ASA :从 ASA 向 CSC-SSM 发送网络数据流的配置示例
目录
简介
本文档提供如何从 Cisco ASA 5500 系列自适应安全设备 (ASA) 向内容安全和控制安全服务模块 (CSC-SSM) 发送网络数据流的示例配置。
CSC-SSM 可以防范病毒、间谍软件、垃圾邮件和其他不需要的数据流。它通过扫描由自适应安全设备转移至它的 FTP、HTTP、POP3 和 SMTP 数据流实现此目的。为了强制 ASA 将数据流转移至 CSC-SSM,需要使用模块化策略框架。
请参阅 ASA:从 ASA 向 AIP SSM 发送网络数据流配置示例,以将通过 Cisco ASA 5500 系列自适应安全设备 (ASA) 的网络数据流发送到高级检查和防御安全服务模块 (AIP-SSM) (IPS) 模块。
注意:CSC-SSM只能在请求连接的数据包的目标端口是指定协议的公认端口时扫描FTP、HTTP、POP3和SMTP流量。CSC-SSM 只能扫描以下连接:
-
对 TCP 端口 21 开放的 FTP 连接
-
对 TCP 端口 80 开放的 HTTP 连接
-
对 TCP 端口 110 开放的 POP3 连接
-
对 TCP 端口 25 开放的 SMTP 连接
先决条件
要求
尝试进行此配置之前,请确保满足以下要求:
-
基本了解如何配置运行软件版本 7.1 及更高版本的 Cisco ASA 5500 系列。
-
已安装 CSC-SSM。
使用的组件
本文档中的信息基于以下软件和硬件版本:
-
软件版本为 7.1 及更高版本的 ASA 5520
-
软件版本为 6.1 的 CSC-SSM-10
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
规则
有关文档约定的更多信息,请参考 Cisco 技术提示约定。
背景信息
CSC-SSM 维护一个包含可疑内容签名配置文件且从 Trend Micro 更新服务器定期更新的文件。CSC-SSM 扫描它从自适应安全设备收到的数据流并将其与从 Trend Micro 获得的内容配置文件进行比较。然后它将合法内容转发到自适应安全设备进行路由,或阻塞并报告可疑内容。
默认情况下,CSC-SSM 附带提供下列功能的基本许可证:
-
检测网络数据流中的病毒和恶意软件并对其执行操作
-
阻塞压缩文件或超出指定参数的非常大的文件
-
扫描并删除间谍软件、广告软件和其他类型的灰色软件
此外,如果配备了加强版许可证,它还执行下列任务:
-
减少垃圾邮件并防范 SMTP 和 POP3 数据流中的网络钓鱼欺骗
-
设置用于允许或禁止包含关键字或短语的电子邮件数据流的内容过滤器
-
过滤/阻塞您不希望用户访问的 URL 或已知具有不可告人的目的或恶意目的的 URL
注意:CSC-SSM仅在ASA上启用FTP检测时才能扫描FTP文件传输。默认情况下已启用 FTP 检查。
注意:由于CSC-SSM不维护连接信息,因此无法为故障切换单元提供状态故障切换所需的信息,因此CSC-SSM不支持状态故障切换。当安装 CSC-SSM 的安全设备出现故障时,将丢弃 CSC-SSM 正在扫描的连接。当备用自适应安全设备变成活动状态时,它会将扫描的数据流转发给 CSC-SSM,并且连接将重置。
配置
在自适应安全设备已部署了 CSC-SSM 的网络中,请将自适应安全设备配置为仅向 CSC-SSM 发送您希望扫描的数据流类型。
注意:使用命令查找工具(仅限注册客户)可获取有关本节中使用的命令的详细信息。
ASA - CSC SSM 流程图
此图显示 ASA 和 CSC-SSM 内的数据流:
在本示例中,客户端可以是访问网站、从 FTP 服务器下载文件或从 POP3 服务器检索邮件的网络用户。
在此配置中,数据流的流动方式如下:
-
客户端发起请求。
-
自适应安全设备收到请求并将其转发到 Internet。
-
当检索到请求的内容时,自适应安全设备将确定其服务策略是否将此内容类型定义为应转移到 CSC-SSM 进行扫描的类型,并在需要时进行转移。
-
CSC-SSM 从自适应安全设备接收内容,对内容进行扫描并将其与 Trend Micro 内容过滤器的最新更新进行比较。
-
如果内容可疑,CSC-SSM 将阻塞内容并报告该事件。如果内容不可疑,CSC-SSM 则将请求的内容转发回自适应安全设备进行路由。
CSC 初始设置
在初始设置中,需要配置几个参数。在您开始之前,请确保您已收集了这些参数所需的信息。
作为配置 CSC-SSM 的第一步,请启动 Cisco ASDM。默认情况下,您可以通过 ASA 的管理 IP 地址 (https://192.168.1.1/) 访问 CSC-SSM。您需要确保您的 PC 和 ASA 的管理接口位于同一个网络中。或者,您可以下载 ASDM 启动程序进行后续访问。
使用 ASDM 配置以下参数:
-
进入主 ASDM 窗口后,选择 Configuration > Trend Micro Content Security > Wizard Setup 并单击 Launch Setup Wizard。
-
激活密钥:
获得激活密钥的第一步是识别产品随附的产品授权密钥 (PAK)。它包含一个条形码和 11 个十六进制字符。例如,120106C7D4A 是一个可能的示例 PAK。
使用 PAK 在产品许可证注册(仅限注册用户)网页上注册 CSC-SSM。注册后,您将通过电子邮件收到激活密钥。
-
管理端口 IP 参数:
为 CSC 管理接口指定 IP 地址、子网掩码和网关 IP 地址。
DNS Servers — 主DNS服务器的IP地址。
-
主机和域名 — 指定主机名以及CSC-SSM的域名。
传入域 - 由本地邮件服务器用作传入电子邮件域的域名。
注意:反垃圾邮件策略仅应用于进入此域的电子邮件流量。
通知设置 - 管理员电子邮件地址和用于通知的电子邮件服务器 IP 地址和端口。
-
管理主机访问参数:
输入应具有 CSC-SSM 管理访问权限的每个子网和主机的 IP 地址和掩码。
注意:默认情况下,所有网络都具有对CSC-SSM的管理访问权限。为安全起见,Cisco 建议您限制对特定子网或管理主机的访问。
-
CSC-SSM 的新口令:
将默认口令 cisco 更改为新口令以用于管理访问。
-
在 CSC 设置向导的第 6 步中,指定要扫描的数据流类型。
在应用防火墙策略后,但在数据包退出输出接口前,自适应安全设备会将数据包转移至 CSC-SSM。例如,不会将由访问列表阻塞的数据包转发到 CSC-SSM。
配置服务策略以指定自适应安全设备应将哪些数据流转移至 CSC-SSM。CSC-SSM 可以扫描发送到 HTTP、POP3、FTP 和 SMTP 这些协议的公认端口的 HTTP、POP3、FTP 和 SMTP 数据流。
为了简化初始配置过程,此过程将创建一个将支持协议的所有数据流(入站和出站数据流)转移至 CSC-SSM 的全局服务策略。由于扫描通过自适应安全设备的所有数据流可能降低自适应安全设备和 CSC-SSM 的性能,因此以后需要修改此安全策略。例如,通常没有必要扫描来自内部网络的所有数据流,因为这些数据流来自受信任的源。如果改进服务策略以使 CSC-SSM 只扫描来自不受信任的源的数据流,则可以实现安全目标,同时最大程度地改善自适应安全设备和 CSC-SSM 的性能。
完成以下步骤以创建识别要扫描的数据流的全局服务策略:
-
单击 Add 以添加新的数据流类型。
-
从 Interface 下拉列表中选择 Global。
-
保留 Source 和 Destination 字段设置为 Any。
-
在 Service 区域中,单击 ellipsis (...) 单选按钮。在此对话框中,选择预定义服务或单击 Add 定义新服务。
-
在 If CSC card fails, then 区域中,选择在 CSC-SSM 不可用时自适应安全设备是应允许还是应拒绝所选数据流。
-
单击 OK 返回到 Traffic Selection for CSC Scan 窗口。
-
单击 Next。
-
-
在 CSC 设置向导的第 7 步中,复查您为 CSC-SSM 输入的配置设置。
如果对这些设置感到满意,请单击 Finish。
ASDM 将显示一条消息,表明 CSC 设备当前处于活动状态。
默认情况下,CSC-SSM 配置为执行您购买的许可证启用的内容安全扫描,其中可能包括防病毒、反垃圾邮件、反网络钓鱼和内容过滤。它还配置为从 Trend Micro 更新服务器获得定期更新。
如果包括在您购买的许可证中,您可以创建自定义 URL 阻塞和 URL 过滤设置,以及电子邮件和 FTP 参数。有关详细信息,请参阅《Cisco 内容安全和控制 SSM 管理员指南》。
如何配置 ASA 以将数据流转移至 CSC-SSM
为了强制 ASA 将数据流转移至 CSC-SSM,需要使用模块化策略框架。要完成识别数据流并将其转移至 CSC-SSM,请完成以下步骤:
-
使用 access-list extended 命令创建一个与您希望由 CSC-SSM 扫描的数据流匹配的访问列表,以将数据流转移至 CSC-SSM:
hostname(config)#access-list acl-name extended {deny | permit} protocol src_ip mask dest_ip mask operator port -
使用 class-map 命令创建一个类映射以识别应转移至 CSC-SSM 的数据流:
hostname(config)#class-map class_map_name -
进入类映射配置模式后,使用 match access-list 命令通过前面指定的访问列表识别数据流:
hostname(config-cmap)#match access-list acl-name hostname(config-cmap)#exit -
使用 policy-map 命令创建一个策略映射以将数据流发送到 CSC-SSM:
hostname(config)#policy-map policy_map_name -
进入策略映射配置模式后,使用 class 命令指定前面创建的用于识别要扫描的数据流的类映射:
hostname(config-pmap)#class class_map_name -
进入策略映射类配置模式后,可以配置以下功能:
-
如果希望对自适应安全设备转移至 CSC-SSM 时所用的同时连接数强制执行每客户端限制,请使用 set connection 命令,如下所示:
hostname(config-pmap-c)#set connection per-client-max n其中 n 是自适应安全设备允许的每个客户端的最大同时连接数。此命令可防止单个客户端滥用 CSC-SSM 的服务或受 SSM 保护的任何服务器的服务,包括禁止尝试在 CSC-SSM 保护的 HTTP、FTP、POP3 或 SMTP 服务器上进行 DoS 攻击。
-
使用 csc 命令可控制 ASA 在 CSC-SSM 不可用时如何处理数据流:
hostname(config-pmap-c)#csc {fail-close | fail-open}其中 fail-close 指定 ASA 应在 CSC-SSM 出现故障时阻塞数据流,相反,fail-open 指定 ASA 应在 CSC-SSM 出现故障时允许数据流。
注意:这仅适用于类映射选择的流量。其他未发送到 CSC-SSM 的数据流不受 CSC-SSM 故障的影响。
-
-
最后,使用 service-policy 命令来全局应用策略映射或将策略映射应用于特定接口:
hostname(config-pmap-c)#service-policy policy_map_name [global | interface interface_ID]其中 interface_ID 是使用 nameif 命令分配给接口的名称。
注意:仅允许一个全局策略。通过向接口应用服务策略,可以覆盖该接口上的全局策略。您只能对每个接口应用一个策略映射。
网络图
此图是为这些参数配置的 ASA 5500 的示例:
网络图的概要说明以下信息:
-
到外部网络的 HTTP 连接
-
从安全设备内部的客户端到安全设备外部的服务器的 FTP 连接
-
从安全设备内部的客户端到安全设备外部的服务器的 POP3 连接。
-
指定到内部邮件服务器的 SMTP 连接
ASA 配置
| ASA5520 |
|---|
ciscoasa(config)#show running-config : Saved : ASA Version 8.0(2) ! hostname ciscoasa domain-name Security.lab.com enable password 2kxsYuz/BehvglCF encrypted no names dns-guard ! interface GigabitEthernet0/0 speed 100 duplex full nameif outside security-level 0 ip address 172.30.21.222 255.255.255.0 ! interface GigabitEthernet0/1 description INSIDE nameif inside security-level 100 ip address 192.168.5.1 255.255.255.0 ! !--- Output suppressed access-list csc-acl remark Exclude CSC module traffic from being scanned access-list csc-acl deny ip host 10.89.130.241 any !--- In order to improve the performance of the ASA and CSC Module. !--- Any traffic from CSC Module is excluded from the scanning. access-list csc-acl remark Scan Web & Mail traffic access-list csc-acl permit tcp any any eq www access-list csc-acl permit tcp any any eq smtp access-list csc-acl permit tcp any any eq pop3 ! !--- All Inbound and Outbound traffic for WEB, Mail services is scanning. access-list csc-acl-ftp permit tcp any any eq ftp !--- All Inbound and Outbound traffic for FTP service is scanning. class-map csc-class match access-list csc-acl ! class-map csc-ftp-class match access-list csc-acl-ftp ! policy-map global_policy class csc-class csc fail-open class csc-ftp-class csc fail-open policy-map global_policy class inspection_default !--- Inspect FTP traffic for scanning. inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect icmp inspect http service-policy global_policy global !--- Output suppressed |
CSC 主页
CSC 设置
Trend Micro InterScan for Cisco CSC-SSM 提供对主要数据流协议(如 SMTP、HTTP 和 FTP)以及 POP3 数据流的保护,以确保员工不会在无意中从他们的个人电子邮件帐户中引入病毒。
选择 Configuration > Trend Micro Content Security 以打开 CSC-SSM。从 Configuration 菜单的下列配置选项中选择: 
-
CSC Setup - 启动设置向导以安装和配置 CSC-SSM
-
Web - 配置 Web 扫描、文件阻塞、URL 过滤和 URL 阻塞
-
Mail - 为传入和传出 SMTP 和 POP3 电子邮件配置扫描、内容过滤和垃圾邮件预防
-
File Transfer - 配置文件扫描和阻塞
-
Updates - 安排内容安全扫描组件(例如,病毒模式文件、扫描引擎等)的更新
以下章节中将对 Web、Mail、File Transfer 和 Updates 选项进行详细介绍:
-
邮件 - 配置 SMTP 和 POP3 邮件数据流
-
Web 和文件传输 - 配置 Web (HTTP) 和文件传输 (FTP) 数据流
-
更新 - 管理更新和日志查询
本示例显示如何配置 CSC-SSM 以扫描传入到内部网络的 SMTP 邮件。
传入 SMTP 邮件被转移至 CSC-SSM 进行扫描。在本示例中,从外部访问内部邮件服务器 (192.168.5.2 /24) 上 SMTP 服务的所有数据流都被转移至 CSC-SSM。
access-list csc_inbound extended permit tcp any host 192.168.5.2 eq smtp
在安装 Trend Micro InterScan for Cisco CSC-SSM 后,这些默认设置可为您的电子邮件数据流提供一些保护。
SMTP 配置
Trend Micro SMTP 配置
要使用 ASDM 配置 CSC-SSM 以扫描传入 SMTP 邮件,请完成以下步骤:
-
在 ASDM 中选择 Configuration > Trend Micro Content Security > Mail,并单击 Configure Incoming Scan 以显示 SMTP Incoming Message Scan/Target 窗口。
-
此窗口会显示 Trend Micro InterScan for Cisco CSC-SSM 登录提示。输入 CSC-SSM 口令。
-
SMTP Incoming Message Scan 窗口包含以下三个视图:
-
目标
-
操作
-
通知
单击所需信息的相应选项卡可以在视图之间切换。活动选项卡的名称以棕色文本显示;非活动选项卡的名称以黑色文本显示。使用所有这三个选项卡可以配置传入 SMTP 数据流的病毒扫描。
单击 Target 可定义要对其进行操作的活动的范围。
默认情况下已启用 SMTP 传入邮件扫描。
-
-
在 Default Scanning 部分中,默认情况下已选择 All scannable files。不管文件名的扩展名如何,它都进行扫描。
-
为传入邮件配置 SMTP compressed file handling。
配置为在以下条件之一为真时跳过压缩文件扫描:
-
解压缩文件的计数大于 200。
-
解压缩文件的大小超过 20 MB。
-
压缩层的数目超过三层。
-
解压缩或压缩文件大小比率大于 100 比 1。
-
压缩文件超出指定的扫描标准。
将解压缩文件计数的默认参数修改为 300 并将解压缩文件大小修改为 30 MB。
-
-
在这些窗口的 Scan for Spyware/Grayware 部分(如第 5 步中所示)中,选择您希望由 Trend Micro InterScan for Cisco CSC-SSM 检测到的灰色软件类型。有关列出的每种灰色软件类型的说明,请参阅联机帮助。
单击 Save 以启用新配置
-
单击 Action 选项卡,通过该选项卡可以定义在检测到威胁时应采取的措施。操作示例包括清除或删除。
这些值是对传入邮件采取的默认操作。
-
For Messages with Virus/Malware Detection 部分 - 清除在其中检测到恶意软件的邮件或附件,如果邮件或附件无法清除,则删除它。
-
For Spyware/Grayware Detections - 这些是在 SMTP 邮件中检测到间谍软件或灰色软件时要发送的文件。
单击 Save 以启用新配置
-
-
单击 Notification 选项卡,通过该选项卡可以编写通知消息,并可以定义向谁通知事件和操作。
如果对默认通知设置感到满意,则无需进一步的操作。但是,您可以复查通知选项并决定是否要更改默认值。例如,在电子邮件中检测到安全风险时,您可以向管理员发送通知。对于 SMTP,还可以通知发件人或收件人。
选中 Administrator 和 Recipient 框,以便为其发送电子邮件通知。还可以将通知消息中的默认文本修改为更适合于您所在组织的内容,如此屏幕截图中所示。
-
在此窗口的 Inline Notifications 部分中,选择两个列出选项中的一个,也可以两个都选择或两个都不选择。
在我们的示例中,请选择 Risk free message 并在提供的字段中键入您自己的消息。
单击 Save 以启用新配置。
HTTP 配置
扫描
安装后,默认情况下将对您的 HTTP 和 FTP 数据流进行病毒、蠕虫和特洛伊木马扫描。对于间谍软件和其他灰色软件等恶意软件,则需要先更改配置,然后才能检测到它们。
在安装 Trend Micro InterScan for Cisco CSC-SSM 后,这些默认设置可为您的 Web 和 FTP 数据流提供一些保护。您可以更改这些设置。例如,您可能更喜欢使用 Scan by specified file extensions 选项而不是 All Scannable Files 选项来进行恶意软件检测。在进行更改之前,请查看联机帮助以了解有关这些选择的详细信息。
安装后,您可能需要更新其他配置设置才能获得对 Web 和 FTP 数据流的最大保护。如果购买了加强版许可证,则有权收到 URL 阻塞、反网络钓鱼和 URL 过滤功能,您必须配置这些附加功能。
要使用 ASDM 配置 CSC-SSM 以扫描 HTTP 邮件,请完成以下步骤:
-
单击 Trend Micro 页中的 Web (HTTP),此 Web Message Scan 窗口包含四个视图:
-
目标
-
Webmail 扫描
-
操作
-
通知
单击所需信息的相应选项卡可在视图之间切换。活动选项卡的名称以棕色文本显示;非活动选项卡的名称以黑色文本显示。请使用所有选项卡来配置 Web 数据流的病毒扫描。
单击 Target 可定义要对其进行操作的活动的范围。
-
默认情况下已启用 HTTP 邮件扫描。
-
已启用,并使用 All Scannable Files 作为扫描方法。
-
从 Web 下载时的 Web (HTTP) 压缩文件处理 - 已配置为在下列条件之一为真时跳过压缩文件扫描:
-
解压缩文件的计数大于 200。
-
解压缩文件的大小超过 30 MB。
-
压缩层的数目超过三层。
-
解压缩或压缩文件大小比率大于 100 比 1。
-
对于 Webmail scanning - 已配置为扫描 Yahoo、AOL、MSN 和 Google 的 Webmail 站点。
-
-
大文件处理
通过 HTTP Scanning 和 FTP Scanning 窗口的 Target 选项卡,可以定义您希望扫描的最大下载内容的大小。例如,您可以指定扫描小于 20 MB 的下载内容,但不扫描大于 20 MB 的下载内容。
此外,还可以:
-
指定在不经扫描的情况下传送大型下载内容,这可能引入安全风险。
-
指定删除大于指定限制的下载内容。
默认情况下,CSC-SSM 软件指定扫描小于 50 MB 的文件。修改为 75 MB。系统会将 75 MB 或更大的文件传送到请求客户端而不对其进行扫描。
延迟扫描
默认情况下未启用延迟扫描功能。启用时,此功能允许您在未扫描完整个下载内容的情况下开始下载数据。延迟扫描允许您在扫描整个信息体时开始查看数据,而无需长时间的等待。
注:如果未启用延迟扫描选项,则可能会通过CSC模块面临更新失败的问题。
注意:启用延迟扫描时,未扫描的信息部分可能会带来安全风险。
注意: CSC-SSM 软件不能扫描通过 HTTPS 移动的数据流中的病毒和其他威胁。
如果未启用延迟扫描,则必须先扫描整个下载内容,然后才能看到下载内容。但是,有些客户端软件可能由于收集足够的网络数据包以组成用于扫描的完整文件所需的时间太长而超时。此表总结了每种方法的优点和缺点。
方法 优势 缺点 延迟扫描已启用 防止客户端超时 可能会带来安全风险 已禁用延迟扫描 更安全。在将整个文件呈现给您之前,会先对其进行安全风险扫描。 可能导致客户端在下载完成之前超时 扫描间谍软件和灰色软件
灰色软件是一个软件类别,这些软件可能是合法的、不需要的或恶意的。不同于病毒、蠕虫和特洛伊木马之类的威胁,灰色软件不会感染、复制或毁坏数据,但它可能会侵犯您的隐私。灰色软件的示例包括间谍软件、广告软件和远程访问工具。
默认情况下不启用间谍软件或灰色软件检测。您必须在这些窗口中配置此功能才能在您的 Web 和文件传输数据流中检测间谍软件、其他形式的间谍软件和其他灰色软件:
单击 Save 以更新配置。
-
-
您可以切换到 Scanning Webmail 选项卡以扫描 Yahoo、AOL、MSN 和 Google 的 Web 邮件站点。
注:如果选择仅扫描Web邮件,则HTTP扫描仅限于在Web(HTTP)>扫描> HTTP扫描窗口的Web邮件扫描选项卡上指定的站点。不会对其他 HTTP 数据流进行扫描。直到您单击回收站图标删除配置的站点时,才会对它们进行扫描。
在 Name 字段中,请输入确切的网站名称、URL 关键字和字符串以定义 Webmail 站点。
注意:扫描Webmail上管理的邮件的附件。
单击 Save 以更新配置。
-
您可以切换到 Action 选项卡进行病毒/恶意软件检测和间谍软件/灰色软件检测的配置。
-
在其中检测到病毒/恶意软件的文件的 Web (HTTP) 下载 - 清除在其中检测到恶意软件的下载文件或文件。如果无法清除,则删除该文件。
-
在其中检测到间谍软件或灰色软件的文件的 Web (HTTP) 下载和文件传输 (FTP) - 删除文件。
-
-
检测到恶意软件时的 Web (HTTP) 下载 - 在浏览器中插入内嵌通知,表明 Trend Micro InterScan for CSC-SSM 扫描了您尝试传输的文件并检测到安全风险。
文件阻塞
在左侧下拉菜单中,单击 File Blocking。
默认情况下已启用此功能;但是,您必须指定您希望阻塞的文件类型。文件阻塞可帮助您在工作时间内强制实施针对 Internet 使用和其他计算资源的组织策略。例如,您的公司由于法律问题和员工生产率问题而不允许下载音乐。
-
在 File Blocking 窗口的 Target 选项上,选中 Executable 复选框以阻塞 .exe。
-
您可以通过文件名扩展名指定其他文件类型。选中 Block specified file extensions 复选框以启用此功能。
-
然后,在 File extensions to block 字段中输入其他文件类型,然后单击 Add。在本示例中,将阻塞 .mpg 文件。
完成后单击 Save 以更新配置。
选中 Administrator Notification 框以发送文本框中的默认消息。
单击 Notification 选项卡可查看预警消息。
URL 阻塞
此部分描述 URL 阻塞功能,其中包括以下主题:
注意:此功能需要Plus许可证。
URL 阻塞功能可帮助您防止员工访问禁止的网站。例如,由于您所在组织的策略禁止对约会服务、联机购物服务或者攻击性站点进行访问,您可能会希望阻塞一些站点。
您还可以阻塞已知实施欺骗(如网络钓鱼)的站点。网络钓鱼是犯罪分子使用的一种技术,犯罪分子发送看起来像来自合法组织的电子邮件,要求您提供银行账号等私人信息。此图显示用于网络钓鱼的电子邮件示例。
默认情况下已启用 URL 阻塞。但是,在您指定要阻塞的附加站点之前,只会阻塞 TrendMicro PhishTrap 模式文件中的站点。
从 Via Local List 选项卡阻塞
要从 Via Local List 选项卡配置 URL 阻塞,请完成以下步骤:
-
在 ASDM 中选择 Configuration > Trend Micro Content Security > Web 并单击 Configure URL Blocking 以显示 URL Blocking 窗口。
-
在 URL Blocking 窗口的 Via Local List 选项卡上,在 Match 字段中键入您希望阻塞的 URL。您可以指定确切的网站名称、URL 关键字和字符串。
-
单击每个条目后的 Block 以将该 URL 移到 Block List。单击 Do Not Block 可将条目添加到 Block List Exceptions 中,以将您的条目指定为例外。条目将保持阻塞或例外状态,直到您删除它们。
注:您还可以导入阻止和例外列表。导入的文件必须采用特定格式。有关说明,请参阅联机帮助。
从 Via Pattern File (PhishTrap) 选项卡阻塞
要从 Via Pattern File (PhishTrap) 选项卡配置 URL 文件阻塞,请完成以下步骤:
-
在 ASDM 中选择 Configuration > Trend Micro Content Security > Web 并单击 Configure URL Blocking 链接以显示 URL Blocking 窗口。
-
然后单击 Via Pattern File (PhishTrap) 选项卡。
-
默认情况下,Trend Micro PhishTrap 模式文件将检测并阻塞已知的网络钓鱼站点、间谍软件站点、与已知安全漏洞关联的病毒帮凶站点和病毒载体(专为恶意目的而存在的网站)。使用 Submit the Potential Phishing URL to TrendLabs 字段可提交您认为应该添加到 PhishTrap 模式文件中的站点。TrendLabs 会对该站点进行评估,并可将站点添加到此文件中(如果此类操作已经过授权)。
-
单击 Notification 选项卡以查看当尝试访问阻塞的站点时将出现在浏览器中的默认消息文本。联机帮助显示了一个示例。突出显示并重新定义它以自定义默认消息。
-
完成后单击 Save 以更新配置。
URL 过滤
此处有两个重要部分要进行讨论。
-
在前面所述的 URL Blocking 窗口中定义的 URL 要么始终被允许,要么始终被禁止。但是,通过 URL 过滤功能可以按类别过滤 URL,您可以将 URL 安排为在特定时间(定义为业余时间)内允许访问,而在工作时间内禁止访问。
注意:此功能需要Plus许可证。
以下是六个 URL 过滤类别:
-
公司禁止
-
非工作相关
-
研究主题
-
业务职能
-
用户定义
-
其他
-
默认情况下,在工作时间和业余时间内都将阻塞公司禁止的站点。
过滤设置
要配置 URL 过滤功能,请完成以下步骤:
-
在 ASDM 中选择 Configuration > Trend Micro Content Security > Web 并单击 Configure URL Filtering Settings 以显示 URL Filtering Settings 窗口。
-
在 URL Categories 选项卡中,查看列出的子类别和分配给每个类别的默认分类以查看分配是否适合您所在的组织。例如,Illegal Drugs 属于公司禁止类别的子类别。如果您所在的组织是金融服务公司,您可能希望将此类别保留分类为公司禁止的类别。选中 Illegal Drugs 复选框以对与非法药物相关的站点启用过滤。但是,如果您所在的组织是执法机构,则应将 Illegal Drugs 子类别重新分类到业务职能类别。有关重新分类的详细信息,请参阅联机帮助。
-
在查看并改进子类别分类后,请选中关联的子类别以启用您希望对其执行过滤的所有子类别。
-
如果在一些已启用的子类别中存在您不希望过滤的站点,请单击 URL Filtering Exceptions 选项卡。
-
在 Match 字段中键入您要从过滤中排除的 URL。您可以指定确切的网站名称、URL 关键字和字符串。
-
单击每个条目后的 Add 以将该 URL 移到 Do Not Filter the Following Sites 列表。条目将保持为例外条目,直到您将其删除。
注:您还可以导入例外列表。导入的文件必须采用特定格式。有关说明,请参阅联机帮助。
-
单击 Schedule 选项卡以定义应视为工作时间的每周天数和每天的小时数。未指定为工作时间的时间被自动指定为业余时间。
-
单击 Save 以更新 URL 过滤配置。
-
单击 Reclassify URL 选项卡以将可疑 URL 提交给 TrendLabs 进行评估。
过滤规则
为您的组织将 URL 子类别分配到正确的类别、定义例外(如果有)并创建工作和业余时间表后,请分配用来确定何时过滤某个类别的过滤规则。
要分配 URL 过滤规则,请完成以下步骤:
-
在 ASDM 中选择 Configuration > Trend Micro Content Security > Web 并单击 Configure URL Filtering Rules 链接以显示 URL Filtering Rules 窗口。
-
对于六个主要类别中的每一个,请指定是否阻塞该类别中的 URL,如果阻塞,请指定是在工作时间还是在业余时间阻塞,还是在所有时间都阻塞。有关详细信息,请参阅联机帮助。
-
单击 Save 以更新配置。
注意:要使URL过滤正常工作,CSC-SSM模块必须能够向Trend Micro服务发送HTTP请求。如果需要 HTTP 代理,请选择 Update > Proxy Settings 以配置代理设置。URL 过滤组件不支持 SOCKS4 代理。
FTP 配置
Trend Micro FTP 配置
安装后,默认情况下将对您的 FTP 数据流进行病毒、蠕虫和特洛伊木马扫描。对于间谍软件和其他灰色软件等恶意软件,则需要先更改配置,然后才能检测到它们。
文件传输的文件传输 (FTP) 扫描 - 已启用,并使用 All Scannable Files 作为扫描方法。
完成 HTTP Traffic 的 File Blocking 页中指定的步骤。
完成 HTTP Traffic 的 File Blocking 页中指定的步骤。
验证
使用本部分可确认配置能否正常运行。
命令输出解释程序(仅限注册用户)(OIT) 支持某些 show 命令。虽然 OIT 可用来查看某些 show 命令输出的分析,但这些 show 命令当前不与此工具兼容。
-
show module - 可检查 SSM 的状态,例如:
ciscoasa#show module Mod Card Type Model Serial No. --- -------------------------------------------- ------------------ ----------- 0 ASA 5520 Adaptive Security Appliance ASA5520 JMX090000B7 1 ASA 5500 Series Security Services Module-20 ASA-SSM-20 JAF10333331 Mod MAC Address Range Hw Version Fw Version Sw Version --- --------------------------------- ------------ ------------ --------------- 0 0014.c482.5151 to 0014.c482.5155 1.1 1.0(10)0 8.0(2) 1 000b.fcf8.012c to 000b.fcf8.012c 1.0 1.0(10)0 Trend Micro InterScan Security Module Version 6.0 Mod SSM Application Name Status SSM Application Version --- ------------------------------ ---------------- -------------------------- 1 Trend Micro InterScan Security Up Version 6.0 Mod Status Data Plane Status Compatibility --- ------------------ --------------------- ------------- 0 Up Sys Not Applicable 1 Up Up
-
show module 1 details - 使用 details 关键字可查看 SSM 的附加信息,例如:
ciscoasa#show module 1 details Getting details from the Service Module, please wait... ASA 5500 Series Security Services Module-20 Model: ASA-SSM-20 Hardware version: 1.0 Serial Number: JAF10333331 Firmware version: 1.0(10)0 Software version: Trend Micro InterScan Security Module Version 6.0 App. name: Trend Micro InterScan Security Module App. version: Version 6.0 Data plane Status: Up Status: Up HTTP Service: Up Mail Service: Up FTP Service: Up Activated: Yes Mgmt IP addr: 172.30.21.235 Mgmt web port: 8443
-
show module slot_num recover - 确定 SSM 是否存在恢复配置。如果 SSM 的恢复配置存在,则 ASA 将显示它。例如:
ciscoasa#show module 1 recover Module 1 recover parameters. . . Boot Recovery Image: Yes Image URL: tftp://10.21.18.1/ids-oldimg Port IP Address: 172.30.21.10 Port Mask: 255.255.255.0 Gateway IP Address: 172.30.21.254
有关如何验证 Trend Micro InterScan for Cisco CSC-SSM 是否正确运行的详细信息,请参阅验证初始设置。
故障排除
本部分提供的信息可用于对配置进行故障排除。有关如何排除 CSC-SSM 上更多故障的详细信息,请参阅 Trend Micro InterScan for Cisco CSC SSM 故障排除。
互联网访问
问题
CSC无法通过ASA管理接口访问Internet,或CSC无法通过Internet从Trend服务器获取更新。。
解决方案
管理接口使用 management-only 命令对其进行配置并使其仅接受去往或来自 ASA 而不是通过 ASA 的数据流。因此请删除 management-only 命令和用于 management-to-outside 数据流的 NAT 语句,然后允许 CSC 通过 Internet 进行更新。
不检测垃圾邮件
问题
CSC 无法检测垃圾邮件。
解决方案
您必须启用反垃圾邮件选项,默认情况下未启用该选项。必须安装加强版许可证,并且 DNS 设置必须正确才能使基于网络的反垃圾邮件 Email Reputation 功能正常运行。有关详细信息,请参阅启用 SMTP 和 POP3 垃圾邮件过滤。
许可证违规错误
问题
CSC 模块显示许可证违规错误并报告比网络中的主机更多的主机。CSC 模块中将显示 License violation has been detected on the InterScan for CSC SSM 错误。如何才能解决此错误?
解决方案
将除外部 WAN(安全等级为 0)以外的所有接口移到更高的安全等级。
性能问题
问题
传入 SMTP 数据流的速度变得非常慢。内部邮件服务器有时候需要两三分钟才能获得来自服务器的响应。
解决方案
可能是由于无序数据包而导致数据流缓慢。请尝试本示例,它能解决此问题。
!--- Creates a new tcp map and allows for 100 out of order packets tcp-map localmap queue-limit 100 !--- This is the class that defines traffic to sent to the csc-module. The name you use can be different. Sets the localmap parameters to flow matching the class map. policy-map global_policy class csc-class set connection advanced-options localmap
问题
HTTP扫描不起作用并显示以下错误:
Error: Failed to rate URL, rc=-723
解决方案
当CSC-SSM无法联系Trend Micro服务器时,会生成此错误消息。当网络中存在延迟或CSC-SSM太忙而无法处理连接请求时,可能会发生这种情况。CSC-SSM-10上的最大同时连接数约为500。在这种情况下,在指定时间段内,连接数可能已超过最大限制。有关连接限制的详细信息,请参阅Cisco ASA 5500系列内容安全和控制安全服务模块中的表2。
对此,可能的解决方法是限制同时连接。有关详细信息,请参阅限制通过CSC SSM的连接。
电子邮件问题
问题
如果需要,不能从邮件中删除电子邮件中的免责声明,也不能在电子邮件免责声明中更改字体。为什么会发生这种情况?
解决方案
无法从CSC-SSM上的某些传出电子邮件中删除免责声明。此外,由于CSC-SSM不支持免责声明的字体,因此无法更改该字体。
流量问题
问题
您无法阻止流量从ASA发送到CSC-SSM。如何解决此问题?
解决方案
为了阻止流量从CSC-SSM发送到ASA,管理员必须使用no service-policy命令从接口删除服务策略:
hostname(config-pmap-c)#no service-policy policy_map_name [global | interface interface_ID]
灰色软件模式更新问题
问题
此错误消息记录在CSC模块上。
灰色软件模式:模式更新:无法获取模式信息。模式更新:ActiveUpdate的下载文件不成功,无法解压缩下载的修补程序包。zip文件可能已损坏。这可能是由于网络连接不稳定造成的。请尝试再次下载文件……错误代码为24。
防病毒模式:模式更新:ActiveUpdate的下载文件不成功,无法解压缩下载的修补程序包。zip文件可能已损坏。这可能是由于网络连接不稳定造成的。请尝试再次下载文件……错误代码为24。
如何解决此错误消息?
解决方案
此问题与Cisco Bug ID CSCtc37947(仅注册客户)和Cisco Bug ID CSCsk10777(仅注册客户)有关。 重新拔插CSC-SSM或将代码升级到6.2.x以解决此问题。此外,删除为CSC根帐户上的自动更新创建的临时文件也可以解决此问题。重新拔插CSC-SSM或升级代码后,请重新启动服务。
HTTPS流量问题
问题
您无法通过CSC-SSM阻止HTTPS流量。如何阻止HTTPS流量?
解决方案
CSC-SSM无法阻止HTTPS流量,因为由于其上的SSL加密,它无法对数据包进行深度检查。
无法绕过来自CSC检查的流量
如果将有关网络范围的deny语句添加到用于匹配流量传递到模块的ACL,则可以绕过CSC检查的流量。
无法记录通过CSC-SSM的所有HTTP流量
CSC无法记录所有流量,但只显示阻止/过滤尝试的信息。
升级CSC时出错
[ERR-PAT-0002]更新系统无法解压缩更新文件,并且无法继续。此消息仅用于诊断目的。客户 — 升级CSC时,将显示“Contact Technical Support(联系技术支持)”错误消息。当使用.bin文件而非。pkg文件时,会看到此错误消息。使用.pkg文件时不会出现问题。
CSC自动更新签名时出错
问题:
当CSC执行自动更新时,它收到此消息。
已成功下载并安装反垃圾邮件模式17462。无法复制文件.必须手动将文件/opt/trend/isvw/temp/AU/piranhacache/*复制到路径/opt/trend/isvw/lib/mail/cache。
解决方案:
这是CSC Trendmicro代码已知的错误。已针对此和完整详细信息归档了Bug。请参阅Cisco Bug ID CSCtc37947(仅限注册客户)。 将CSC升级到6.3.1172(2)或更高版本以解决问题。
CSC模块无法显示系统日志
问题:
升级到6.3.1172.4后,CSC模块上的LogServer服务可能会失败,管理员会收到以下电子邮件通知:LogServer最近在InterScan for CSC SSM上停止。请联系客户支持寻求帮助。
解决方案:
解决方法有两种:
-
安装工程构建修复。
-
将设备重新映像到旧版本。
有关此过程的完整信息,请参阅重新映像CSC-SSM。
有关详细信息,请参阅Cisco Bug ID CSCtl21378(仅限注册客户)。
CSC日志服务器进入无限循环并突然停止
问题:
CSC模块的日志服务器会陷入一个无限循环,突然停止。
解决方案:
此问题是由Cisco Bug ID CSCtl21378引起的。有关详细信息,请参阅CSCtl21378(仅注册客户)。
故障排除命令
命令输出解释程序(仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。
有关如何排除 CSC-SSM 的各种问题的详细信息,请参阅 Trend Micro InterScan for Cisco CSC-SSM 故障排除。
注意:在使用debug命令之前,请参阅有关Debug命令的重要信息。
-
debug module-boot - 显示有关 SSM 启动进程的调试消息。
-
hw-module module 1 shutdown - 关闭 SSM
-
hw-module module 1 reset - 重置 SSM
注意:%ASA-3-421001:跳过从内部:172.22.50.112/1718到外部:XX.XX.XX.XX/80的TCP流,因为内容安全和控制卡失败消息是当CSC模块完全无响应时显示的日志消息。
注意:使用此命令可重置模块。
ASA#hw-module module 1 reset The module in slot 1 should be shut down before resetting it or loss of configuration may occur. Reset module in slot 1? [confirm] (Confirm it at this point by 'return'.)
有关此命令的详细信息,请参阅命令参考指南。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
18-Oct-2007 |
初始版本 |
反馈