SSL、ips、NGFW等
。这些设备可以检查实时流量,并且通常以第 2 层内联模式部署。SSL设备在访问 Internet 上的资源时为用户和企业网络提供安全性。
SSL,对,对,对,对。【中文译文】
“”“”“”“”“”“”“”
检查加密流量:“”“”“”“”“”“”“”“”【中文译文】这种集成增强了客户的网络安全性。
http://www.tls / ssl http://www.tls / ssl http://www.tls / sslTLS / SSL处理费用昂贵,如果IPS或NGFW设备也解密流量,可能会导致CPU利用率高。SSL /SSL。因此,内联设备可以检查更高的流量。
负载平衡内联设备:如果您配置了多个内联设备来管理大量流量,则SSL转发代理设备可以平衡负载并均匀地将流量分配到这些设备。
智能流量选择:设备不是将所有流量发送到内联设备进行检查,而是智能选择流量。例如,它跳过向内联设备发送要检查的文本文件。
2 . SSL
(1)高清源,高清源。
【中文译文】:
SSL。
设备将数据发送到内联设备,以便根据策略评估进行内容检查。【翻译】:对,对,对,对。
注意
如果有两个或多个内联设备,则设备负载平衡设备并发送流量。
- http://www.getty images http://getty images http://getty images
- 内联设备检查数据是否存在威胁,并决定是删除、重置或将数据发回设备。
- 如果存在安全威胁,设备将修改数据并将其发送到设备。
- 【翻译】:
- 后端服务器将响应发送到设备。
- 设备再次解密数据并将其发送到内联设备进行检查。
- 内联设备检查数据。如果存在安全威胁,设备将修改数据并将其发送到设备。
- 设备会重新加密数据并将响应发送到客户端。
配置内联设备集成
【中文译文】
方案 1:使用单个内联设备
要在内联模式下集成安全设备(IPS或NGFW),必须在SSL转发代理设备上以全局模式启用内容检查和基于MAC的转发(MBF)。然后,添加内容检查配置文件,TCP服务,内联设备的内容检查操作,以便根据检查重置,阻止或删除流量。此外,还添加内容检查策略,设备用于决定要发送到内联设备的流量子集。最后,配置在服务器上启用了 2 层连接的代理虚拟服务器,并将内容检查策略绑定到此代理虚拟服务器。
执行以下步骤:
- (强积金)
- 启用内容检查功能。
- 为服务添加内容检查配置文件。内容检查配置文件包含将 SSL 转发代理设备与内联设备集成的内联设备设置。
【中文译文】
注意解析:IP。因此,要执行运行状况检查,必须显式绑定监视器。
- 添加服务。服务表示内联设备。
- 【中文翻译】
- 为服务添加内容检查操作。
- 添加内容检查策略并指定操作。
- 徽标:HTTP、HTTPS。
- 将内容检查策略绑定到虚拟服务器。
【中文译文
在命令提示符处键入以下命令。在大多数命令之后给出了示例。
- mbf。
使能ns mode MBF
- 启用功能。
启用ns feature contentInspection
- 添加内容检查配置文件。
add contentInspection profile
示例:
添加内容巡检配置文件ipsprof -type InlineInspection -ingressinterface " 1/2 " -egressInterface " 1/3 "
- 齐格:齐格:齐格,齐格:齐格,齐格,齐格,齐格,齐格,齐格,齐格,齐格,齐格,齐格,齐格,齐格。将
使用源IP地址
(美国之音)设置useproxyport
为否。默认情况下,运行状况监视为开,将服务绑定到运行状况监视器,并将监视器中的透明选项设置为开。
add service
示例:
添加服务ips_service 198.51.100.2 TCP * -healthMonitor YES -usip YES -useproxyport NO -contentInspectionProfileName ipsprof . conf
添加运行状况监视器。默认情况下,运行状况监视器处于打开状态,您还可以选择将其禁用(如有必要)。在命令提示符下,键入:
add lb monitor
TCP -destIP -destPort 80 -transparent
示例:
添加lb monitor ips_tcp TCP -destIP 192.168.10.2 -destPort 80 -transparent YES
- 将服务绑定到运行状况监视器
配置运行状况监视器后,必须将服务绑定到运行状况监视器。在命令提示符下,键入:
bind service
示例:
bind service ips_svc -monitorName ips_tcp
- 添加内容检查操作。
add contentInspection action
示例:
add contentInspection action ips_action -type INLINEINSPECTION -serverName ips_service
- 添加内容检查策略。
add contentInspection policy
示例:
添加内容检测策略ips_pol -rule "HTTP.REQ.METHOD.NE(\"CONNECT\")"动作片ips_action
- 添加代理虚拟服务器。
add cs vserver
注意英文名称:http://mail.cn/ http://mail.cn/
示例:
add cs vserver transparentcs PROXY * * -cltTimeout 180 -Listenpolicy exp1 -authn401 on -authnVsName swg-auth-vs-trans-http -l2Conn on
- 将策略绑定到虚拟服务器。
bind cs vserver
示例:
bind cs vserver explicit -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
【中文】
导航到System(气缸)> Settings(气缸)。在“模式和功能“喔,喔!”配置模式”。
导航到System(气缸)> Settings(气缸)。在“模式和功能“喔,喔!”配置高级功能”。
导航到安全Web网关>。单击添加。
导航到负载平衡 > 服务 > 添加并添加服务。在高级设置中,单击配置文件。在词列表中,选择之前创建的内容检查配置文件。在“"“嗯,哈哈。”★★★★★★★★“呃”,“呃”,“呃”。使用代理端口", ", "。在““”“”【翻译状况监视", ", "。笨笨,笨笨,笨笨,笨笨。“笨笨”,“笨笨”,“笨笨”
导航到安全Web网关>。ip tectec。在“高级设置“我,我,我!”策略”。“+”。
在“选择策略“我,我,我!”内容检查”。单击继续。
单击添加。指定名称。在“操“中文,中文”添加”。
指定名称。在“类型“喔,喔,喔!线检查”。在“服务器名称【翻译】
单击创建。指定规则,然后单击创建。
单击绑定(绑定)。
单击完成。
场景 2:具有专用接口的多个内联设备负载平衡
如果您使用的是两个或多个内联设备,则可以使用具有专用接口的不同内容检测服务对设备进行负载平衡。【翻译】:http://www.tingclass.cn/tingclass.cn/cn/】子集是根据配置的策略决定的。【中文译文】
基本配置与场景 1 保持相同。但是,您必须为每个内联设备创建内容检查配置文件,并在每个配置文件中指定入口和导出界面。为每个内联设备添加服务。添加负载平衡虚拟服务器并在内容检查操作中指定该服务器。执行以下额外步骤:
- 为每个服务添加内容检查配置文件。
- 为每个设备添加服务。
- 添加负载平衡虚拟服务器。
- 在内容检查操作中指定负载平衡虚拟服务器。
【中文译文
在命令提示符处键入以下命令。每个命令之后都会给出示例。
- mbf。
使能ns mode MBF
- 启用功能。
启用ns feature contentInspection
- 为服务 1 添加配置文件 1。
add contentInspection profile
示例:
add contentInspection profile ipsprof1 -type InlineInspection -ingressInterface "1/2" -egressInterface "1/3"
- 为服务 2 添加配置文件 2。
add contentInspection profile
示例:
add contentInspection profile ipsprof2 -type InlineInspection -ingressInterface "1/4" -egressInterface "1/5"
- 整整一个月,整整一个月,整整一个月,整整一个月,整整一个月,整整一个月。将
使用源IP地址
(美国之音)设置useproxyport
为否。笨笨,笨笨
add service
示例:
添加服务ips_service1 192.168.10.2 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof1
- 2 .齐齐、齐齐、齐齐、齐齐、齐齐、齐齐、齐齐、齐齐、齐齐。将
使用源IP地址
(美国之音)设置useproxyport
为否。在设置透明选项的情况下打开运行状况监控。
add service
示例:
添加服务ips_service2 192.168.10.3 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof2
- 添加负载平衡虚拟服务器。
add lb vserver
示例:
添加lb vserver lb_inline_vserver TCP 192.0.2.100 *
- 将服务绑定到负载平衡虚拟服务器。
bind lb vserver
bind lb vserver
示例:
绑定lb vserver lb_inline_vserver ips_service1
绑定lb vserver lb_inline_vserver ips_service2
- 在内容检查操作中指定负载平衡虚拟服务器。
add contentInspection action
示例:
add contentInspection action ips_action -type INLINEINSPECTION -serverName lb_inline_vserver
- 添加内容检查策略。在策略中指定内容检查操作。
add contentInspection policy
示例:
添加内容检测策略ips_pol -rule "HTTP.REQ.METHOD.NE(\"CONNECT\")"动作片ips_action
- 添加代理虚拟服务器。
add cs vserver
示例:
添加cs vserver透明代理* * -l2Conn ON
- 将内容检查策略绑定到虚拟服务器。
bind cs vserver
示例:
bind cs vserver explicit -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
【中文】
导航到System(气缸)> Settings(气缸)。在“模式和功能“喔,喔!”配置模式”。
导航到System(气缸)> Settings(气缸)。在“模式和功能“喔,喔!”配置高级功能”。
导航到安全Web网关>。单击添加。
指定入口和导出接口。
创建两个配置文件。在第二个配置文件中指定不同的入口和导出界面。
导航到负载平衡 > 服务 > 添加并添加服务。在高级设置中,单击配置文件。在词列表中,选择之前创建的内容检查配置文件。在“"“嗯,哈哈。”★★★★★★★★“呃”,“呃”,“呃”。使用代理端口", ", "。在““”“”【翻译状况监视", ", "。笨笨,笨笨,笨笨,笨笨。“笨笨”,“笨笨”,“笨笨”
【中文翻译】:齐泽润、齐泽润、齐泽润、齐泽润、齐泽润。
导航到负载平衡 > 虚拟服务器 > 添加。例如:
单击好吧(确定)。
在负载平衡虚拟服务器服务绑定部分内单击。在“服务绑定“喔,喔!”选择服务“好。”选择之前创建的两个服务,然后单击“选择”。单击绑定(绑定)。
导航到安全Web网关>。ip tectec。在“高级设置“我,我,我!”策略”。“+”。
在“选择策略“我,我,我!”内容检查”。单击继续。
单击添加。指定名称。在“操“中文,中文”添加”。
指定名称。在“类型“喔,喔,喔!线检查”。在“服务器名称“、”、“”、“”、“”、“”。
单击创建。指定规则,然后单击创建。
单击绑定(绑定)。
单击完成。
场景 3:具有共享接口的多个内联设备负载平衡
如果您使用的是两个或多个内联设备,则可以使用具有共享接口的不同内容检查服务对设备进行负载平衡。【中文翻译】:http://www.tingclass.cn/tingclass.cn/tingclass.cn/cn/】子集是根据配置的策略决定的。【中文译文】
基本配置与场景 2 保持相同。在这种情况下,请将接口绑定到不同的 VLAN,以便为每个内嵌设备分离流量。在内容检查配置文件中指定 VLAN。执行以下额外步骤:
★★★★★★★★
这句话的意思是:
【中文译文
在命令提示符处键入以下命令。每个命令之后都会给出示例。
- mbf。
使能ns mode MBF
- 启用功能。
启用ns feature contentInspection
★★★★★★★★
绑定vlan
-ifnum -tagged
示例:
绑定vlan 100 -ifnum 1/2 tagged绑定vlan 200 -ifnum 1/3 tagged绑定vlan 300 -ifnum 1/2 tagged绑定vlan 400 -ifnum 1/3 tagged
- 为服务 1 添加配置文件 1。在配置文件中指定入站和出站 VLAN。
add contentInspection profile
示例:
add contentInspection profile ipsprof1 -type InlineInspection -egressInterface " 1/3 " -ingressinterface " 1/2 " -egressVlan 100 -ingressVlan 300 .使用实例
- 为服务 2 添加配置文件 2。在配置文件中指定入站和出站 VLAN。
add contentInspection profile
示例:
add contentInspection profile ipsprof2 -type InlineInspection -egressInterface " 1/3 " -ingressinterface " 1/2 " -egressVlan 200 -ingressVlan 400 .使用实例
- 添加服务 1。
add service
示例:
添加服务ips_service1 192.168.10.2 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof1
- 添加服务 2。
add service
示例:
添加服务ips_service2 192.168.10.3 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof2
- 添加负载平衡虚拟服务器。
add lb vserver
示例:
添加lb vserver lb_inline_vserver TCP 192.0.2.100 *
- 将服务绑定到负载平衡虚拟服务器。
bind lb vserver
bind lb vserver
示例:
绑定lb vserver lb_inline_vserver ips_service1
绑定lb vserver lb_inline_vserver ips_service2
- 在内容检查操作中指定负载平衡虚拟服务器。
add contentInspection action
示例:
add contentInspection action ips_action -type INLINEINSPECTION -serverName lb_inline_vserver
- 添加内容检查策略。在策略中指定内容检查操作。
add contentInspection policy
示例:
添加内容检测策略ips_pol -rule "HTTP.REQ.METHOD.NE(\"CONNECT\")"动作片ips_action
- 添加代理虚拟服务器。
add cs vserver
示例:
添加cs vserver透明代理* * -l2Conn ON
- 将内容检查策略绑定到虚拟服务器。
bind cs vserver
示例:
bind cs vserver explicit -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
【中文】
导航到System(气缸)> Settings(气缸)。在“模式和功能“喔,喔!”配置模式”。
导航到System(气缸)> Settings(气缸)。在“模式和功能“喔,喔!”配置高级功能”。
导航到★★★★★★★★★★★。“”“”“”
导航到安全Web网关>。单击添加。
vlan。
创建另一个配置文件。在第二个配置文件中指定不同的入口和导出 VLAN。
导航到负载平衡 > 服务 > 添加并添加服务。在高级设置中,单击配置文件。在词列表中,选择之前创建的内容检查配置文件。在“"“嗯,哈哈。”★★★★★★★★“呃”,“呃”,“呃”。使用代理端口", ", "。在““”“”【翻译状况监视", ", "。
【中文翻译】:齐泽润、齐泽润、齐泽润、齐泽润、齐泽润。在服务 1 中指定配置文件 1,在服务 2 中指定配置文件 2。
导航到负载平衡 > 虚拟服务器 > 添加。例如:
- 单击好吧(确定)。
在负载平衡虚拟服务器服务绑定部分内单击。在“服务绑定“喔,喔!”选择服务“好。”选择之前创建的两个服务,然后单击“选择”。单击绑定(绑定)。
导航到安全Web网关>。ip tectec。在“高级设置“我,我,我!”策略”。“+”。
在“选择策略“我,我,我!”内容检查”。单击继续。
单击添加。指定名称。在“操“中文,中文”添加”。
指定名称。在“类型“喔,喔,喔!线检查”。在“服务器名称“、”、“”、“”、“”、“”。
单击创建。指定规则,然后单击创建。
- 单击绑定(绑定)。
- 单击完成。