如何配置思科web安全工具和rsadlp网络兼容-cisco.pdf

如何配置思科Web安全工具和RSA DLP网络兼容 ？ 目录 问题： 如何配置思科Web安全工具和RSA DLP网络兼容？ 概述： 本文提供在思科WSA AsyncOS用户指南和RSA DLP网络7.0.2部署指南之外的额外信息帮助客户兼 容两产品。 产品描述： 思科Web安全工具(WSA)是保护公司网络以防止基于Web的恶意软件和间谍软件程序能减弱公司安 全和曝光知识产权的一个稳健，安全，高效设备。Web安全工具通过提供Web代理服务提供深刻的 应用程序内容检验为标准的通信协议例如HTTP、HTTPS和FTP。 RSA DLP套件包括在企业中使客户通过有效利用在基础设施间的普通政策发现和保护敏感数据发现 和保护敏感数据在datacenter，在网络和在终端的一全面的数据丢失预防解决方案。 DLP套件包括 以下组件： RSA DLP Datacenter。DLP Datacenter帮助您找出敏感数据，不管哪里位于datacenter，在文 件系统、数据库、电子邮件系统和大SAN/NAS环境。 RSA DLP网络。DLP网络监控器和强制执行敏感信息发射关于网络的，例如电子邮件和Web流 量。 RSA DLP终端。DLP终端帮助您发现，监控和控制关于终端的敏感信息例如膝上型计算机和桌 面。 思科WSA有能力与RSA DLP网络兼容。 RSA DLP网络包括以下组件： 网络控制器。维护关于机要数据和内容传输策略的信息的主要设备。网络控制器管理并且更新 有策略的受管理设备，并且与其中任一一起的敏感内容定义变成他们的配置在初始配置以后。 受管理设备。这些设备帮助DLP网络监控器网络发射并且报告或者拦截发射： 传感器。安装在网络边界，传感器被动地监控离开网络或超过网络边界的流量，分析它对于敏 感内容出现。传感器是一带外解决方案;它能只监控并且报告策略违反。拦截机。并且安装在网 络边界，拦截机允许您实现的电子邮件(SMTP)流量检疫并且/或者拒绝包含敏感内容。拦截机 是一个轴向网络代理并且能阻塞从留下企业的敏感数据。ICAP服务器。专用允许您实现监听或 阻塞包含敏感内容的HTTP、HTTPS或者FTP流量的服务器设备。ICAP服务器与代理服务器一 起使用(配置作为ICAP客户端)监控或阻塞从留下企业的敏感数据 思科WSA与RSA DLP网络ICAP服务器兼容。 已知限制 与RSA DLP网络的思科WSA外部DLP集成支持以下操作：准许并且阻塞。它不支持“修改/删除使” (也呼叫Redaction)操作满意。 互通性的产品需求 思科WSA和RSA DLP网络的互用性用产品模式和软件版本测试并且验证在下表里。当功能发言此集 成可能与变化一起使用到型号和软件时，下表代表唯一的测试的，验证的和支持的组合。严格推荐 使用两产品最新的支持的版本。  产品  软件版本  思科Web安全工具(WSA)  AsyncOS版本6.3 上述  RSA DLP网络  7.0.2 外部DLP功能 使用思科WSA，您的外部DLP功能能转发所有或特定流出的HTTP、HTTPS和FTP流量从WSA到 DLP网络。使用互联网控制适应协议(ICAP)，所有流量转接。 体系结构 RSA DLP网络部署指南显示兼容的RSA DLP网络以下通用的体系结构用代理服务器。此体系结构不 是特定对WSA，然而适用于与RSA DLP网络兼容的所有代理。 图 1：RSA DLP网络和思科Web安全工具的部署体系结构 配置思科Web安全工具 1. 定义在与DLP网络ICAP服务器一起使用的WSA的外部DLP系统。关于说明，请参阅摘自 WSA用户指南“用户指南说明的附加的部分定义外部DLP系统”。 2. 创建使用下面的步骤，定义了流量WSA发送对内容扫描的DLP网络的一个或更多外部DLP策略 ： 下面GUI Web安全经理外部DLP策略Add策略 单击链路在您要配置的策略组的目的地列下 在下‘编辑目的地设置部分，选择？定义扫描自定义设置的目的地？从下拉菜单 我们能然后配置策略‘扫描所有加载’或扫描加载到在自定义URL类别/站点指定的某些域 配置RSA DLP网络 本文假设， RSA DLP网络控制器、ICAP服务器和企业管理器安装并