的建立。這些章節提供了有關如何配置各種版本的 Squid 以忽略 wss: 流量,從而使服務正常運作的指導。
Squid 4 和 5
將 on_unsupported_protocol 指令加入 squid.conf:
on_unsupported_protocol tunnel allSquid 3.5.27
我們已成功測試了混合資料安全,並在 squid.conf中新增了以下規則。這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
