安全 : Cisco ASA 5500 系列自适应安全设备

ASA :从 ASA 向 CSC-SSM 发送网络数据流的配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

本文档提供如何从 Cisco ASA 5500 系列自适应安全设备 (ASA) 向内容安全和控制安全服务模块 (CSC-SSM) 发送网络数据流的示例配置。

CSC-SSM 可以防范病毒、间谍软件、垃圾邮件和其他不需要的数据流。它通过扫描由自适应安全设备转移至它的 FTP、HTTP、POP3 和 SMTP 数据流实现此目的。为了强制 ASA 将数据流转移至 CSC-SSM,需要使用模块化策略框架。

请参阅 ASA:从 ASA 向 AIP SSM 发送网络数据流配置示例,以将通过 Cisco ASA 5500 系列自适应安全设备 (ASA) 的网络数据流发送到高级检查和防御安全服务模块 (AIP-SSM) (IPS) 模块。

注意: 仅当请求连接的数据包的目标端口是指定协议的公认端口时,CSC-SSM 才可以扫描 FTP、HTTP、POP3 和 SMTP 数据流。CSC-SSM 只能扫描以下连接:

  • 对 TCP 端口 21 开放的 FTP 连接

  • 对 TCP 端口 80 开放的 HTTP 连接

  • 对 TCP 端口 110 开放的 POP3 连接

  • 对 TCP 端口 25 开放的 SMTP 连接

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • 基本了解如何配置运行软件版本 7.1 及更高版本的 Cisco ASA 5500 系列。

  • 已安装 CSC-SSM。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 软件版本为 7.1 及更高版本的 ASA 5520

  • 软件版本为 6.1 的 CSC-SSM-10

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

背景信息

CSC-SSM 维护一个包含可疑内容签名配置文件且从 Trend Micro 更新服务器定期更新的文件。CSC-SSM 扫描它从自适应安全设备收到的数据流并将其与从 Trend Micro 获得的内容配置文件进行比较。然后它将合法内容转发到自适应安全设备进行路由,或阻塞并报告可疑内容。

默认情况下,CSC-SSM 附带提供下列功能的基本许可证:

  • 检测网络数据流中的病毒和恶意软件并对其执行操作

  • 阻塞压缩文件或超出指定参数的非常大的文件

  • 扫描并删除间谍软件、广告软件和其他类型的灰色软件

此外,如果配备了加强版许可证,它还执行下列任务:

  • 减少垃圾邮件并防范 SMTP 和 POP3 数据流中的网络钓鱼欺骗

  • 设置用于允许或禁止包含关键字或短语的电子邮件数据流的内容过滤器

  • 过滤/阻塞您不希望用户访问的 URL 或已知具有不可告人的目的或恶意目的的 URL

注意: 仅当已在 ASA 上启用 FTP 检查时,CSC-SSM 才能扫描 FTP 文件传输。默认情况下已启用 FTP 检查。

注意: CSC-SSM 无法支持有状态故障切换,因为 CSC-SSM 不维护连接信息,因此不能为故障切换单元提供有状态故障切换所需的信息。当安装 CSC-SSM 的安全设备出现故障时,将丢弃 CSC-SSM 正在扫描的连接。当备用自适应安全设备变成活动状态时,它会将扫描的数据流转发给 CSC-SSM,并且连接将重置。

配置

在自适应安全设备已部署了 CSC-SSM 的网络中,请将自适应安全设备配置为仅向 CSC-SSM 发送您希望扫描的数据流类型。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

ASA - CSC SSM 流程图

此图显示 ASA 和 CSC-SSM 内的数据流:

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-diagram1.gif

在本示例中,客户端可以是访问网站、从 FTP 服务器下载文件或从 POP3 服务器检索邮件的网络用户。

在此配置中,数据流的流动方式如下:

  1. 客户端发起请求。

  2. 自适应安全设备收到请求并将其转发到 Internet。

  3. 当检索到请求的内容时,自适应安全设备将确定其服务策略是否将此内容类型定义为应转移到 CSC-SSM 进行扫描的类型,并在需要时进行转移。

  4. CSC-SSM 从自适应安全设备接收内容,对内容进行扫描并将其与 Trend Micro 内容过滤器的最新更新进行比较。

  5. 如果内容可疑,CSC-SSM 将阻塞内容并报告该事件。如果内容不可疑,CSC-SSM 则将请求的内容转发回自适应安全设备进行路由。

CSC 初始设置

在初始设置中,需要配置几个参数。在您开始之前,请确保您已收集了这些参数所需的信息。

作为配置 CSC-SSM 的第一步,请启动 Cisco ASDM。默认情况下,您可以通过 ASA 的管理 IP 地址 (https://192.168.1.1/) 访问 CSC-SSM。您需要确保您的 PC 和 ASA 的管理接口位于同一个网络中。或者,您可以下载 ASDM 启动程序进行后续访问。

使用 ASDM 配置以下参数:

  1. 进入主 ASDM 窗口后,选择 Configuration > Trend Micro Content Security > Wizard Setup 并单击 Launch Setup Wizard。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-1.gif

  2. 激活密钥:

    获得激活密钥的第一步是识别产品随附的产品授权密钥 (PAK)。它包含一个条形码和 11 个十六进制字符。例如,120106C7D4A 是一个可能的示例 PAK。

    使用 PAK 在产品许可证注册仅限注册用户)网页上注册 CSC-SSM。注册后,您将通过电子邮件收到激活密钥。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-2.gif

  3. 管理端口 IP 参数:

    为 CSC 管理接口指定 IP 地址、子网掩码和网关 IP 地址。

    DNS服务器—主DNS服务器的IP地址。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-3.gif

  4. 主机和域名—指定主机名以及CSC-SSM的域名。

    传入域 - 由本地邮件服务器用作传入电子邮件域的域名。

    注意: 反垃圾邮件策略仅应用于进入此域的电子邮件数据流。

    通知设置 - 管理员电子邮件地址和用于通知的电子邮件服务器 IP 地址和端口。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-4.gif

  5. 管理主机访问参数:

    输入应具有 CSC-SSM 管理访问权限的每个子网和主机的 IP 地址和掩码。

    注意: 默认情况下,所有网络都具有 CSC-SSM 的管理访问权限。为安全起见,Cisco 建议您限制对特定子网或管理主机的访问。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-5.gif

  6. CSC-SSM 的新口令:

    将默认口令 cisco 更改为新口令以用于管理访问。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-6.gif

  7. 在 CSC 设置向导的第 6 步中,指定要扫描的数据流类型。

    在应用防火墙策略后,但在数据包退出输出接口前,自适应安全设备会将数据包转移至 CSC-SSM。例如,不会将由访问列表阻塞的数据包转发到 CSC-SSM。

    配置服务策略以指定自适应安全设备应将哪些数据流转移至 CSC-SSM。CSC-SSM 可以扫描发送到 HTTP、POP3、FTP 和 SMTP 这些协议的公认端口的 HTTP、POP3、FTP 和 SMTP 数据流。

    为了简化初始配置过程,此过程将创建一个将支持协议的所有数据流(入站和出站数据流)转移至 CSC-SSM 的全局服务策略。由于扫描通过自适应安全设备的所有数据流可能降低自适应安全设备和 CSC-SSM 的性能,因此以后需要修改此安全策略。例如,通常没有必要扫描来自内部网络的所有数据流,因为这些数据流来自受信任的源。如果改进服务策略以使 CSC-SSM 只扫描来自不受信任的源的数据流,则可以实现安全目标,同时最大程度地改善自适应安全设备和 CSC-SSM 的性能。

    完成以下步骤以创建识别要扫描的数据流的全局服务策略:

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-7.gif

    1. 单击 Add 以添加新的数据流类型。

    2. 从 Interface 下拉列表中选择 Global

    3. 保留 Source 和 Destination 字段设置为 Any

    4. 在 Service 区域中,单击 ellipsis (...) 单选按钮。在此对话框中,选择预定义服务或单击 Add 定义新服务。

    5. 在 If CSC card fails, then 区域中,选择在 CSC-SSM 不可用时自适应安全设备是应允许还是应拒绝所选数据流。

    6. 单击 OK 返回到 Traffic Selection for CSC Scan 窗口。

    7. 单击 Next

  8. 在 CSC 设置向导的第 7 步中,复查您为 CSC-SSM 输入的配置设置。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-8.gif

    如果对这些设置感到满意,请单击 Finish

    ASDM 将显示一条消息,表明 CSC 设备当前处于活动状态。

    默认情况下,CSC-SSM 配置为执行您购买的许可证启用的内容安全扫描,其中可能包括防病毒、反垃圾邮件、反网络钓鱼和内容过滤。它还配置为从 Trend Micro 更新服务器获得定期更新。

    如果包括在您购买的许可证中,您可以创建自定义 URL 阻塞和 URL 过滤设置,以及电子邮件和 FTP 参数。有关详细信息,请参阅《Cisco 内容安全和控制 SSM 管理员指南》。

如何配置 ASA 以将数据流转移至 CSC-SSM

为了强制 ASA 将数据流转移至 CSC-SSM,需要使用模块化策略框架。要完成识别数据流并将其转移至 CSC-SSM,请完成以下步骤:

  1. 使用 access-list extended 命令创建一个与您希望由 CSC-SSM 扫描的数据流匹配的访问列表,以将数据流转移至 CSC-SSM:

    hostname(config)#access-list acl-name extended {deny | permit} protocol src_ip mask dest_ip mask operator port
    
    
  2. 使用 class-map 命令创建一个类映射以识别应转移至 CSC-SSM 的数据流:

    hostname(config)#class-map class_map_name
    
    
  3. 进入类映射配置模式后,使用 match access-list 命令通过前面指定的访问列表识别数据流:

    hostname(config-cmap)#match access-list acl-name
    
    hostname(config-cmap)#exit
    
  4. 使用 policy-map 命令创建一个策略映射以将数据流发送到 CSC-SSM:

    hostname(config)#policy-map policy_map_name
    
    
  5. 进入策略映射配置模式后,使用 class 命令指定前面创建的用于识别要扫描的数据流的类映射:

    hostname(config-pmap)#class class_map_name
    
    
  6. 进入策略映射类配置模式后,可以配置以下功能:

    • 如果希望对自适应安全设备转移至 CSC-SSM 时所用的同时连接数强制执行每客户端限制,请使用 set connection 命令,如下所示:

      hostname(config-pmap-c)#set connection per-client-max n
       

      其中 n 是自适应安全设备允许的每个客户端的最大同时连接数。此命令可防止单个客户端滥用 CSC-SSM 的服务或受 SSM 保护的任何服务器的服务,包括禁止尝试在 CSC-SSM 保护的 HTTP、FTP、POP3 或 SMTP 服务器上进行 DoS 攻击。

    • 使用 csc 命令可控制 ASA 在 CSC-SSM 不可用时如何处理数据流:

      hostname(config-pmap-c)#csc {fail-close | fail-open}
       

      其中 fail-close 指定 ASA 应在 CSC-SSM 出现故障时阻塞数据流,相反,fail-open 指定 ASA 应在 CSC-SSM 出现故障时允许数据流。

      注意: 这仅适用于由类映射选择的数据流。其他未发送到 CSC-SSM 的数据流不受 CSC-SSM 故障的影响。

  7. 最后,使用 service-policy 命令来全局应用策略映射或将策略映射应用于特定接口:

    hostname(config-pmap-c)#service-policy policy_map_name [global | interface interface_ID]
     

    其中 interface_ID 是使用 nameif 命令分配给接口的名称。

    注意: 仅允许有一个全局策略。通过向接口应用服务策略,可以覆盖该接口上的全局策略。您只能对每个接口应用一个策略映射。

网络图

此图是为这些参数配置的 ASA 5500 的示例:

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-9.gif

网络图的概要说明以下信息:

  • 到外部网络的 HTTP 连接

  • 从安全设备内部的客户端到安全设备外部的服务器的 FTP 连接

  • 从安全设备内部的客户端到安全设备外部的服务器的 POP3 连接。

  • 指定到内部邮件服务器的 SMTP 连接

ASA 配置

ASA5520
ciscoasa(config)#show running-config
: Saved
:
ASA Version 8.0(2) 
!
hostname ciscoasa
domain-name Security.lab.com
enable password 2kxsYuz/BehvglCF encrypted
no names
dns-guard
!
interface GigabitEthernet0/0
 speed 100
 duplex full
 nameif outside
 security-level 0
 ip address 172.30.21.222 255.255.255.0 
!
interface GigabitEthernet0/1
 description INSIDE
 nameif inside
 security-level 100
 ip address 192.168.5.1 255.255.255.0 
!


!--- Output suppressed

access-list csc-acl remark Exclude CSC module traffic from being scanned
access-list csc-acl deny ip host 10.89.130.241 any

!--- In order to improve the performance of the ASA and CSC Module.
!--- Any traffic from CSC Module is excluded from the scanning. 

access-list csc-acl remark Scan Web & Mail traffic

access-list csc-acl permit tcp any any eq www
access-list csc-acl permit tcp any any eq smtp
access-list csc-acl permit tcp any any eq pop3

!

!--- All Inbound and Outbound traffic for WEB, Mail services is scanning. 


access-list csc-acl-ftp permit tcp any any eq ftp

!--- All Inbound and Outbound traffic for FTP service is scanning. 
 
class-map csc-class 
match access-list csc-acl 
!

class-map csc-ftp-class 
match access-list csc-acl-ftp
! 
policy-map global_policy
class csc-class
csc fail-open

class csc-ftp-class
csc fail-open
policy-map global_policy
 class inspection_default

!--- Inspect FTP traffic for scanning.

  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect sqlnet 
  inspect skinny  
  inspect sunrpc 
  inspect xdmcp 
  inspect sip  
  inspect netbios 
  inspect tftp 
  inspect icmp 
  inspect http 
service-policy global_policy global


!--- Output suppressed

CSC 主页

CSC 设置

Trend Micro InterScan for Cisco CSC-SSM 提供对主要数据流协议(如 SMTP、HTTP 和 FTP)以及 POP3 数据流的保护,以确保员工不会在无意中从他们的个人电子邮件帐户中引入病毒。

选择 Configuration > Trend Micro Content Security 以打开 CSC-SSM。从 Configuration 菜单的下列配置选项中选择: http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-10.gif

  • CSC Setup - 启动设置向导以安装和配置 CSC-SSM

  • Web - 配置 Web 扫描、文件阻塞、URL 过滤和 URL 阻塞

  • Mail - 为传入和传出 SMTP 和 POP3 电子邮件配置扫描、内容过滤和垃圾邮件预防

  • File Transfer - 配置文件扫描和阻塞

  • Updates - 安排内容安全扫描组件(例如,病毒模式文件、扫描引擎等)的更新

以下章节中将对 Web、Mail、File Transfer 和 Updates 选项进行详细介绍:

本示例显示如何配置 CSC-SSM 以扫描传入到内部网络的 SMTP 邮件。

传入 SMTP 邮件被转移至 CSC-SSM 进行扫描。在本示例中,从外部访问内部邮件服务器 (192.168.5.2 /24) 上 SMTP 服务的所有数据流都被转移至 CSC-SSM。

access-list csc_inbound extended permit tcp any host 192.168.5.2 eq smtp 

在安装 Trend Micro InterScan for Cisco CSC-SSM 后,这些默认设置可为您的电子邮件数据流提供一些保护。

SMTP 配置

Trend Micro SMTP 配置

要使用 ASDM 配置 CSC-SSM 以扫描传入 SMTP 邮件,请完成以下步骤:

  1. 在 ASDM 中选择 Configuration > Trend Micro Content Security > Mail,并单击 Configure Incoming Scan 以显示 SMTP Incoming Message Scan/Target 窗口。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-11.gif

  2. 此窗口会显示 Trend Micro InterScan for Cisco CSC-SSM 登录提示。输入 CSC-SSM 口令。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-12.gif

  3. SMTP Incoming Message Scan 窗口包含以下三个视图:

    • 目标

    • 操作

    • 通知

    单击所需信息的相应选项卡可以在视图之间切换。活动选项卡的名称以棕色文本显示;非活动选项卡的名称以黑色文本显示。使用所有这三个选项卡可以配置传入 SMTP 数据流的病毒扫描。

    单击 Target 可定义要对其进行操作的活动的范围。

    默认情况下已启用 SMTP 传入邮件扫描。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-13.gif

  4. 在 Default Scanning 部分中,默认情况下已选择 All scannable files。不管文件名的扩展名如何,它都进行扫描。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-14.gif

  5. 为传入邮件配置 SMTP compressed file handling

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-15.gif

    配置为在以下条件之一为真时跳过压缩文件扫描:

    • 解压缩文件的计数大于 200。

    • 解压缩文件的大小超过 20 MB。

    • 压缩层的数目超过三层。

    • 解压缩或压缩文件大小比率大于 100 比 1。

    • 压缩文件超出指定的扫描标准。

    将解压缩文件计数的默认参数修改为 300 并将解压缩文件大小修改为 30 MB。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-16.gif

  6. 在这些窗口的 Scan for Spyware/Grayware 部分(如第 5 步中所示)中,选择您希望由 Trend Micro InterScan for Cisco CSC-SSM 检测到的灰色软件类型。有关列出的每种灰色软件类型的说明,请参阅联机帮助。

    单击 Save 以启用新配置

  7. 单击 Action 选项卡,通过该选项卡可以定义在检测到威胁时应采取的措施。操作示例包括清除或删除。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-17.gif

    这些值是对传入邮件采取的默认操作。

    • For Messages with Virus/Malware Detection 部分 - 清除在其中检测到恶意软件的邮件或附件,如果邮件或附件无法清除,则删除它。

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-18.gif

    • For Spyware/Grayware Detections - 这些是在 SMTP 邮件中检测到间谍软件或灰色软件时要发送的文件。

      单击 Save 以启用新配置

  8. 单击 Notification 选项卡,通过该选项卡可以编写通知消息,并可以定义向谁通知事件和操作。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-19.gif

    如果对默认通知设置感到满意,则无需进一步的操作。但是,您可以复查通知选项并决定是否要更改默认值。例如,在电子邮件中检测到安全风险时,您可以向管理员发送通知。对于 SMTP,还可以通知发件人或收件人。

    选中 Administrator 和 Recipient 框,以便为其发送电子邮件通知。还可以将通知消息中的默认文本修改为更适合于您所在组织的内容,如此屏幕截图中所示。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-20.gif

  9. 在此窗口的 Inline Notifications 部分中,选择两个列出选项中的一个,也可以两个都选择或两个都不选择。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-21.gif

    在我们的示例中,请选择 Risk free message 并在提供的字段中键入您自己的消息。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-22.gif

    单击 Save 以启用新配置。

HTTP 配置

扫描

安装后,默认情况下将对您的 HTTP 和 FTP 数据流进行病毒、蠕虫和特洛伊木马扫描。对于间谍软件和其他灰色软件等恶意软件,则需要先更改配置,然后才能检测到它们。

在安装 Trend Micro InterScan for Cisco CSC-SSM 后,这些默认设置可为您的 Web 和 FTP 数据流提供一些保护。您可以更改这些设置。例如,您可能更喜欢使用 Scan by specified file extensions 选项而不是 All Scannable Files 选项来进行恶意软件检测。在进行更改之前,请查看联机帮助以了解有关这些选择的详细信息。

安装后,您可能需要更新其他配置设置才能获得对 Web 和 FTP 数据流的最大保护。如果购买了加强版许可证,则有权收到 URL 阻塞、反网络钓鱼和 URL 过滤功能,您必须配置这些附加功能。

要使用 ASDM 配置 CSC-SSM 以扫描 HTTP 邮件,请完成以下步骤:

  1. 单击 Trend Micro 页中的 Web (HTTP),此 Web Message Scan 窗口包含四个视图:

    • 目标

    • Webmail 扫描

    • 操作

    • 通知

    单击所需信息的相应选项卡可在视图之间切换。活动选项卡的名称以棕色文本显示;非活动选项卡的名称以黑色文本显示。请使用所有选项卡来配置 Web 数据流的病毒扫描。

    单击 Target 可定义要对其进行操作的活动的范围。

    • 默认情况下已启用 HTTP 邮件扫描。

    • 已启用,并使用 All Scannable Files 作为扫描方法。

    • 从 Web 下载时的 Web (HTTP) 压缩文件处理 - 已配置为在下列条件之一为真时跳过压缩文件扫描:

      • 解压缩文件的计数大于 200。

      • 解压缩文件的大小超过 30 MB。

      • 压缩层的数目超过三层。

      • 解压缩或压缩文件大小比率大于 100 比 1。

      http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-23.gif

    对于 Webmail scanning - 已配置为扫描 Yahoo、AOL、MSN 和 Google 的 Webmail 站点。

  2. 大文件处理

    通过 HTTP Scanning 和 FTP Scanning 窗口的 Target 选项卡,可以定义您希望扫描的最大下载内容的大小。例如,您可以指定扫描小于 20 MB 的下载内容,但不扫描大于 20 MB 的下载内容。

    此外,还可以:

    • 指定在不经扫描的情况下传送大型下载内容,这可能引入安全风险。

    • 指定删除大于指定限制的下载内容。

    默认情况下,CSC-SSM 软件指定扫描小于 50 MB 的文件。修改为 75 MB。系统会将 75 MB 或更大的文件传送到请求客户端而不对其进行扫描。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-24.gif

    延迟扫描

    默认情况下未启用延迟扫描功能。启用时,此功能允许您在未扫描完整个下载内容的情况下开始下载数据。延迟扫描允许您在扫描整个信息体时开始查看数据,而无需长时间的等待。

    注意: 如果不启用延迟扫描选项,则通过 CSC 模块进行的更新可能失败。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-25.gif

    注意: 启用延迟扫描时,未扫描的信息部分可能引入安全风险。

    注意: CSC-SSM 软件不能扫描通过 HTTPS 移动的数据流中的病毒和其他威胁。

    如果未启用延迟扫描,则必须先扫描整个下载内容,然后才能看到下载内容。但是,有些客户端软件可能由于收集足够的网络数据包以组成用于扫描的完整文件所需的时间太长而超时。此表总结了每种方法的优点和缺点。

    方法 优点 缺点
    启用的延迟的扫描 防止客户端超时 引入安全风险
    禁用的延迟的扫描 更加安全。整个文件为在被提交的安全风险被扫描对您前。 在下载完成前, 5月导致客户端时间

    扫描间谍软件和灰色软件

    灰色软件是一个软件类别,这些软件可能是合法的、不需要的或恶意的。不同于病毒、蠕虫和特洛伊木马之类的威胁,灰色软件不会感染、复制或毁坏数据,但它可能会侵犯您的隐私。灰色软件的示例包括间谍软件、广告软件和远程访问工具。

    默认情况下不启用间谍软件或灰色软件检测。您必须在这些窗口中配置此功能才能在您的 Web 和文件传输数据流中检测间谍软件、其他形式的间谍软件和其他灰色软件:

    单击 Save 以更新配置。

  3. 您可以切换到 Scanning Webmail 选项卡以扫描 Yahoo、AOL、MSN 和 Google 的 Web 邮件站点。

    注意: 如果决定仅扫描 Webmail,则 HTTP 扫描限于在 Web (HTTP) > Scanning > HTTP Scanning 窗口的 Webmail Scanning 选项卡中指定的站点。不会对其他 HTTP 数据流进行扫描。直到您单击回收站图标删除配置的站点时,才会对它们进行扫描。

    Name 字段中,请输入确切的网站名称、URL 关键字和字符串以定义 Webmail 站点。

    注意: 将对在 Webmail 上进行管理的邮件附件进行扫描。

    单击 Save 以更新配置。

  4. 您可以切换到 Action 选项卡进行病毒/恶意软件检测和间谍软件/灰色软件检测的配置。

    • 在其中检测到病毒/恶意软件的文件的 Web (HTTP) 下载 - 清除在其中检测到恶意软件的下载文件或文件。如果无法清除,则删除该文件。

    • 在其中检测到间谍软件或灰色软件的文件的 Web (HTTP) 下载和文件传输 (FTP) - 删除文件。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-26.gif

  5. 检测到恶意软件时的 Web (HTTP) 下载 - 在浏览器中插入内嵌通知,表明 Trend Micro InterScan for CSC-SSM 扫描了您尝试传输的文件并检测到安全风险。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-27.gif

文件阻塞

在左侧下拉菜单中,单击 File Blocking

默认情况下已启用此功能;但是,您必须指定您希望阻塞的文件类型。文件阻塞可帮助您在工作时间内强制实施针对 Internet 使用和其他计算资源的组织策略。例如,您的公司由于法律问题和员工生产率问题而不允许下载音乐。

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-28.gif

  • 在 File Blocking 窗口的 Target 选项上,选中 Executable 复选框以阻塞 .exe。

  • 您可以通过文件名扩展名指定其他文件类型。选中 Block specified file extensions 复选框以启用此功能。

  • 然后,在 File extensions to block 字段中输入其他文件类型,然后单击 Add。在本示例中,将阻塞 .mpg 文件。

    完成后单击 Save 以更新配置。

选中 Administrator Notification 框以发送文本框中的默认消息。

单击 Notification 选项卡可查看预警消息。

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-29.gif

URL 阻塞

此部分描述 URL 阻塞功能,其中包括以下主题:

注意: 此功能需要加强版许可证。

URL 阻塞功能可帮助您防止员工访问禁止的网站。例如,由于您所在组织的策略禁止对约会服务、联机购物服务或者攻击性站点进行访问,您可能会希望阻塞一些站点。

您还可以阻塞已知实施欺骗(如网络钓鱼)的站点。网络钓鱼是犯罪分子使用的一种技术,犯罪分子发送看起来像来自合法组织的电子邮件,要求您提供银行账号等私人信息。此图显示用于网络钓鱼的电子邮件示例。

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-30.gif

默认情况下已启用 URL 阻塞。但是,在您指定要阻塞的附加站点之前,只会阻塞 TrendMicro PhishTrap 模式文件中的站点。

从 Via Local List 选项卡阻塞

要从 Via Local List 选项卡配置 URL 阻塞,请完成以下步骤:

  1. 在 ASDM 中选择 Configuration > Trend Micro Content Security > Web 并单击 Configure URL Blocking 以显示 URL Blocking 窗口。

  2. 在 URL Blocking 窗口的 Via Local List 选项卡上,在 Match 字段中键入您希望阻塞的 URL。您可以指定确切的网站名称、URL 关键字和字符串。

  3. 单击每个条目后的 Block 以将该 URL 移到 Block List。单击 Do Not Block 可将条目添加到 Block List Exceptions 中,以将您的条目指定为例外。条目将保持阻塞或例外状态,直到您删除它们。

    注意: 您也可以导入阻塞和例外列表。导入的文件必须采用特定格式。有关说明,请参阅联机帮助。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-31.gif

从 Via Pattern File (PhishTrap) 选项卡阻塞

要从 Via Pattern File (PhishTrap) 选项卡配置 URL 文件阻塞,请完成以下步骤:

  1. 在 ASDM 中选择 Configuration > Trend Micro Content Security > Web 并单击 Configure URL Blocking 链接以显示 URL Blocking 窗口。

  2. 然后单击 Via Pattern File (PhishTrap) 选项卡。

  3. 默认情况下,Trend Micro PhishTrap 模式文件将检测并阻塞已知的网络钓鱼站点、间谍软件站点、与已知安全漏洞关联的病毒帮凶站点和病毒载体(专为恶意目的而存在的网站)。使用 Submit the Potential Phishing URL to TrendLabs 字段可提交您认为应该添加到 PhishTrap 模式文件中的站点。TrendLabs 会对该站点进行评估,并可将站点添加到此文件中(如果此类操作已经过授权)。

  4. 单击 Notification 选项卡以查看当尝试访问阻塞的站点时将出现在浏览器中的默认消息文本。联机帮助显示了一个示例。突出显示并重新定义它以自定义默认消息。

  5. 完成后单击 Save 以更新配置。

URL 过滤

此处有两个重要部分要进行讨论。

  • 过滤设置

  • 过滤规则

    在前面所述的 URL Blocking 窗口中定义的 URL 要么始终被允许,要么始终被禁止。但是,通过 URL 过滤功能可以按类别过滤 URL,您可以将 URL 安排为在特定时间(定义为业余时间)内允许访问,而在工作时间内禁止访问。

    注意: 此功能需要加强版许可证。

    以下是六个 URL 过滤类别:

    • 公司禁止

    • 非工作相关

    • 研究主题

    • 业务职能

    • 用户定义

    • 其他

默认情况下,在工作时间和业余时间内都将阻塞公司禁止的站点。

过滤设置

要配置 URL 过滤功能,请完成以下步骤:

  1. 在 ASDM 中选择 Configuration > Trend Micro Content Security > Web 并单击 Configure URL Filtering Settings 以显示 URL Filtering Settings 窗口。

  2. 在 URL Categories 选项卡中,查看列出的子类别和分配给每个类别的默认分类以查看分配是否适合您所在的组织。例如,Illegal Drugs 属于公司禁止类别的子类别。如果您所在的组织是金融服务公司,您可能希望将此类别保留分类为公司禁止的类别。选中 Illegal Drugs 复选框以对与非法药物相关的站点启用过滤。但是,如果您所在的组织是执法机构,则应将 Illegal Drugs 子类别重新分类到业务职能类别。有关重新分类的详细信息,请参阅联机帮助。

  3. 在查看并改进子类别分类后,请选中关联的子类别以启用您希望对其执行过滤的所有子类别。

  4. 如果在一些已启用的子类别中存在您不希望过滤的站点,请单击 URL Filtering Exceptions 选项卡。

  5. 在 Match 字段中键入您要从过滤中排除的 URL。您可以指定确切的网站名称、URL 关键字和字符串。

  6. 单击每个条目后的 Add 以将该 URL 移到 Do Not Filter the Following Sites 列表。条目将保持为例外条目,直到您将其删除。

    注意: 您也可以导入例外列表。导入的文件必须采用特定格式。有关说明,请参阅联机帮助。

  7. 单击 Schedule 选项卡以定义应视为工作时间的每周天数和每天的小时数。未指定为工作时间的时间被自动指定为业余时间。

  8. 单击 Save 以更新 URL 过滤配置。

  9. 单击 Reclassify URL 选项卡以将可疑 URL 提交给 TrendLabs 进行评估。

过滤规则

为您的组织将 URL 子类别分配到正确的类别、定义例外(如果有)并创建工作和业余时间表后,请分配用来确定何时过滤某个类别的过滤规则。

要分配 URL 过滤规则,请完成以下步骤:

  1. 在 ASDM 中选择 Configuration > Trend Micro Content Security > Web 并单击 Configure URL Filtering Rules 链接以显示 URL Filtering Rules 窗口。

  2. 对于六个主要类别中的每一个,请指定是否阻塞该类别中的 URL,如果阻塞,请指定是在工作时间还是在业余时间阻塞,还是在所有时间都阻塞。有关详细信息,请参阅联机帮助。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-32.gif
  3. 单击 Save 以更新配置。

    注意: 要使 URL 过滤可以正常工作,CSC-SSM 模块必须能够向 Trend Micro 服务发送 HTTP 请求。如果需要 HTTP 代理,请选择 Update > Proxy Settings 以配置代理设置。URL 过滤组件不支持 SOCKS4 代理。

FTP 配置

Trend Micro FTP 配置

安装后,默认情况下将对您的 FTP 数据流进行病毒、蠕虫和特洛伊木马扫描。对于间谍软件和其他灰色软件等恶意软件,则需要先更改配置,然后才能检测到它们。

文件传输的文件传输 (FTP) 扫描 - 已启用,并使用 All Scannable Files 作为扫描方法。

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-33.gif

完成 HTTP Traffic 的 File Blocking 页中指定的步骤。

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-34.gif

完成 HTTP Traffic 的 File Blocking 页中指定的步骤。

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/99141-asa-traffic-csc-ssm-config-35.gif

验证

使用本部分可确认配置能否正常运行。

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。虽然 OIT 可用来查看某些 show 命令输出的分析,但这些 show 命令当前不与此工具兼容。

  • show module - 可检查 SSM 的状态,例如:

    ciscoasa#show module
    Mod Card Type                                    Model              Serial No. 
    --- -------------------------------------------- ------------------ -----------
      0 ASA 5520 Adaptive Security Appliance         ASA5520            JMX090000B7
      1 ASA 5500 Series Security Services Module-20  ASA-SSM-20         JAF10333331
    
    Mod MAC Address Range                 Hw Version   Fw Version   Sw Version     
    --- --------------------------------- ------------ ------------ ---------------
      0 0014.c482.5151 to 0014.c482.5155  1.1          1.0(10)0     8.0(2)
      1 000b.fcf8.012c to 000b.fcf8.012c  1.0          1.0(10)0     Trend Micro InterScan Security Module Version 6.0
    
    Mod SSM Application Name           Status           SSM Application Version
    --- ------------------------------ ---------------- --------------------------
      1 Trend Micro InterScan Security Up               Version 6.0
    
    Mod Status             Data Plane Status     Compatibility
    --- ------------------ --------------------- -------------
      0 Up Sys             Not Applicable         
      1 Up                 Up
  • show module 1 details - 使用 details 关键字可查看 SSM 的附加信息,例如:

    ciscoasa#show module 1 details
    Getting details from the Service Module, please wait...
    ASA 5500 Series Security Services Module-20
    Model:              ASA-SSM-20
    Hardware version:   1.0
    Serial Number:      JAF10333331
    Firmware version:   1.0(10)0
    Software version:   Trend Micro InterScan Security Module Version 6.0
    App. name:          Trend Micro InterScan Security Module
    App. version:       Version 6.0
    Data plane Status:  Up
    Status:             Up
    HTTP Service:       Up
    Mail Service:       Up
    FTP Service:        Up
    Activated:          Yes
    Mgmt IP addr:       172.30.21.235
    Mgmt web port:      8443
  • show module slot_num recover - 确定 SSM 是否存在恢复配置。如果 SSM 的恢复配置存在,则 ASA 将显示它。例如:

    ciscoasa#show module 1 recover
    Module 1 recover parameters. . .
    Boot Recovery Image: Yes
    Image URL:           tftp://10.21.18.1/ids-oldimg
    Port IP Address:     172.30.21.10
    Port Mask:          255.255.255.0
    Gateway IP Address:  172.30.21.254

有关如何验证 Trend Micro InterScan for Cisco CSC-SSM 是否正确运行的详细信息,请参阅验证初始设置

故障排除

本部分提供的信息可用于对配置进行故障排除。有关如何排除 CSC-SSM 上更多故障的详细信息,请参阅 Trend Micro InterScan for Cisco CSC SSM 故障排除

互联网访问

问题

CSC 无法通过 ASA 管理接口访问 Internet CSC 无法通过 Internet 从 Trend 服务器获得更新。

解决方案

管理接口使用 management-only 命令对其进行配置并使其仅接受去往或来自 ASA 而不是通过 ASA 的数据流。因此请删除 management-only 命令和用于 management-to-outside 数据流的 NAT 语句,然后允许 CSC 通过 Internet 进行更新。

不检测垃圾邮件

问题

CSC 无法检测垃圾邮件。

解决方案

您必须启用反垃圾邮件选项,默认情况下未启用该选项。必须安装加强版许可证,并且 DNS 设置必须正确才能使基于网络的反垃圾邮件 Email Reputation 功能正常运行。有关详细信息,请参阅启用 SMTP 和 POP3 垃圾邮件过滤

许可证违规错误

问题

CSC 模块显示许可证违规错误并报告比网络中的主机更多的主机。CSC 模块中将显示 License violation has been detected on the InterScan for CSC SSM 错误。如何才能解决此错误?

解决方案

将除外部 WAN(安全等级为 0)以外的所有接口移到更高的安全等级。

性能问题

问题

传入 SMTP 数据流的速度变得非常慢。内部邮件服务器有时候需要两三分钟才能获得来自服务器的响应。

解决方案

可能是由于无序数据包而导致数据流缓慢。请尝试本示例,它能解决此问题。


!--- Creates a new tcp map and allows for 100 out
 of order packets

tcp-map localmap       
 queue-limit 100    

!--- This is the class that defines traffic to sent to 
the csc-module. The name you use can be different.
Sets the localmap parameters to flow matching the class map.

policy-map global_policy
 class csc-class            
  set connection advanced-options localmap

问题

HTTP扫描没有工作并且显示此错误:

Error: Failed to rate URL, rc=-723

解决方案

此错误消息生成,当CSC-SSM有麻烦时在联系Trend Micro服务器。这能发生,当有在网络时的延迟或,如果CSC-SSM太忙碌以至于不能处理连接请求。在CSC-SSM-10的最大同时连接约为500。在这种情况下对于指定的周期,连接数量可能超过了最大限制。在Cisco ASA 5500系列内容安全和控制安全服务模块的参考的表2关于连接限额的更多信息。

此的一可能的应急方案是限制同时连接。参考的限制连接通过CSC SSM欲知更多信息。

电子邮件问题

问题

在电子邮件的免责声明不可能从邮件删除若需要并且字体在电子邮件免责声明不可能更改。为什么这发生?

解决方案

从一些在CSC-SSM的流出的电子邮件删除免责声明是不可能的。并且,因为CSC-SSM,不支持您不能更改免责声明的字体。

流量问题

问题

您无法从发送终止流量从ASA到CSC-SSM。这如何可以是解决的?

解决方案

为了从发送终止流量到从CSC-SSM的ASA,管理员必须从接口取消服务策略用没有service-policy命令

hostname(config-pmap-c)#no service-policy policy_map_name [global | interface interface_ID]

Grayware模式更新问题

问题

此错误消息是被注册的CSC模块。

GraywarePattern :模式更新:无法获得模式信息。模式更新:下载文件为ActiveUpdate是不成功无法解下载的补丁程序包压缩。压缩文件可能是损坏的。这能发生由于一个不稳定的网络连接。请再试一次下载文件。错误代码是24。

AntiVirusPattern :模式更新:下载文件为ActiveUpdate是不成功无法解下载的补丁程序包压缩。压缩文件可能是损坏的。这能发生由于一个不稳定的网络连接。请再试一次下载文件。错误代码是24。

此错误消息如何可以是解决的?

解决方案

此问题与Cisco Bug ID CSCtc37947 (仅限注册用户)和Cisco Bug ID CSCsk10777 (仅限注册用户)涉及。重新安装CSC-SSM或升级代码对6.2.x为了解决此问题。并且为在CSC根帐户的自动更新创建的临时文件的删除能解决问题。在您重新安装CSC-SSM或升级代码后,请重新启动服务。

HTTPS流量问题

问题

您无法通过CSC-SSM阻塞HTTPS流量。HTTPS流量如何阻塞?

解决方案

因为不能深深检查数据包由于对此的Ssl encryption CSC-SSM不能阻塞HTTPS流量。

无法绕过从CSC检查的流量

如果添加有问题的网络范围的拒绝语句到用于流量相匹配的ACL通过到模块,流量可以从CSC检查绕过。

无法记录通过CSC-SSM的所有HTTP数据流

CSC不能记录所有流量,然而只显示块的信息/过滤了尝试。

错误,当升级CSC时

[ERR-PAT-0002]更新系统不解压更新文件,并且不能继续。此消息只为诊断目的是。客户-联系支持人错误消息出现,当您升级CSC。当.bin文件使用而不是.pkg文件时,此错误消息被看到。当使用时,问题不出现.pkg文件。

错误,当自动地更新签名时的CSC

问题:

当CSC执行自动更新时,收到了此消息。

反垃圾邮件模式17462顺利地下载并且安装。无法复制文件。您必须手工复制文件/opt/trend/isvw/temp/AU/piranhacache/ *到路径/opt/trend/isvw/lib/mail/cache。

解决方案:

这是有CSC Trendmicro代码的一问题已知bug。bug被归档了为此和关于完整详细信息。参考的Cisco Bug ID CSCtc37947 (仅限注册用户)。升级CSC到6.3.1172(2)或以后为了摆脱问题。

CSC模块不能显示Syslog

问题:

在升级到6.3.1172.4以后,在CSC模块的LogServer服务也许出故障,并且管理员接收此电子邮件通知:LogServer在CSC SSM的InterScan最近终止了。请与协助的用户支持联系。

解决方案:

有两个选项作为应急方案:

  1. 安装工程构建修正。

    请与Cisco TAC (仅限注册用户)联系关于如何安装此构建的信息。

  2. 再镜像设备对早版本。

    参考再镜像CSC-SSM关于此进程的全部信息。

参考Cisco Bug ID CSCtl21378 (仅限注册用户)欲知更多信息。

CSC日志服务器运行到死环路并且突然终止

问题:

CSC模块的日志服务器运行到一死环路并且突然终止。

解决方案:

此问题归结于Cisco Bug ID CSCtl21378。参考CSCtl21378 (仅限注册用户)欲知更多信息。

故障排除命令

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

有关如何排除 CSC-SSM 的各种问题的详细信息,请参阅 Trend Micro InterScan for Cisco CSC-SSM 故障排除

注意: 使用 debug 命令之前,请参阅有关 Debug 命令的重要信息

  • debug module-boot - 显示有关 SSM 启动进程的调试消息。

  • hw-module module 1 shutdown - 关闭 SSM

  • hw-module module 1 reset - 重置 SSM

注意: %ASA-3-421001 :TCP流从inside:172.22.50.112/1718到outside:XX.XX.XX.XX/80被跳过,因为内容安全和控制卡有失败消息是出现的日志消息,当CSC模块变得完全无答复。

注意: 请使用此命令为了重置模块。

ASA#hw-module module 1 reset

The module in slot 1 should be shut down before 
resetting it or loss of configuration may occur.
Reset module in slot 1? [confirm]

(Confirm it at this point by 'return'.)

参考命令参考指南关于此命令的更多信息。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 99141