CiscoIronportWEB安全网关快速安装手册.doc

CiscoIronportWEB安全网关快速安装手册2010年IronPortWSA安装上线步骤部署方式IronPortWEB安全网关支持两种部署方式:1)代理模式(ProxyMode)IronPort代理模式工作方式:客户机直接连接到S-SeriesS-Series提供代理支持:HTTP,HTTPs&FTPtraffic客户机配置方式自动proxy配置手工proxy配置Proxy脚本配置其他特性:监听全部65535个TCP端口,阻止内部感染恶意木马、病毒的PC向外网传输关键数据(DLP——数据丢失保护)强大的URL分类库WEB信誉过滤引擎与LDAP服务器完美集成,支持LDAP认证、NTLM认证等。提供高速缓存,提高用户上网速度提供灵活的策略定制,可以根据IP/IP段、用户/用户组等信息定制不同的策略针对广告软件(ADWARE)、流氓软件(Malware)、恶意代码、间谍软件(SPYWARE)、木马的强化扫描2)透明模式(TransparentMode)IronPort透明模式工作方式:通过四层交换机(L4switch)P的路由器将流量转发到S-Series对客户端透明方式的代理其他特性:监听全部65535个TCP端口,阻止内部感染恶意木马、病毒的PC向外网传输关键数据(DLP——数据丢失保护)强大的URL分类库WEB信誉过滤引擎(基于SenderBase)与LDAP服务器完美集成,支持LDAP认证、NTLM认证等。提供高速缓存,提高用户上网速度提供灵活的策略定制,可以根据IP/IP段、用户/用户组等信息定制不同的策略针对广告软件(ADWARE)、流氓软件(Malware)、恶意代码、间谍软件(SPYWARE)、木马的强化扫描透明转发配置范例:WCCP方式策略路由方式L4TM(四层流量监控)功能两个部署范例(以Cisco交换机为例):CatOS:2examplessetspan1/12/1tx;setspan1/12/2rx1/1:connectedtofirewall2/1:2/2:toclientssetspan522-5552/1VLANS522-555arethesource(assumeclientsarehere)2/1:connectedtoT1,duplexmodeIOS:0/4(connectedtoT1,duplex)0/0/0/4/3(toT1)准备阶段收集网络拓扑及相关信息-取得当前网络架构拓扑信息-客户上网流程-缺省网关(DMZ区防火墙IP地址)-两个分配给Ironport的IP地址和子网掩码-DNS服务器(内部/外部)-Ldap服务器的登录方式,字段结构分析(或AD域信息)-为Ironport网关提供的可解析的主机名(DNSA记录,如:)-静态路由(非必需,只有当从缺省网关无法到达某网段时需要设置)注:一般需要在Ironport网关上设两个IP地址,用来区分开管理IP和代理服务器IP。但不是必需的,管理IP和代理服务器IP在同一端口也可以工作。如果客户不想配置独立的Ironport网关管理端口,只需要在P1端口上设一个IP就足够了。防火墙配置在防火墙上配置邮件相关的端口:出站Ironport反恶意软件引擎+杀毒引擎+网关系统Ironport网关到公网(任意)TCP80(HTTP)端口出站SenderBase数据共享Ironport网关到公网(任意)TCP443(HTTPS)端口出站DNSIronport网关到DNS服务器TCP和UDP53(DNS)端口在防火墙上配置管理端口:从局域网到Ironport网关TCP21(FTP)用ftp取网关日志从局域网到Ironport网关TCP443(HTTPS)Web管理界面从局域网到Ironport网关TCP22(SSH)ssh管理网关,命令行方式从局域网到Ironport网关TCP80、3128(http)代理服务端口DNS配置添加一个新的A记录到IronPort的公网IP地址(最好同时配置私网A记录解析)。安装步骤用你的电脑()和交叉网线连接Ironport网关的M1口(:8080),用IE或Mozilla浏览器运行Setupwizard(安装向导),具体操作请参考用户手册。Ironport网关上架将Ironport网关放到机架,连接交换机。测试阶段将WEB(TCP80)流量转到Ironport网关前需要做下面一些测试:NSLOOKUP在命令行,用nslookup测试域名是否能解析。单机测试确认域名能解析后,设置测试PC的IE浏览器代理服务器IP地址为IronPort网关P1端口IP地址,端口号为80,确认配置后输入任意网页(如)确认是否可以上网。升级操作系统确认系统版本为最新的AsyncOS,在Web界面点“系统管理”–“