Назад | Перейти на главную страницу

Cisco ASA - принудительно пропускать весь трафик через веб-фильтр SaaS

Как предмет на самом деле. У меня есть сеть за ASA 5505, и нам нужно отслеживать использование Интернета. У нас есть соглашение с Webroot и их Web Security SaaS. Вопрос в том, как я могу заставить весь исходящий трафик выходить через прокси-серверы Webroot?

Cisco ASA имеет две функции, которые могут работать вместе с внешней службой веб-фильтрации:

  1. Фильтрация URL-адресов на ASA проверяет HTTP-запросы и проверяет их на сервере фильтрации, который может быть внутренним или внешним. Можно настроить кеширование ответа, чтобы уменьшить количество поисков.
  2. WCCP (Протокол связи веб-кеша) возможно настроен на ASA для принудительного прохождения HTTP-запросов через сервер кеширования, а многие серверы веб-фильтрации являются серверами кеширования, поэтому, по-видимому, они могут обслуживать запрещенную страницу вместо запрещенных сайтов.

Я не могу сказать, может ли webroot поддерживать любой из этих методов, но теоретически я думаю, что служба веб-фильтрации SaaS может использовать любой из них для доставки своей службы без необходимости развертывания какой-либо конфигурации или исполняемых файлов для клиентов.

Поскольку я ничего не знаю о вашей существующей базе правил, топологии сети или организации, я могу только сказать вам, что стандартный метод предоставления веб-доступа в корпоративной среде:

1.) Разместите прокси-сервер внутри и внедрите правило брандмауэра, разрешающее исходящий доступ прокси-серверу через http, https, ftp и другие необходимые протоколы.

или

2.) Разместите прокси-сервер извне и внедрите правило, разрешающее вашим рабочим столам и другим необходимым системам доступ к прокси-серверу через SOCKS, http-proxy или в любом другом случае.

На самом деле обычно используется комбинация этих подходов: прокси-сервер размещается в демилитаризованной зоне и управляется доступом к нему из внутренней сети, а также исходящим доступом.

Исходя из характера вашего вопроса, я понимаю, что у вас либо есть политика разрешения исходящего трафика, либо разрешающая исходящая передача http / https от любого к любому правилу, которое выше вашего запретить все. В любом случае эти политики несовместимы с принудительным использованием прокси и должны быть удалены, если вы хотите продолжить. Если у вас есть существующий бизнес-процесс, который полагается на наличие этих правил, вы должны убедиться, что созданы соответствующие правила, чтобы бизнес-процессы не нарушались при удалении правила «любое». Если у вас нет полностью задокументированных бизнес-процессов, вам нужно будет просмотреть журналы брандмауэра, чтобы убедиться в отсутствии потерь в обслуживании. У вас впереди большой проект, и я сочувствую вам.