Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment concevoir l'appareil de sécurité Web Cisco (WSA) et les composants associés pour des performances optimales.
Lorsque vous concevez une solution pour le WSA, elle nécessite une attention particulière, non seulement en ce qui concerne la configuration de l'appliance elle-même, mais aussi les périphériques réseau associés et leurs fonctionnalités. Chaque réseau est une collaboration de plusieurs périphériques. Si l'un d'eux ne participe pas correctement au réseau, l'expérience utilisateur peut alors diminuer.
Deux composants principaux doivent être pris en compte lors de la configuration du WSA : le matériel et le logiciel. Le matériel se décline en deux types différents. Le premier est le type physique de matériel, tels que les modèles des séries S170, S380 et S680, ainsi que d'autres modèles de fin de vie (EoL), tels que les modèles des séries S160, S360, S660, S370 et S670. L'autre type de matériel est virtuel, par exemple les modèles des gammes S000v, S100v et S300v. Le système d'exploitation (OS) qui s'exécute sur ce matériel s'appelle AsyncOS pour Web, qui est basé sur FreeBSD à son coeur.
Le WSA offre un service proxy et analyse, inspecte et classe l'ensemble du trafic (HTTP, HTTPS et FTP). Tous ces protocoles s’exécutent au-dessus du protocole TCP et dépendent fortement du système de noms de domaine (DNS) pour fonctionner correctement. Pour ces raisons, l'intégrité du réseau est essentielle au bon fonctionnement de l'appareil et à sa communication avec différentes parties du réseau, à l'intérieur et à l'extérieur du contrôle de l'entreprise.
Utilisez les informations décrites dans cette section afin de concevoir le WSA et les composants associés pour des performances optimales.
Un réseau rapide et sans erreur est essentiel au bon fonctionnement du WSA. Si le réseau est instable, l'expérience utilisateur peut diminuer. Les problèmes réseau sont généralement détectés lorsque les pages Web prennent plus de temps à atteindre ou sont inaccessibles. L'inclinaison initiale est la faute de l'appareil, mais c'est généralement le réseau qui se comporte mal. Par conséquent, il convient d'examiner et d'auditer attentivement le réseau afin de s'assurer qu'il offre le meilleur service pour les protocoles d'application de haut niveau tels que HTTP, HTTPS, FTP et DNS.
Voici quelques considérations générales que vous pouvez mettre en oeuvre afin de garantir le meilleur comportement du réseau :
Note: La séparation des tables de routage n’est pas par interface, mais par service. Par exemple, le trafic entre le WSA et le contrôleur de domaine Microsoft Active Directory (AD) obéit toujours aux routes spécifiées dans la table de routage de gestion, et il est possible de configurer des routes qui pointent vers l'interface P1/P2 dans cette table. Il n’est pas possible d’inclure des routes dans la table de routage de données qui utilisent les interfaces de gestion.
Voici quelques considérations d'équilibrage de charge que vous pouvez mettre en oeuvre afin d'assurer le meilleur comportement du réseau :
Voici quelques considérations de pare-feu que vous pouvez mettre en oeuvre afin d'assurer le meilleur comportement du réseau :
N'oubliez pas que le principe logique AND s'applique à toutes les composantes de l'identité. Par exemple, si vous configurez à la fois l'agent utilisateur et l'adresse IP, cela signifie l'agent utilisateur à partir de cette adresse IP. Cela ne signifie pas l'agent utilisateur ni cette adresse IP.
Utilisez une identité pour l'authentification du même type de substitution (ou pas de substitution) et/ou de l'agent utilisateur.
Il est important de s'assurer que chaque identité nécessitant une authentification inclut les chaînes d'agent utilisateur pour les navigateurs/agents utilisateur connus qui prennent en charge l'authentification par proxy, tels qu'Internet Explorer, Mozilla Firefox et Google Chrome. Certaines applications nécessitent un accès Internet mais ne prennent pas en charge l'authentification par proxy/WWW.
Les identités sont associées de haut en bas avec la recherche de correspondances qui se termine sur la première entrée correspondante. Pour cette raison, si vous avez configuré Identité 1 et Identité 2 et qu'une transaction correspond à Identité 1, elle n'est pas cochée sur Identité 2.
Ces stratégies sont appliquées à différents types de trafic :
Pour chaque type de politique, il est important de se rappeler que le principe OR logique s'applique. Si plusieurs identités sont référencées, la transaction doit correspondre à l'une des identités configurées.
Pour un contrôle plus précis, utilisez ces stratégies. Les identités mal configurées par stratégie peuvent créer des problèmes, où il est plus avantageux d'utiliser plusieurs identités référencées dans une stratégie. N'oubliez pas que les identités n'affectent pas le trafic, elles identifient simplement les types de trafic pour les correspondances ultérieures dans une stratégie.
Souvent, les stratégies de déchiffrement utilisent des identités avec authentification. Bien que cela ne soit pas faux et soit parfois nécessaire, l'utilisation d'une identité avec authentification référencée dans la stratégie de déchiffrement signifie que toutes les transactions qui correspondent à la stratégie de déchiffrement sont déchiffrées afin que l'authentification ait lieu. L'action de déchiffrement peut être abandonnée ou transmise, mais comme il y a une identité avec authentification, le déchiffrement a lieu afin d'abandonner ou de passer par le trafic ultérieurement. C'est coûteux et il faut éviter cela.
Certaines configurations contiennent 30 identités ou plus et 30 stratégies Access ou plus, où toutes les stratégies Access incluent toutes les identités. Dans ce cas, il n'est pas nécessaire d'utiliser ces nombreuses identités si elles sont associées dans toutes les politiques d'accès. Bien que cela ne nuise pas au fonctionnement de l'appareil, cela crée de la confusion avec les tentatives de dépannage et coûte cher en termes de performances.
L'utilisation de catégories d'URL personnalisées est un outil puissant sur le WSA qui est généralement mal compris et mal utilisé. Par exemple, il existe des configurations qui contiennent tous les sites vidéo pour les correspondances dans l'identité. Le WSA dispose d'un outil intégré qui se met automatiquement à jour lorsque les sites vidéo changent d'URL, ce qui se produit fréquemment. Ainsi, il est logique de permettre au WSA de gérer automatiquement les catégories d'URL et d'utiliser les catégories d'URL personnalisées pour les sites spéciaux non encore classés.
Faites très attention avec les expressions régulières. Si des caractères spéciaux tels que dot (.) et star (*) sont utilisés, ils peuvent s'avérer très importants en termes de CPU et de mémoire. Le WSA étend toute expression régulière pour la faire correspondre à chaque transaction. Par exemple, voici une expression régulière :
example.*
Cette expression correspond à toute URL qui contient le mot exemple, pas seulement le domaine exemple.com. Évitez l'utilisation de point et étoile dans les expressions régulières et utilisez-les uniquement en dernier recours.
Voici un autre exemple d'expression régulière qui pourrait créer des problèmes :
www.example.com
Si vous utilisez cet exemple dans le champ Expressions régulières, il ne correspond pas seulement à www.example.com, mais aussi à www.www3example2com.com, car le point ici signifie n'importe quel caractère. Si vous souhaitez faire correspondre uniquement www.example.com, évitez le point :
www\.example\.com
Dans ce cas, il n'y a aucune raison d'utiliser la fonction Expressions régulières lorsque vous pouvez inclure ceci dans le domaine de catégorie d'URL personnalisé avec ce format :
www.example.com
Si plusieurs moteurs d'analyse sont activés, envisagez également d'activer l'analyse adaptative. L'analyse adaptative est un moteur puissant mais de petite taille sur le WSA qui analyse chaque requête au préalable et détermine le moteur complet qui doit être utilisé pour analyser les requêtes. Cela augmente légèrement les performances sur le WSA.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
09-Apr-2015 |
Première publication |