Здравствуйте, сообщество! Я застрял в ситуации, в которой мне нужна помощь экспертов Cisco. Я участвую в проекте по внедрению, в рамках которого мне нужно развернуть Cisco WSA S695. Мы уже порекомендовали 2 WSA в режиме HA в DC для обеспечения избыточности. Клиент хочет обеспечить избыточность интерфейсов, а также внутреннего трафика, поэтому в режиме HA будет установлено 2 основных коммутатора, и клиент хочет, чтобы мы подключили один интерфейс P1 к активному основному коммутатору, а в случае его выхода из строя будет подключен резервный интерфейс P1 к пассивному основному коммутатору. Клиент хочет, чтобы такой же сценарий был реализован и для интерфейсов P2. Сообщите, возможно ли это, и если да, то объясните, пожалуйста. Заранее спасибо! @WSA

Привет, ребята, У меня есть одно недоумение, по поводу которого мне нужен ваш совет. Пожалуйста, проконсультируйте меня по этому вопросу. Ситуация такова: я создал один профиль идентификации для пользователя 10.0.250.70, для которого я разрешаю несколько предопределенных и настраиваемых категорий. С другой стороны, я создал другой идентификационный профиль, в который мне нужно добавить 3 пользователя, включая вышеуказанного (10.0.250.70), только для одной пользовательской категории, а именно Twitter. Теперь, чтобы применить передовой опыт, во второй идентификационный профиль я просто добавил IP-адреса 2 пользователей и не добавил 10.0.250.70, чтобы при создании политики доступа к веб-сайтам я мог просто добавить эти 2 идентификационных профиля. Теперь, при создании этой политики веб-доступа, когда я добавляю эти 2 профиля идентификации, в действии я вижу все предопределенные и пользовательские категории, которые я выбрал для 1-го и 2-го профилей идентификации. Поэтому у меня возник вопрос: могут ли пользователи второго профиля идентификации получить доступ только к Twitter или ко всем другим веб-сайтам, которые определены для первого профиля идентификации 10.0.250.70? Пожалуйста, помогите мне в этом, я знаю, что для некоторых из вас это может быть запутанно. @ [WSA] @ [amojarra] @fw_mon

Привет, сообщество! Я настроил Cisco WSA с интерфейсами P1 и M1. WebUI ограничен только M1 и имеет собственный SSL-сертификат из нашей внутренней PKI. Порт прокси на P1 — 3128, а HTTPS-прокси также настроен с рабочим SSL-сертификатом CA. Пока все хорошо. Когда я теперь пытаюсь подключиться к P1 по TCP-порту 443 вместо прокси-порта 3128, я получаю предупреждение о сертификате с сертификатом Cisco Demo (см. приложенный файл). Но я не могу найти этот сертификат ни в одной из конфигураций SSL, ни в управлении сертификатами. Я также не могу найти никаких привязок для P1 TCP-порта 443 в настройках. Есть ли способ заменить этот сертификат на наш собственный из нашей PKI? Спасибо за помощь и хороших выходных! Марко [image: 8cfafb28c662358db96102d96b1aadd3968b4d99.png]

Здравствуйте, Сегодня я зарегистрировал наши устройства веб-безопасности в SecureX. Прошло уже несколько часов, но на панели управления не отображаются никакие данные. Устройства отображаются как зарегистрированные, а подключение к облаку отображается зеленым цветом. Я что-то упустил? Здесь ничего не упоминается: https://www.cisco.com/c/en/us/support/docs/security/securex/215985-integrate-and-troubleshoot-securex-with.html С уважением, Бернд

У кого-нибудь есть проблема, когда загрузки из магазина MS не работают через Umbrella? Это происходит как в сети, так и через роуминг-клиент с использованием AnyConnect. Если я останавливаю службу AnyConnect на ПК, загрузка работает нормально. Я добавил в список «Не расшифровывать» все домены MS, которые смог найти. Я не могу найти ни одного заблокированного домена, поэтому не могу понять, в чем причина. Спасибо

Всем привет, Я немного запутался с потоком трафика Cisco SMA и WSA. В Cisco SMA у нас есть 1 интерфейс управления и 4-5 интерфейсов данных. Мое первое требование заключается в том, что мне нужно настроить интерфейс управления для доступа только к устройствам SMA, а интерфейсы данных — для интеграции с Cisco WSA или ESA для централизованной отчетности и передачи конфигурации. Пожалуйста, дайте мне знать, возможно ли это. Моя вторая проблема заключается в том, каким будет трафик между SMA и WSA. На WSA, какой интерфейс рекомендуется использовать для связи с Cisco SMA для централизованного управления и отчетности? Пожалуйста, помогите мне с этим и заранее спасибо всем. @CiscoWSA @security @SMA

Всем привет! Я знаю, что в Cisco WSA можно настроить высокую доступность с помощью протокола CARP. Но мне нужно подтвердить, что в режиме Active Standby HA Cisco WSA используется переключение с сохранением состояния. Это означает, что если я настроил HA в WSA и активное устройство вышло из строя, то устройство в режиме ожидания будет иметь информацию об активных соединениях? Пожалуйста, развейте мои сомнения по этому поводу. Заранее спасибо всем. @Websecurity @ [WSA] @proxy

Всем привет! У нас есть 2 WSA в ЦОД и балансировщик нагрузки Citrix. Нам необходимо использовать оба интернет-провайдера из Cisco WSA. Каким будет трафик, если мы будем использовать балансировщик нагрузки Citrix для распределения нагрузки? Мы используем явный прокси-сервер на основе браузера для всех пользователей. Может ли кто-нибудь объяснить поток трафика и взаимосвязь WSA с точки зрения анализа файлов с TG? Если мы будем использовать балансировщик нагрузки, то как будет проходить трафик/балансировка нагрузки и сможем ли мы отправлять файлы в On-Prem TG для анализа файлов? @amojarra @webproxy @wsa

Текущая ситуация: SMA v13.8.1-101, WSA 12.5.4-011, CM — 12.5 Мы хотим перейти на SMA 14.2.0-241 и WSA 14.5.1-016. Старая матрица совместимости больше не доступна. В новой версии на https://www.cisco.com/c/dam/en/us/td/docs/security/security_management/sma/sma_all/web-compatibility/index.html больше не отображаются совместимые версии CM. Мой вопрос: поддерживает ли SMA v14.2.0-241 версию CM 12.5? Доступны ли новые версии CM в SMA v14.2.0-241 и совместимы ли они с WSA 14.5.1-016? С уважением, Хенк

Уважаемые коллеги Я настраиваю сеть DMZ, и мы приобрели WSA. Я хотел бы понять с точки зрения проектирования, можно ли подключить порт P1 WSA к внутреннему основному коммутатору, но логически трафик будет проходить через внутренний брандмауэр, а порт P2 будет подключен к зоне DMZ внешнего брандмауэра. Является ли это хорошим способом подключения? ИЛИ Мне следует подключить оба порта P1 и P2 к внешнему брандмауэру через DMZ-1 и DMZ-2. Сценарий 1 Поток трафика Пользователь запустил google.com. Трафик поступит на внутренний брандмауэр как шлюз по умолчанию, а затем брандмауэр направит трафик на порт P1 прокси (явно настроенный прокси), поскольку порт P1 шлюза по умолчанию является внутренним брандмауэром, подключенным через основной коммутатор. Прокси выполняет веб-фильтрацию, а затем отправляет трафик из порта P2 на внешний брандмауэр, который затем направляет его в Интернет. Сценарий 2 Поток трафика Пользователь инициировал трафик google.com. Трафик попадает во внутренний брандмауэр как шлюз по умолчанию, затем брандмауэр направляет трафик на порт прокси P1 через внутренний интерфейс внешнего брандмауэра, а затем внешний брандмауэр направляет его в DMZ 1 на интерфейс прокси. Прокси выполняет веб-фильтрацию, а затем отправляет трафик из порта P2 снова на внешний брандмауэр DMZ-2, а затем внешний брандмауэр направляет его в Интернет. Кроме того, у меня нет внешних коммутаторов (обращенных к интернет-маршрутизатору ISP), к которым я могу подключить интернет-соединение, поэтому в этом случае, если я использую свои коммутаторы DMZ с разделением Vlan, это будет хорошей мерой безопасности, или же предпочтительнее иметь изолированные внешние коммутаторы. Спасибо

Всем привет, Я пытаюсь обновить версию WSAv AsyncOS, но каждый раз получаю отказ. DNS настроен правильно, я также выполнил nslookup для updates-ironport.com и downloads-ironport.com, и WSAv успешно разрешает IP-адреса. Я просто не настроил NTP и использую пробную лицензию. Может ли это быть причиной проблемы с обновлением AsyncOS? Я получаю следующую ошибку: Ошибка при загрузке списка обновлений: получен недействительный ответ манифеста обновления.

У нас есть WSA (S695, SW v14.0.4-005) с проблемами присоединения к домену. Все настроено правильно (имена DNS, сетевое подключение, домен AD/серверы/пользователи с правом присоединения компьютеров к AD). Ситуация :WSA не существует в AD как объект компьютера. Пользователь добавляет его в домен. Объект создан, WSA показывает (сразу после присоединения), что WSA присоединен .НО! Через некоторое время (например, после обновления GUI) WSA показывает, что он НЕ присоединен к домену (Статус: учетная запись компьютера WSADEVICE$ еще не создана). Тест на странице аутентификации показывает следующую ошибку: Attempting to get TGT... Failure: Error while fetching Kerberos Tickets from server '10.101.33.40' : kinit: Password incorrect Такая же проблема на другом WSA (такая же версия ПО). Мы не можем решить эту проблему. Мы пробовали добавить его с другим именем, пробовали добавить вручную (со стороны AD),... но без успеха. Что еще мы можем проверить, чтобы решить эту проблему? Мартин

Здравствуйте, Я использую Cisco Web Security Appliance S395 версии 14.5.1 и пытаюсь настроить локальную аутентификацию для пользователей прокси. Не могли бы вы помочь мне с настройкой, так как я не нашел никакой документации по этому вопросу. С уважением Юнес

Всем привет! У меня есть Cisco Web Security Appliance S395 для новой установки с версией: 10.6.0-224, я планирую обновить его до рекомендуемой версии. Не могли бы вы помочь мне узнать, какая версия является рекомендуемой? С уважением Юнес

Всем привет! Я хотел бы добавить самоподписанный сертификат Cisco WSA GUI Management. Может ли кто-нибудь подсказать мне, как создать и добавить самоподписанный сертификат, чтобы при доступе к Cisco WSA не отображалось предупреждение о небезопасном соединении? @amojarra @websecurity

Я работаю над миграцией с Proxy Blue Coat на Cisco WSA S395 . Я ищу инструменты для миграции или какие-то шаги или методологии, которые могут мне в этом помочь. Заранее благодарю. С уважением Юнес

Всем привет, Мне нужно подтвердить, что если мы будем интегрировать Cisco WSA с TG (ThreatGrid), то для связи какие номера портов нам нужно разрешить в брандмауэре? При интеграции TG и WSA мы собираемся интегрировать интерфейс WSA p1 с интерфейсом TG Clean. То же самое я должен подтвердить и для SMA и WSA. Если я интегрирую Cisco SMA с WSA, то какой номер порта необходимо открыть для связи? @amojarra @websecurity

Я ищу подробную трассировку пакетов, которая показывает шаг за шагом, что именно происходит, когда используется веб-прокси и конечная точка выполняет разрешение DNS. DNS-сервер возвращает IP-адрес фактического веб-сайта в Интернете? Или он возвращает свой собственный IP-адрес, чтобы трафик перенаправлялся на него? Как именно трафик перенаправляется на прокси?

Здравствуйте, У меня есть 2 веб-устройства Cisco в разных местах. Я решил скопировать политики с первого устройства на второе без изменения IP-адреса и имени хоста... Примечание: если я буду создавать политики с нуля на втором устройстве, это займет много времени. Сообщите, пожалуйста, есть ли какой-нибудь способ сделать это. Заранее благодарю за помощь.

Здравствуйте, У меня проблемы с доступом к www.linkedin.com Симптомы заключаются в том, что страница отображается некорректно. В левой части страницы отображаются только ссылки. Я помню, что некоторое время назад у Facebook были проблемы с некорректным отображением страниц. Поскольку этот сайт относится к категории «Социальные сети», я должен был бы получить сообщение о блокировке страницы. Однако, если я добавляю сайт в эту категорию вручную, я действительно получаю сообщение о блокировке страницы. Я хочу, чтобы все могли получить доступ к этому сайту (но разрешить доступ к Facebook и другим социальным сетям только через правила разрешения в этой категории). Для этого я добавил сайт в белый список, но по-прежнему испытываю проблемы с правильным отображением сайта. Я также попробовал добавить сайт в список обхода прокси, но проблема осталась. Кто-нибудь может помочь? Устройство Ironport — s370 с версией 7.1.4 Я прикрепил файл, чтобы показать, как выглядит сайт.