WSA-加域

WSA-加域

Scroll Down

一、WSA加域前

WSA在加域之前,AD域控需要将自己设定为可信任的NTP服务器,所以需要修改注册表:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer中的Enabled值改成0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config中的LocalClockDispersion值改成0x00000000

同时,需要在AD域控中添加DNS解析记录:

  1. NTP 指向自己
  2. AD 指向自己
  3. WSA 指向150.1.7.213

wsa23.png

二、WSA加域

1、WSA集成AD域控

WSA加域或者叫WSA集成AD域,进入WSA的Network界面,选中Authentication,即可集成外部身份源了。Authentication可以选择LDAP或者Active Directory,关于AD的可操作选项比LDAP的选项更加丰富,可见思科设备和微软设备的联动性之高。

L2TP VPN就是微软的PPTP技术和思科L2F技术的儿子

![wsa24.png](https://www.epiol.top/upload/2021/12/wsa24-f6def9e202944a8aa240f0fca73a0003.png)

2、WSA同步NTP服务器

WSA设置时间同步服务器,由于之前在AD域控中的DNS服务器中添加了A记录指向NTP(实际的FQDN=ntp.cisco.com),那么在WSA中就选择Use Network Time Protocol而不是Set Time Manually。NTP服务器填写说明:

  • Enable NTP Server Authentication:启用与NTP服务器之间的通讯认证,当通过NTP的认证后,允许做出同步时间的操作。建议勾选,提升整体安全性,但是需要设置NTP服务器端用于认证的Key ID、Key Value、Key Type
  • Add Row:可以添加多个NTP服务器,以提高可靠性。保证主用NTP服务器断开后,WSA仍然能够通过备用NTP服务器来同步时间
  • NTP Server:可以选择路由器充当NTP服务器,也可以使用专业的NTP服务器比如本实验中的AD域控的NTP服务
  • Update Now:设置完主备NTP服务器后并不代表你的WSA已经同步时间了,而是需要点击Update Now使其开始同步时间。
    wsa25.png

wsa26.png

至此,我们完成了WSA的加域操作,类似的,我们可以使用LDAP服务器去做。加域操作的目的就是为了在后续代理流量的过程中,使用Category、Identification Profile、Access Policies去做更加精细化的控制。举个栗子:AD域控中的Domain User张三,在工作时间允许访问

  1. 通过某个协议/某个User Agent去访问
  2. 除URL=www.jd.com和www.taobao.com外的所有网站
  3. 但是需要通过审查,审查包括病毒防护和数据安全