Cisco ASA - força todo o tráfego através do filtro da correia fotorreceptora de SaaS

Navegue suas respostas
1

Como assunto realmente. Eu tenho uma rede por trás de um ASA 5505 e precisamos monitorar o uso da web. Temos um acordo com o Webroot e seu Web Security SaaS. A pergunta é: como posso forçar todo o tráfego de saída a sair pelos servidores proxy Webroot?

    
por Nordberg 26.01.2011 / 15:39

2 respostas

1

Como não sei nada sobre sua base de regra, topologia de rede ou organização, só posso dizer que o método padrão para fornecer acesso à Web em um ambiente corporativo é:

1.) Hospede o servidor proxy internamente e implemente uma regra de firewall que permita o acesso de saída do servidor proxy via http, https, ftp e outros protocolos necessários.

ou

2.) Hospede o servidor proxy externamente e implemente uma regra que permita que seus desktops e outros sistemas necessários acessem o servidor proxy por meio de SOCKS, http-proxy ou qualquer que seja o caso.

Na realidade, uma combinação dessas abordagens é normalmente tomada, posicionando o servidor proxy em um DMZ e gerenciando o acesso a ele a partir da rede interna e seu acesso de saída.

Da natureza da sua pergunta, percebo que você tem uma permissão de saída para toda a política ou uma permissão de saída de http / https de qualquer uma para qualquer regra acima da negação de todas. Em ambos os casos, essas políticas são incompatíveis com a imposição de proxy e devem ser removidas se você quiser prosseguir. Se você tiver um processo de negócios existente que dependa de tais regras, deverá assegurar-se de que regras apropriadas sejam criadas, de forma que os processos de negócios não sejam quebrados quando a regra 'any' for removida. Se você não tiver seus processos de negócios totalmente documentados, precisará vasculhar os logs de firewall para garantir que não haja perda de serviço. Você tem um projeto bem à sua frente e eu sinto por você.

    
por 26.01.2011 / 18:41
1

O Cisco ASA tem dois recursos que podem funcionar em conjunto com um serviço de filtragem da Web externo:

  1. Filtragem de URL no ASA inspeciona solicitações e verificações de http -los contra um servidor de filtragem que pode ser interno ou externo. É possível configurar o armazenamento em cache da resposta para reduzir o número de pesquisas.
  2. O WCCP ( Protocolo de Comunicação de Cache da Web ) pode ser configurado no ASA para forçar solicitações http a passarem por um servidor de cache, e muitos servidores de filtragem da Web são servidores de cache - então presumivelmente eles poderiam servir uma página proibida em vez de sites proibidos.

Se a webroot é capaz de suportar qualquer um desses métodos, não posso dizer, mas, teoricamente, acho que um serviço de filtragem da Web SaaS poderia usar tanto para fornecer seu serviço sem ter que distribuir qualquer configuração ou executável para clientes.

    
por 24.10.2011 / 18:35

Tags

Dimensionamento adequado / configurações para pastas B2D BackupExec? instalando o Linux / Apache - incapaz de conectar