标题中提到了"Cisco WSA part 4 代理",WSA通常指的是Web Security Appliance,即网络设备,例如思科出品的Web安全设备,用于控制网络流量,特别是针对Web应用的安全。该设备支持代理功能,用于在客户端和目标Web服务器之间充当中间人的角色。从标题和描述中可以得知,我们将重点学习思科WSA代理功能的两种模式,显式代理模式和透明代理模式,以及与之相关的配置方法。
在显式代理模式(Explicit Mode)中,用户需要手动配置代理服务器的地址,以便将Web流量发送至WSA。这种模式下,网络工程师可以较为轻松地管理,因为不需要在网络设备上进行重定向配置,但主机工程师需要对每台客户端的网络设置进行调整。显式代理的优点包括:网络设备不需要特殊配置,代理设备完成目标Web服务器地址解析,以及支持用户认证。
透明代理模式(Transparent Mode)则恰恰相反,用户无需在客户端上配置代理服务器,请求直接发送至目标服务器。网络工程师在配置网络设备以重定向流量到WSA时会相对麻烦,因为需要启用WCCP(Web Cache Communication Protocol)或PBR(Policy-Based Routing)等网络技术。透明代理支持用户认证,但与显式代理不同,客户端需要自己完成目标Web服务器的地址解析。
文章中也提到了PC端配置方式,在显式代理模式中,客户端需要在代理设置中填写WSA的P口或M口地址,并设置合适的端口,通常是3128或80端口。WSA侧默认启用了显式代理模式,并侦听这些端口。此外,显式代理还支持PAC方式,即通过上传pac.txt文件到WSA分区,并在客户端设置默认关闭的PAC文件来实现更为高级的代理配置。
对于透明代理模式,PC端的配置较为简单,无需进行任何设置,用户可以正常访问网络。透明代理模式下的WSA配置则是在另外的文档部分(Part3)中,涉及启用HTTPS代理隧道功能,用户在访问HTTPS网站时可能会遇到WSA自签名证书导致的证书错误。
文中还提到WSA支持FTP代理,并详细说明了如何在两种模式下配置FTP代理。无论FTP使用的是Active模式还是Passive模式,WSA都能够提供支持,但配置方法略有不同,需要在客户端程序中设置代理参数。
FTP显式代理模式的特点是侦听8021端口,并支持用户认证;而透明代理模式的客户端则正常连接21端口。控制信道和数据信道连接都需要被重定向到WSA,但在透明代理模式下不支持认证。
文章还提到了URL过滤策略,思科WSA能够配置策略以阻止某些不允许访问的站点。如果在测试过程中遇到非预期的错误,可以通过Bypass检查来解决问题,确保页面能正常打开。
文档中详细介绍了思科WSA的代理功能和配置方法,包括两种主要的代理模式(显式和透明),PC端的配置,FTP代理的支持,以及URL过滤策略的使用,这些都是网络和安全工程师在部署和管理思科WSA时必须要掌握的关键知识点。
