cisco ise 和wsa 集成指南.pdfVIP

Cisco ISE 和 WSA 集成指南 CiscoISE 和WSA 集成 2 CiscoISE 和WSA 集成概述 2 ISE-WSA 部署 2 支持的ISE 和WSA 版本 3 CiscoISE 和WSA 集成工作流程 3 使用WSA 报告查看用户状态 16 使用日志文件对ISE-WSA 集成问题进行故障排除 16 对ISE-WSA 集成问题进行故障排除-ISE 服务器连接 18 与ISE-WSA 集成有关的SMA 的概述 19 Revised: November 9, 2015, Cisco ISE 和 WSA 集成 Cisco ISE 和 WSA 集成概述 集成思科身份服务引擎(ISE)和Web 安全设备(WSA)使WSA 可以使用ISE 提供的大量功能来识别终端并应用适当的访 问策略，其中最重要的是TrustSec安全组标记(SGT)功能。使用TrustSecSGT功能，您可以将用户分类为不同的身份组。 例如，属于安全组SGT10 的用户只能访问某些社交网站。WSA 中的访问策略是使用ISE 向用户会话分配的SGT标记创 建而成的。 WSA 不支持802.1X等身份验证方法。通过将WSA 与ISE 集成，您可以使用更安全的802.1X身份验证方法通过ISE 对 WSA用户进行身份验证。利用CiscopxGrid 功能可以向WSA 分享来自CiscoISE 的基于情景的信息，从而对用户进行授 权以及应用相应策略。 ISE-WSA 部署 通过集成ISE 和WSA，您可以根据用户的IP 地址识别用户，因为CiscoWSA 可从CiscoISE 获取IP-用户映射。为了降 低延迟和性能影响，建议在部署过程中在CiscoISE 和WSA 之间保持最小距离。 下图描述了CiscoISE-WSA 集成工作流程。 2 支持的 ISE 和 WSA 版本 •CiscoISE 版本1.3 •CiscoWSA 版本8.7.0和更高版本 Cisco ISE 和 WSA 集成工作流程 将CiscoISE 与WSA 集成应遵循以下步骤： 过程 步骤 1 为WSA 客户端创建SGT。 步骤 2 设置WSA。 步骤 3 在WSA 上配置ISE 功能。 步骤 4 为WSA 客户端创建身份配置文件。 步骤 5 为WSA 客户端创建访问策略。 3 为 WSA 客户端创建 SGT 要开始集成，您需要为用户创建一个新身份组（例如IDGroup3），然后将该身份组关联到一个SGT （例如SGTGroup3）。 最后，您需要创建一个策略集，该策略集对属于您之前创建的身份组的用户使用IEE 802.1X身份验证。 开始之前 •确保从ISE 服务器删除所有现有WSA 客户端（管理(Administration)pxGrid 服务(pxGrid Services) 客户端 (Clients)）。 •确保在ISE 中填充WSA 客户端IP 地址，以处理来自WSA 的请求。 •确保已启用pxGrid 服务。确认pxGrid 服务页面上显示“ConnectedtopxGrid”消息。 （管理(Administration) pxGrid 服务(pxGrid Services)） •确保您已生成CA签名的证书。 •确保只要在ISE 服务器上更改了证书，就重新启动ISE 服务器。 •选择管理(Administration) 证书(Certificates) 受信任证书(TrustedCertificates) 导入(Import)，导入pxGrid 证 书、ISE 服务器管理员证书以及WSA 证书和密钥，以便在ISE 和WSA 之间实现双向通信。 •在角色(Personas)部分，选择管理(Administration)系统(System)部署(Deployment)常规设置(GeneralSettings) 页面，然后选中pxGrid 复选框，以便ISE 和WSA 之间进行通信。 •选择管理(Administration)pxGrid 服务(pxGrid Services)，然后选择启用自动注册(EnableAuto-Registration) 选 项。如果已禁用“自动注册”(Auto-Registration