Cisco ASA - 强制所有流量通过 SaaS Web 过滤器

Cisco ASA - 强制所有流量通过 SaaS Web 过滤器

确实是主题。我的网络位于 ASA 5505 后面,我们需要监控网络使用情况。我们与 Webroot 及其 Web Security SaaS 达成了协议。问题是,我如何强制所有出站流量通过 Webroot 代理服务器出去?

答案1

由于我对您现有的规则库、网络拓扑或组织一无所知,因此我只能告诉您在公司环境中提供 Web 访问的标准方法是:

1.) 在内部托管代理服务器,并实施防火墙规则,允许代理服务器通过 http、https、ftp 和其他必要协议进行出站访问。

或者

2.) 在外部托管代理服务器,并实施规则,允许您的桌面和其他必要系统通过 SOCKS、http-proxy 或任何情况访问代理服务器。

实际上,通常会采用这些方法的组合,将代理服务器放置在 DMZ 中并管理从内部网络对它的访问以及它的出站访问。

从你的问题性质来看,我推测你要么有一个允许所有出站策略,要么有一个允许从任意到任意出站的 http/https 规则,而你的拒绝所有规则则位于其上方。无论哪种情况,这些策略都与代理执行不兼容,如果你想继续,必须将其删除。如果你现有的业务流程依赖于这些规则,则必须确保创建适当的规则,以便在删除“任意”规则时不会破坏业务流程。如果你没有完全记录你的业务流程,则需要仔细检查防火墙日志以确保服务没有丢失。你面前有一个相当大的项目,我很同情你。

答案2

Cisco ASA 有两个功能可以与外部 Web 过滤服务配合使用:

  1. ASA 上的 URL 过滤检查 http 请求并根据内部或外部的过滤服务器对其进行检查。可以设置响应缓存以减少查找次数。
  2. WCCP(Web 缓存通信协议) 可在 ASA 上配置强制 http 请求通过缓存服务器,并且许多 Web 过滤服务器都是缓存服务器 - 因此它们可以提供禁止页面而不是被禁止的网站。

我不能说 webroot 是否能够支持这两种方法,但理论上我认为 SaaS 网络过滤服务可以使用其中任何一种来提供他们的服务,而无需向客户端推出任何配置或可执行文件。

相关内容