在ASA流量的CWS对阻塞的内部服务器.PDFVIP

在ASA流量的CWS对阻塞的内部服务器 目录 简介 先决条件 要求 使用的组件 网络图 问题 解决方案 最终配置 相关信息 简介 本文描述遇到的常见问题，当您配置Cisco Cloud Web安全(以前叫作ScanSafe)时(的) CWS在 Cisco可适应安全工具(ASA)版本9.0和以上。 使用CWS， ASA透明地重定向选定HTTP和HTTPS到CWS代理服务器。管理员有能力允许，阻塞 或者警告最终用户为了从与安全策略相应的配置的恶意软件保护他们在CWS门户的。  先决条件 要求 思科建议您有这些配置知识： 思科ASA通过CLI和可适应安全设备管理器(ASDM) 思科Cloud在思科ASA的Web安全 使用的组件 本文档中的信息根据思科ASA。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 网络图   问题 遇到的常见问题，当您配置在ASA时的思科CWS发生，当内部网络服务器变得不可访问通过ASA。 例如，这是对应于在前面部分说明的拓扑的配置示例： hostname ASA1 ! snip interface GigabitEthernet0/0 nameif outside security-level 0 ip address ! interface GigabitEthernet0/1 nameif inside security-level 100 ip address ! snip object network inside-network subnet object network web-server host 0 ! snip access-list outside_access_in permit tcp any host 0 eq www access-list outside_access_in permit tcp any host 0 eq https access-list http-traffic extended permit tcp any any eq www access-list https-traffic extended permit tcp any any eq https ! snip scansafe general-options server primary fqdn port 8080 server backup fqdn port 8080 retry-count 5 license license key ! snip object network inside-network nat (inside,outside) dynamic interface object network web-server nat (inside,outside) static 0 ! access-group outside_access_in in interface outside ! snip class-map http-class match access-list http_traffic class-map https-class match access-list https_traffic ! policy-map type inspect scansafe http-pmap parameters http policy-map type inspect scansafe https-pmap parameters https ! policy-map outside-policy class http-class inspect scansafe http-pmap fail-close class https-class inspect scansafe https-pmap fail-close ! service-policy outside-policy interface inside 使用此confguration，内部网络服务器从使用IP地址0威力的外面变得不可访问。此问题可 以由多个原因导致，例如： 在Web服务器主机的内容种类。 Web服务器的安全套接字层SSL证书没有由CWS代理服务器委托。 解决方案 在所有内部服务器主机的内容