Настройка Cisco Web Security Appliance (WSA) s196
-
Привет, ребята...! Я только что получил Secure Web Appliance s196 для настройки и установки, чтобы запустить новые прокси-серверы. У меня нет опыта работы с прокси-серверами, но я специалист по сетям. Я пытаюсь разместить устройство между нашим пограничным маршрутизатором/брандмауэром 5525x ASA и пограничным коммутатором. Я просто пытаюсь настроить его для вызова домой, чтобы запустить мастер настройки и получить лицензию. Я добавил запись DNS для устройства и настроил DNS на устройстве, настроил порт управления, чтобы иметь веб-доступ и удаленный доступ к CLI устройства. Однако я не уверен, какая информация поступает в порты P1 или P2. Я знаю, что хочу настроить его для дуплексного отвода, чтобы отслеживать трафик на том же T1 для входящего/исходящего трафика. При необходимости я могу отправить настройки конфигурации. Буду очень благодарен за любую помощь...!
-
Поместите порт управления в сеть VLAN управления, которой разрешен доступ в Интернет. Требования к этому приведены здесь: https://www.cisco.com/c/en/us/support/docs/security/secure-web-appliance/220375-use-secure-web-appliance-best-practices.html (плюс МНОЖЕСТВО другой полезной информации). Вам необходимо принять решение, использовать ли WCCP или явное перенаправление. https://www.cisco.com/c/en/us/support/docs/security/web-security-appliance/117940-qa-wsa-00.html Я использовал WCCP. Я поместил P1 в ту же подсеть/VLAN, что и внутренний интерфейс брандмауэра, а затем использовал WCCP с внутреннего интерфейса ASA для отправки трафика на WSA для фильтрации, b Здесь есть много полезной информации: https://www.cisco.com/c/en/us/support/security/web-security-appliance/series.html Здесь есть раздел, начинающийся на странице 10, но он не очень хорош. У меня был хороший, который я все еще ищу... https://www.cisco.com/c/dam/en/us/td/docs/solutions/Enterprise/Education/CCVE/ccve_sba_security_design.pdf
-
Вау...! Огромное спасибо, я очень ценю всю эту информацию.
-
-
Эта ссылка, похоже, не работает, но большое спасибо за всю информацию...!
-
Исправлено:
https://www.cisco.com/c/m/en_us/products/security/web-security/setup-guide.html И документ, который я использовал в свое время... -
Привет
[, @Ced W] Как упомянул Кен, очень важно понять, каким будет ваше развертывание прокси (прозрачным или явным). Обычно P1 используется для внутреннего использования, а P2 — для внешнего, но это не является обязательным требованием. А управление для управления, С другой стороны, я бы посоветовал проверить версию, которую вы планируете использовать, чтобы убедиться, что у вас есть полное представление об изменениях и ограничениях. Sx96 ( S196 ) будет поставляться с AsyncOS 15.2, вот примечания к выпуску:
Примечания к выпуску AsyncOS 15.2 для Cisco Secure Web Appliance - Cisco Устройства Secure Web Appliance S196, S396, S696 и S696F поддерживают Cisco AsyncOS версии 15.2 и более поздних версий Поэтому вам необходимо иметь учетную запись Smart License и активную лицензию Smart License. Если у вас есть доступ к графическому интерфейсу пользователя, вы сможете лицензировать устройство и запустить мастер SystemSetup. Чтобы отделить трафик управления от трафика данных (P1, P2), перейдите в GUI > Network > Interfaces > Edit Settings и выберите:
Restrict M1 port to appliance management services only ![amojarra_0-1727432217816.png] А если вам нужно разделить трафик интерфейсов P1 и P2, вы можете сделать это, определив разные маршруты в таблице маршрутизации данных. Например, 0.0.0.0/0 для интернет-шлюза и 10.0.0.0/8 для внутреннего маршрутизатора. Вы упомянули: ...
установить, чтобы включить новые прокси-серверы Если в вашей сети более одного нового WSA или у вас уже есть несколько WSA, вам необходимо рассмотреть сценарии балансировки нагрузки или отработки отказа. В SWA есть опция отказоустойчивости, вы можете ознакомиться с ней:
Настройка групп отказоустойчивости для высокой доступности
из руководства пользователя. Что касается балансировки нагрузки, вы можете сделать это с помощью любого балансировщика нагрузки или с помощью WCCP (если вы используете прозрачное перенаправление). Что касается интерфейса TAP, вам нужен только один интерфейс (например, T1), который подключен к тому же домену широковещательной передачи, что и другое сетевое устройство безопасности. С уважением, Амирхоссейн Моджаррад +++++++++++++++++++++++++++++++++++++++++++++++++++ ++++
Если этот ответ оказался полезным, пожалуйста, оцените
его
++++ +++++++++++++++++++++++++++++++++++++++++++++++++++ С уважением,
Амирхоссейн Моджаррад
+++++++++++++++++++++++++++++++++++++++++++++++++++
++++ Если этот ответ оказался полезным, пожалуйста, оцените его ++++
+++++++++++++++++++++++++++++++++++++++++++++++++++
-
Мы хотим использовать устройство в прозрачном режиме. Текущая версия — AsyncOS 15.2.0 для Web build 116. У меня есть 2 WSA, которые нужно подключить к сети, но сейчас я сосредоточен только на одном и, возможно, буду использовать другой в качестве резервного, пока не найду место для его установки. Тем не менее, я все еще изучаю информацию, присланную
@Ken Stieers,
и просматриваю информацию, присланную вами,
@amojarra
, чтобы WSA мог получить лицензию, и я смог запустить мастер. У меня есть P1, подключенный к ASA, и приложенные скриншоты... -
@Ced W Спасибо за информацию Поскольку в вашем проекте есть только P1 ![amojarra_0-1727545874118.png] если вы выберете ограничение порта M1, то увидите 2 таблицы маршрутизации Вам нужно определить там 2 шлюза по умолчанию, один для управления, а другой для данных поскольку это только P1, вы можете перенаправить весь трафик на ваш внутренний маршрутизатор (IR1), который будет пересылать интернет-трафик на внешний маршрутизатор, а трафик клиентов — на клиентов. А для интерфейса управления, опять же, поскольку они находятся в отдельной подсети, отдельном маршрутизаторе, вы можете определить отдельный шлюз по умолчанию. При прозрачном развертывании, в зависимости от того, как вы его настраиваете (WCCP или маршрутизация на основе политик - PBR), логика будет следующей 1) если какой-либо трафик поступает с «
интерфейса клиента»
и направляется в интернет-порт 80 или 443 (или любой другой порт, который использует ваша компания, например 8080, 8443 ...), перенаправьте его в WSA 2) если какой-либо трафик поступает с
«интерфейса WSA»
и направляется в интернет-порт 80 или 443 (или любой другой порт, используемый вашей компанией, например 8080, 8443 ...), его не нужно перенаправлять, отправьте его на интернет-маршрутизатор, 3) обратный путь зависит от того, используете ли вы IP-спуфинг или нет. Как правило, вы перенаправляете весь обратный трафик, исходящий из Интернета, с исходным портом 80,443 на WSA, затем WSA отправит трафик на IP-адрес клиента в качестве IP-адреса назначения поэтому необходимо определить исходный интерфейс и схему трафика (исходный порт или порт назначения) и способ их маршрутизации. Есть и другие пункты назначения, для которых вы можете создать ручные записи маршрута, например: [1] вам нужен доступ к Active Directory через Management, [2] вам нужен доступ к серверу DLP через интерфейс управления [3] вам нужен доступ к DNS через интерфейс управления. ... Вы можете определить маршрут для них, а для некоторых из них, таких как Active Directory, вы можете выбрать интерфейс из графического интерфейса пользователя То же самое для смарт-лицензии: вы можете выбрать «тестовый интерфейс», который WSA должен использовать для доступа к смарт-лицензии. С уважением, Амирхоссейн Моджаррад +++++++++++++++++++++++++++++++++++++++++++++++++++ ++++
Если этот ответ оказался вам полезным, пожалуйста, оцените
его
++++ +++++++++++++++++++++++++++++++++++++++++++++++++++ С уважением,
Амирхоссейн Моджаррад
+++++++++++++++++++++++++++++++++++++++++++++++++++
++++ Если этот ответ был полезен, пожалуйста, оцените его ++++
+++++++++++++++++++++++++++++++++++++++++++++++++++
-
Я знаю, что для использования графического интерфейса мастера настройки системы требуется лицензия, но как проверить, была ли лицензия зарегистрирована отдельно или приобретена надлежащим образом? На фотографии ниже ничего не нажато, и отображается только сообщение о необходимости лицензии. Есть ли способ регистрации через CLI?
-
Здравствуйте
[, @bmcho] Если у вас есть XML-файл для лицензии, вам необходимо открыть файл в текстовом редакторе
из CLI > loadlicense > [1] Вставить из CLI > вставьте XML > нажмите Enter > Ctrl + D
https://www.cisco.com/c/en/us/support/docs/security/web-security-appliance-s690x/222554-configure-secure-web-appliance-initial-s.html Если вы используете версию 15.2 и выше, вам понадобится Smart license
GUI > System Administration > Smart License > Enable > commit
GUI > System Administration > Smart License > Register > ... С уважением, Амирхоссейн Моджаррад +++++++++++++++++++++++++++++++++++++++++++++++++++ ++++
Если этот ответ оказался полезным, пожалуйста, оцените его
++++ +++++++++++++++++++++++++++++++++++++++++++++++++++ С уважением,
Амирхоссейн Моджаррад
+++++++++++++++++++++++++++++++++++++++++++++++++++
++++ Если этот ответ был полезен, пожалуйста, оцените его ++++
+++++++++++++++++++++++++++++++++++++++++++++++++++
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти