WSA

WSA

Scroll Down

一、网页防护

如今企业不仅仅对外提供应用服务,同时也需要为公司员工,提供上网服务。企业提供的网络访问服务在提供巨大回报的同时也带来了极高风险。为员工提供网络访问服务会引发的四个重要风险是:员工生产效率、带宽消耗、恶意软件威胁、员工访问违规内容带来的法律风险。

互联网上由用户创建的内容十分多而杂,由大量主机因为不能及时注意到安全更新要求或者缺乏安全配置,而在互联网上分发恶意内容或者危险内容,这使得企业员工访问互联网成了一项高风险的操作之一。互联网具有动态的特点,因此很难实时洞察整个互联网的威胁情况。感染病毒的计算机或者恶意攻击者会不断扫描互联网,搜索它们能够感染的网络服务器,以便不断传播病毒,通过挖矿、窃取重要数据、恶意破坏数据为目的。这对企业来说是高风险的,企业需要获取抵御这种威胁的能力。

二、思科WSA

1、安全解决方案组件

思科推出WSA(Web Security Application),2021年更名为Secure Web Application。WSA具备三个重要功能,分别是跟踪用户生产效率(上班时间不能访问非工作相关网站)、减少用户资源消耗(有效控制除工作流量外其他流量的产生)、维护用户法律责任(非法网页无法查看)。

WSA是业界唯一将传统的URL过滤网站信誉过滤恶意软件防护功能集中到单一平台来进行威胁防御的web安全设备。借助于思科Talos安全情报中心的安全服务和AMP高级恶意防护技术,WSA能够帮助企业在上网行为管理、预防数据泄露和恶意代码防护方面进行全面的防护。

上述中讲的网站信誉过滤在WSA中被称为Web Reputation Filters,在NGFW中又叫做智能安全过滤,其本质就是对网站进行评分,低评分的网站则直接进行过滤。

1)认证

不管是显示模式代理还是透明模式代理,WSA支持用户通过身份认证引擎认证后,才能进行流量重定向,否则不予其访问外网的行为。WSA支持联动微软AD域控,思科ISE,LDAP。

2)防护

WSA提供了非常丰富的控制策略:

  • 包括URL过滤:基于类的URL过滤、动态URL过滤
  • 控制策略支持时间段控制:比如控制所有办公室用户,不允许在早上8:00-下午6:00访问诈骗网站拼夕夕,允许访问JD
  • 控制策略支持带宽控制:比如访问JD时,每个用户只允许20kb/s
  • 控制策略支持应用控制:比如只能访问网站,不能访问FTP
  • 控制策略支持数据防护:比如不允许下载PDF,只允许下载AVI
  • 控制策略支持执行恶意软件防护:该防护可选,基于自带引擎库和第三方引擎库(第三方的肯定要购买的)对软件和数据包进行检查、可以结合AMP进行检查和过滤。
  • 控制策略支持对SSL VPN用户执行控制:拨号上来的用户也无法脱离WSA的控制,WSA,会由ASA(思科自适应防火墙)下发代理服务器的地址到SSL VPN终端,ASA会下发第二个功能就是主机扫描,这样就能避免SSL VPN终端自身携带的病毒进入内网,从而横扫内网。

Anyconnect是思科SSL VPN客户端软件

wsa1.png

WSA是一个web代理,能够通过与防火墙、路由器、交换机等思科网络组件协同运行,来监视和控制来自企业内部的网络内容请求。它还考虑过滤返回的流量、抵御恶意内容。

WSA可以代理HTTP、HTTPS、SOCKS、FTP、FTP over HTTP类型的流量,并提供附加保护能力,例如数据丢失防护、移动用户安全、高级可视化及高级控制等能力。

2、SWG魔力象限

wsa5.png

从Gartner魔力象限中可以看到Cisco位于挑战者象限,该象限的厂商相对成熟,具有一定的市场影响力,但是新领域、新市场拓展不足。在SWG产品中,Zscaler是绝对的领导者,国内比较有名的Sangfor和奇安信处于利基者象限,该象限的厂商一般在特定领域、特定市场表现不错或者是一些比较新的企业,但是市场能力和创新能力需要加强。所以在象限中的Sangfor拿出的产品叫做AC(上网行为管理),目前已经升级到了全网行为管理。

三、WSA产品形式

WSA产品形式分为硬件和软件(或者叫它虚拟化产品),其中WSAv是虚拟化产品的统一代号,WSAv可以运行在VMware ESXi、KVM、Hyper-V和思科统一计算系统服务器(Cisco UCS)上运行。

1、硬件WSA

wsa2.png

wsa3.png

2、虚拟化WSAv

wsa4.png

四、WSA部署

WSA是一种转发代理服务器,有两种工作模式:显式代理模式和透明代理模式。显式代理模式可以通过配置PAC(代理自动配置文件)、WPAD(web代理自动发现)、浏览器设置来实现指向WSA代理转发;透明代理模式可以通过配置WCCP(web缓存通信协议)、PBR、负载均衡来实现。两种模式的本质就是将流量导入至WSA,由WSA去代理客户端去访问服务器,在这期间,WSA执行系列访问控制(比如用户认证、带宽控制、应用控制、恶意软件防护、数据防护等)。

wsa6.png

一般推荐使用透明模式,并采用WCCP技术来作为引流协议