Конфигуриране на Cisco ISR G2 ScanSafe

Преди месец Cisco пуснаха нова услуга за уеб защита и филтриране, която позволява на рутерите да контролират cloud трафика  по-интелигентно и сигурно. Освен филтрация на URL адреси, ScanSafe предлага още защита от Zero-day и фишинг атаки, евристична идентификация на зловреден софтуер, анализ на всички части от заявката (HTML, JavaScript, Flash и дори Active скриптове) и други.

Филтриране на уеб заявка в облака. Снимка: Networkworld.com

В случая с филтриране на уеб заявки, http и https трафика се пренасочва от рутера към ScanSafe облака, където се обработва спрямо приложените политики. Възможно е да се изиска групова или потребителска идентификаця, ако трябва да се прилагат различни политики за сигурност. Най-често идентификацията е Active Directory, но при всички случаи цялата удостоверяваща информация се криптира преди да бъде изпратена към облака.

Интеграция с AnyConnect. Снимка: Networkworld.com

ScanSafe може да се интегирира с AnyConnect за прилагане на общи политики с отдалечени мрежи или VPN. Това намалява изискванията за предварителна обработка на трафика и повишава ефективността (както на мрежата, така и на потребителя).

# Конфигуриране на идентификация с Active directory (LDAP съвместима директория)

LDAP integration.
Ldap server ad-server
ipv4 10.0.1.250
transport port 3268
bind authenticate root-dn cn=scansafe,cn=users,dc=test,dc=localdomain password 7 4424A34232
base‐dn dc=test,dc=localdomain

search‐filter user‐object‐type top
authentication bind‐first

#Създаване на ldap гурпа

Aaa group server ldap ad-servers
Server ad-server

# Дефиниране на Ip admission control

Aaa authentication login cs-aaa group ad-servers
Aaa authorization network cs-aaa group ad-servers
Aaa accounting network cs-aaa none

Ip admission virtual-ip 1.1.1.1
Ip admission name csauth ntlm
Ip admission name csauth order ntlm
Ip admission name csauth method-list authentication cs-aaa authorization cs-aaa accounting cs-aaa
Ip http server

Interface Gig0/1
!Internal interface
Ip admission csauth

# Конфигуриране на командите за scansafe redirection

parameter-map type content-scan global
server scansafe primary ipv4 72.37.244.147 port http 8080 https 8080
server scansafe secondary ipv4 80.254.145.147 port http 8080 https 8080
license 0 source interface GigabitEthernet0/0
timeout server 30 user-group ciscogroup username ciscouser
logging server scansafe on-failure block-all

# Активиране на функцията за сканиране на съдържанието на външния интерфейс

interface GigabitEthernet0/0
!external interface
ip address 128.107.150.75 255.255.255.0
ip nat outside
ip virtual-reassembly in
ip virtual-reassembly out
content-scan out

# Накрая създаваме карта за добавяне на сайтове в whitelist

parameter-map type regex site_param
pattern google
pattern cisco
parameter-map type regex browser_param
pattern Chrome
content-scan whitelisting
whitelist header user-agent regex browser_param
whitelist header host regex site_param

Междувременно Cisco обещава да пусне кода на новата IOS до края на месеца. Версията ще бъде 15.2(1)Т.

По материали на Networkworld.com

Последни новини

• LG Optimus смартфоните се сдобиха с нов интерфейс
• На 24 май теглим безплатно книги от VIVABooks
• Стартира проектът „ТОП ИКТ Работодател“
• В 29 общини и 24 малки селища ще се изгражда инфраструктура за ШЛ интернет по проект на ЕСМИС
• Двуобхватен маршрутизатор от новата серия amplifi обяви D-Link

Активни теми във форума

• » Само за родители и кандидат-родители
• » Питай Малинка - сайт за въпроси и отговори
• » Супер Боб
• » въпрос:Как да изградя мрежа
• » Закони за успех във високите доходи.