La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
In questo documento viene descritto come progettare Cisco Web Security Appliance (WSA) e i componenti associati per prestazioni ottimali.
Quando si progetta una soluzione per WSA, è necessario considerare attentamente non solo la configurazione dell'accessorio, ma anche i dispositivi di rete associati e le relative funzionalità. Ogni rete è una collaborazione tra più dispositivi e se uno di essi non partecipa correttamente alla rete, l'esperienza utente potrebbe non essere più disponibile.
Quando si configura il server WSA è necessario considerare due componenti principali: hardware e software. L'hardware è disponibile in due tipi diversi. La prima riguarda il tipo fisico di hardware, come i modelli delle serie S170, S380 e S680, nonché altri modelli End of Life (EoL), come i modelli delle serie S160, S360, S660, S370 e S670. L'altro tipo di hardware è virtuale, ad esempio i modelli della serie S000v, S100v e S300v. Il sistema operativo in esecuzione su questo hardware è denominato AsyncOS for Web, basato su FreeBSD nel suo nucleo.
WSA offre il servizio proxy e inoltre analizza, controlla e suddivide in categorie tutto il traffico (HTTP, HTTPS e FTP (File Transfer Protocol). Tutti questi protocolli vengono eseguiti su TCP e per il corretto funzionamento si basano in modo significativo sul DNS (Domain Name System). Per questi motivi, lo stato di salute della rete è fondamentale per il corretto funzionamento dell'accessorio e la sua comunicazione con varie parti della rete, sia all'interno che all'esterno del controllo aziendale.
Utilizzare le informazioni descritte in questa sezione per progettare il WSA e i relativi componenti per prestazioni ottimali.
Una rete rapida e priva di errori è fondamentale per il corretto funzionamento del WSA. Se la rete è instabile, l'esperienza utente potrebbe diminuire. I problemi di rete vengono in genere rilevati quando le pagine Web richiedono tempi di connessione più lunghi o non sono raggiungibili. L'inclinazione iniziale è da imputare all'accessorio, ma in genere è la rete a comportarsi in modo errato. Pertanto, è necessario prendere in considerazione e controllare attentamente per garantire che la rete offra il servizio migliore per i protocolli applicativi di alto livello come HTTP, HTTPS, FTP e DNS.
Di seguito sono riportate alcune considerazioni generali che è possibile implementare per garantire il miglior comportamento della rete:
Nota: La separazione delle tabelle di routing non viene effettuata per interfaccia, bensì per servizio. Ad esempio, il traffico tra WSA e il controller di dominio Microsoft Active Directory (AD) rispetta sempre le route specificate nella tabella di routing di gestione ed è possibile configurare le route che puntano all'esterno dell'interfaccia P1/P2 in questa tabella. Non è possibile includere route nella tabella di routing dei dati che utilizzano le interfacce di gestione.
Di seguito sono riportate alcune considerazioni sul bilanciamento del carico che è possibile implementare per garantire il miglior comportamento della rete:
Di seguito sono riportate alcune considerazioni relative al firewall che è possibile implementare per garantire il miglior comportamento della rete:
Ricorda che il principio logico AND si applica a tutte le componenti dell'identità. Ad esempio, se si configurano sia l'agente utente che l'indirizzo IP, l'agente utente verrà identificato da questo indirizzo IP. Non indica l'agente utente o questo indirizzo IP.
Utilizzare un'identità per l'autenticazione dello stesso tipo di surrogato (o non di surrogato) e/o agente utente.
È importante assicurarsi che ogni identità che richiede l'autenticazione includa le stringhe agente utente per i browser/agenti utente noti che supportano l'autenticazione proxy, come Internet Explorer, Mozilla Firefox e Google Chrome. Alcune applicazioni richiedono l'accesso a Internet ma non supportano l'autenticazione proxy/WWW.
Le identità vengono associate dall'alto verso il basso con la ricerca delle corrispondenze che termina con la prima voce corrispondente. Per questo motivo, se sono state configurate le opzioni Identità 1 e Identità 2 e una transazione corrisponde all'identità 1, non viene confrontata con l'identità 2.
Questi criteri vengono applicati a diversi tipi di traffico:
Per ogni tipo di politica, è importante ricordare che si applica il principio logico OR. Se si fa riferimento a più identità, la transazione deve corrispondere a una qualsiasi delle identità configurate.
Per un controllo più granulare, utilizzare questi criteri. La configurazione errata delle identità per criterio può creare problemi, in cui è più vantaggioso utilizzare più identità a cui si fa riferimento in un criterio. Tenere presente che le identità non influiscono sul traffico, ma si limitano a identificare i tipi di traffico per le corrispondenze successive in una regola.
Spesso i criteri di decrittografia utilizzano identità con l'autenticazione. Sebbene ciò non sia errato e talvolta sia necessario, l'utilizzo di un'identità con l'autenticazione a cui viene fatto riferimento nei criteri di decrittografia significa che tutte le transazioni che corrispondono ai criteri di decrittografia vengono decrittografate per consentire l'autenticazione. È possibile che l'azione di decrittografia venga interrotta o passata, ma poiché esiste un'identità con l'autenticazione, la decrittografia viene eseguita per consentire il passaggio o la caduta del traffico in un secondo momento. Questo è costoso e dovrebbe essere evitato.
Sono state osservate alcune configurazioni che contengono 30 o più identità e 30 o più criteri di accesso, in cui tutti i criteri di accesso includono tutte le identità. In questo caso, non è necessario utilizzare queste numerose identità se corrispondono in tutti i criteri di Access. Anche se ciò non danneggia il funzionamento dell'accessorio, crea confusione con i tentativi di risoluzione dei problemi ed è costoso in termini di prestazioni.
L'utilizzo di categorie URL personalizzate è uno strumento potente disponibile sul Web che viene generalmente frainteso e utilizzato in modo improprio. Ad esempio, esistono configurazioni che contengono tutti i siti video per le corrispondenze nell'identità. WSA dispone di uno strumento integrato che si aggiorna automaticamente quando i siti video cambiano gli URL, il che si verifica di frequente. Pertanto, è opportuno consentire all'amministratore di WSA di gestire le categorie URL automaticamente e di utilizzare le categorie URL personalizzate per siti speciali non ancora classificati.
Prestare particolare attenzione alle espressioni regolari. Se si utilizzano caratteri speciali come il punto (.) e la stella (*), è possibile che la CPU e la memoria siano molto estese. WSA espande qualsiasi espressione regolare per farla corrispondere a ciascuna transazione. Di seguito è riportata, ad esempio, un'espressione regolare:
example.*
Questa espressione restituirà qualsiasi URL contenente la parola example, non solo il dominio example.com. Evitare l'uso di punto e stella nelle espressioni regolari e utilizzarle solo come ultima risorsa.
Di seguito è riportato un altro esempio di espressione regolare che potrebbe creare problemi:
www.example.com
Se si utilizza questo esempio nel campo Espressioni regolari, il risultato non sarà solo www.example.com, ma anche www.www3example2com.com, poiché il punto qui indica qualsiasi carattere. Se si desidera trovare solo www.example.com, escape the dot:
www\.example\.com
In questo caso, non è necessario utilizzare la funzionalità Espressioni regolari quando è possibile includerla nel dominio della categoria URL personalizzato con questo formato:
www.example.com
Se è abilitato più di un motore di scansione, considerare anche l'opzione per abilitare la scansione adattiva. La scansione adattiva è un motore potente ma di piccole dimensioni sul WSA che pre-scansiona ogni richiesta e determina il motore completo da utilizzare per analizzare le richieste. Questo aumenta leggermente le prestazioni del WSA.