上个月,思科在Interop向市场推出了这一功能。简而言之,它为IOS路由器提供了智能、身份识别、流量重定向到思科ScanSafe网络安全云服务。ScanSafe作为云服务提供以下网络安全功能:
- URL过滤
- 扫描程序分析web请求的所有元素,包括HTML、JavaScript、Flash,甚至是模糊的活动脚本
- 零日恶意软件预防
- 防止钓鱼攻击
- 具有多租户设计的细粒度报告
- 在过去8年多的时间里100%正常运行
- 启发式恶意软件识别
这意味着http和https流量将从路由器重定向到ScanSafe云,并根据您的策略设置对其进行过滤。除了通信量的重定向之外,ISR G2还将为ScanSafe提供标识(基于组和用户)以进行细粒度策略选择。可以使用多种方法(AD、web认证等)获得身份,但Active Directory可能是最流行的。路由器在将所有身份信息发送到云端之前对其进行加密。这种类型的功能将允许公司安全地阻止从远程站点vpn到中心站点的网络流量的回撤。它还支持跨远程站点、中心站点甚至远程主机的通用web安全策略AnyConnect ScanSafe集成。将网络流量直接发送到Internet可以提高性能和用户满意度,并降低对HQ的带宽要求。下面是一个简单的图表来说明web流量的这种智能重定向。
现在来看看如何在路由器上配置它。首先在路由器上配置标识。本示例将重点关注active directory
LDAP集成。Ldap服务器ad-服务器ipv4 10.0.1.250传输端口3268绑定身份验证root-dn cn=scansafe,cn=user,dc=test,dc=localdomain密码7 4424A34232基础‐dn dc=test,dc=localdomain搜索‐filter user‐object type顶端身份验证绑定‐first接下来,创建一个ldap组
Aaa组服务器ldap广告服务器服务器广告服务器现在定义ip许可控制:
Aaa认证登录cs-aaa组adserver Aaa授权网络cs-aaa组adserver Aaa会计网络cs-aaa没有Ip承认虚拟Ip 1.1.1.1 Ip录取名csauth ntlm Ip入学录取名csauth秩序ntlm Ip名称csauth方法列表验证cs-aaa授权cs-aaa会计cs-aaa Ip http服务器接口Gig0/1 !内部接口Ip csauth的承认现在,我们已经配置了身份,我们继续配置scansafe重定向命令:
参数映射类型内容扫描全局服务器扫描安全的主ipv4 72.37.244.147端口http 8080 https 8080服务器扫描安全的主ipv4 80.254.145.147端口http 8080 https 8080许可证0在外部界面打开内容扫描:源接口GigabitEthernet0/0超时服务器30用户组ciscogroup用户名ciscouser日志服务器扫描安全故障阻塞-全部
外部接口ip地址128.107.150.75 255.255.255.0 ip nat外部ip虚拟-重组ip虚拟-重组内容-扫描对于白名单网站,您创建一个参数映射,如下例所示:
参数映射类型regex browser_param模式Chrome内容扫描白名单头用户代理regex browser_param白名单头主机regex site_param支持的思科ISR G2平台和要求包括-881,891 -19xx, 29xx, 39xx -安全功能许可证或更高要求-有效的思科ScanSafe许可证思科将在本月底发布IOS代码。它是15。2(1)T。你可以在这些链接中找到更多的信息。www.cisco.com/go/scansafe www.cisco.com/go/isrg2
在此陈述的观点和信息是我的个人观点,而不是我的雇主。我绝不是我雇主的官方发言人。
Jamey Heary报道。 信用卡扒窃:小偷如何在你不知道的情况下偷走你的信用卡信息 谷歌Nexus One与十大手机安全要求 为什么你总是要把登机牌撕成碎片 视频租赁记录提供了比你的在线数据更多的隐私保护 关于新的SSL攻击的真相 2009年IT安全城市传奇/a>去 杰米的博客 浏览更多有关安全性的文章。*
*
*
*
*
*