教程:Cisco路由器添加Cisco ScanSafe Web安全

IOS增加了代理功能,将web流量转发到云web安全产品

思科上个月在Interop上向市场推出了这一功能。简而言之,它为IOS路由器提供智能、身份识别、流量重定向到思科ScanSafe网络安全云服务。scanafe作为云服务提供以下web安全特性:

  • URL过滤
  • Scanlets分析网页请求的所有元素,包括HTML, JavaScript, Flash,甚至是模糊的活动脚本
  • 零日恶意软件预防
  • 防范钓鱼攻击
  • 采用多租户设计的粒度报表
  • 在过去8年多的时间里100%的正常运行时间
  • 启发式恶意软件识别
下面是在云计算中处理每个web请求的图像:

这意味着http和https流量将从路由器重定向到ScanSafe云,在那里它将根据您的策略设置进行过滤。除了流量的重定向外,ISR G2还将为ScanSafe提供身份(基于组和用户)以进行细粒度策略选择。身份可以使用多种方法(AD, web认证等),但活动目录可能是最流行的。路由器在发送到云端之前会对所有身份信息进行加密。这种类型的功能将允许公司安全地停止从远程站点vpn到中心站点的反向网络流量,并再次返回。它还允许跨远程站点、中心站点甚至远程主机的通用web安全策略AnyConnect ScanSafe集成.将web流量直接发送到Internet,可以提高性能和用户满意度,降低总部的带宽需求。这里有一个简单的图表来说明这种智能的网络流量重定向。

现在来看看如何在路由器上配置这个。首先在路由器上配置Identity。本例将重点介绍活动目录

LDAP集成。Ldap服务器ad-server ipv4 10.0.1.250传输端口3268 bind authenticate root-dn cn=scansafe,cn=users,dc=test,dc=localdomain password 7 4424A34232 base‐dn dc=test,dc=localdomain search‐filter user‐object‐type top authentication bind‐first
接下来,创建ldap组
Aaa组服务器ldap ad-servers服务器ad-server
现在定义ip允许控制:
Aaa authentication login cs-aaa group ad-servers Aaa authorization network cs-aaa group ad-servers Aaa accounting network cs-aaa none Ip admission virtual-ip 1.1.1.1 Ip admission name cauth ntlm Ip admission name cauth order ntlm Ip admission name cauth method-list authentication cs-aaa authorization cs-aaa accounting cs-aaa Ip http server接口Gig0/1 !内部接口Ip准入csauth
现在我们已经配置了标识,接下来配置scansafe重定向命令:
参数映射类型内容-scan global server scansafe primary ipv4 72.37.244.147 port HTTP 8080 HTTPS 8080 server scansafe secondary ipv4 80.254.145.147 port HTTP 8080 HTTPS 8080 license 0 source interface GigabitEthernet0/0 timeout server 30 user-group ciscogroup username ciscuser logging server scanansafe on-failure block-all
打开外部界面的内容扫描:
interface GigabitEthernet0/0 !external interface ip address 128.107.150.75 255.255.255.0 ip nat outside ip virtual-reassembly in ip virtual-reassembly out content-scan out
要创建白名单站点,您需要创建如下示例的参数映射:
参数-map type regex site_param pattern谷歌pattern cisco parameter-map type regex browser_param pattern Chrome content-scan白名单白名单报头user-agent regex browser_param白名单报头host regex site_param
支持Cisco ISR G2平台和要求包括-881,891 -19xx, 29xx, 39xx -安全特性许可或更高要求-有效的Cisco ScanSafe许可Cisco将在本月底发布IOS代码。它将是15.2(1)T。你可以在这些链接上找到更多信息。www.cisco.com/go/scansafe www.cisco.com/go/isrg2

在此提出的意见和信息是我个人的意见,而不是我的雇主。我绝不是我雇主的官方发言人。

Jamey Heary报道: 信用卡欺诈:小偷如何在你不知情的情况下窃取你的信用卡信息 谷歌Nexus One vs.十大手机安全要求 为什么你总是撕碎你的登机牌 视频租赁记录提供了比你的在线数据更多的隐私保护 关于新的SSL攻击的真相 2009年度IT安全最佳城市传奇 杰米的博客 参阅更多有关安全的文章。

加入网络世界社区足球竞猜app软件脸谱网LinkedIn对自己最关心的话题发表评论。
相关:

版权©2011足球竞彩网下载

工资调查:结果在