业务概述
企业提供的网络访问服务在提供巨大回报的同时也带来了极高风险。为员工提供网络访问服务会引发的四个重要风险是:
• 由于非工作相关的网络浏览,造成员工的工作效率下降
• 带宽消耗增长
• 由恶意软件威胁而导致数据泄露
• 由员工访问违规内容而带来的责任风险
鉴于当前由用户创建的内容十分普及,而且有大量主机因为未能及时注意到安全更新要求或缺少安全配置,而在互联网上分发恶意内容或危险内容,这使员工访问网络成为了一项高风险行为(图1)。网络内容具有动态的特点,因此很难实时洞察整个互联网的威胁状况。人工操作、感染了蠕虫的计算机会不断扫描互联网,搜索它们能够感染的网络服务器,以便不断传播病毒,影响更多上网冲浪的用户。
【图1】.部署Cisco IronPort WSA的业务原因
技术概述
Cisco IronPort网络安全设备(WSA)是一个Web代理,与其它思科网络组件共用,能够监视和控制对于外部网络内容的访问请求,并过滤返回的流量,抵御非法或恶意内容如(图2)。
【图2】采用IronPort WSA的逻辑流量传输图
- 用户发起的网络访问请求
- Cisco ASA防火墙将请求重定向到Cisco WSA
- Cisco WSA检查请求,如果请求违反安全策略,则拒绝请求并回复
- 如果请求符合安全策略, 则Cisco WSA会建立到Web的新连接
- Web服务器回复,将内容发送到Cisco WSA
- Cisco WSA检查内容是否符合规定,如果没有问题,则将内容转发给提出请求的用户
安装环境说明
本文是Cisco 虚拟WSA产品为例,为大家演示安装过程,具体软件版本情况如下:
- 虚拟化平台:vSphere 6.5
- 虚拟化WSA:coeus-9-2-083-00v,链接: https://pan.baidu.com/s/1qoL66kTNH4e1FtR1PpOW6g 提取码: wb1i
- Windows 10测试电脑
WSA安装步骤
步骤1:按照网盘路径下载WSA,安装到vSphere平台。如图3
【图3】
步骤2:按照提示引导安装,安装完毕后出现如图4界面。
【图4】
步骤3:使用相关命令对WSA的接口,IP地址,网关,设备名称,以及服务端口号进行初始化设置,如图5至图8所示。
【图5】:配置接口IP地址
【图6】:设备名称和开启服务端口号,包括FTP功能。
【图7】:设置使用临时证书
【图8】:设置网关IP,提交初始化配置
步骤4:使用测试电脑FTP到WSA,上传测试版License,并在WSA的CLI中加载License。如图9.
【图9】使用默认账号admin/ironport FTP登陆到WSA
【图10】找到configuration文件夹,上传License文件
【图11】使用CLI加载License
【图12】选择接受许可
【图13】License许可内容
注意:WSA使用的测试版License,必须找Cisco申请临时License。网址为 https://www.cisco.com/go/license
步骤5:使用Windows10测试电脑登陆WSA的web界面,做简单设置。
【图14】使用https://150.1.7.21:8443登陆,账号为admin/ironport
【图15】使用向导模式设置
【图16】下一步,修改系统名称,设置DNS和NTP。
【图17】下一步,接口和IP地址
【图18】下一步,双工模式调整
【图19】下一步,默认网关配置。
【图20】下一步,流量重定向配置,保持默认。
【21】下一步,修改admin账户密码,根据情况修改。设置邮箱,用来接收日志信息。
【22】下一步,完成。
步骤6:再次使用测试电脑登陆WSA。
【图23】网址为https://150.1.7.213:8443,使用admi账号登陆。
【图24】初始化完成
网友评论