Ignora traffico aggiornamenti Microsoft in Secure Web Appliance

Opzioni per il download

  • PDF     (249.7 KB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:14 febbraio 2025
ID documento:222465

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come ignorare il traffico degli aggiornamenti Microsoft in Secure Web Appliance (SWA).

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Amministrazione della SWA.

    Cisco consiglia di installare i seguenti strumenti:

    • SWA fisico o virtuale
    • Accesso amministrativo all'interfaccia grafica (GUI) SWA

    Componenti usati

    Il documento può essere consultato per tutte le versioni software o hardware.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Aggiornamenti Microsoft 

    Gli aggiornamenti Microsoft sono patch essenziali, aggiornamenti per la sicurezza e miglioramenti delle funzionalità rilasciati da Microsoft per i sistemi operativi e le applicazioni software. Questi aggiornamenti sono fondamentali per mantenere la sicurezza, la stabilità e le prestazioni dei computer e dei dispositivi di rete. Garantiscono la protezione dei sistemi da vulnerabilità, la risoluzione dei bug e l'integrazione di nuove funzionalità o miglioramenti nel software.


    L'impatto degli aggiornamenti Microsoft sui server proxy, ad esempio Cisco SWA, può essere significativo. Questi aggiornamenti spesso implicano il download di file di grandi dimensioni o di numerosi file di piccole dimensioni, che possono occupare una notevole quantità di larghezza di banda e di risorse di elaborazione sul proxy. Ciò può causare congestione, rallentamento delle prestazioni di rete e un aumento del carico sull'infrastruttura proxy, con un potenziale impatto sull'esperienza complessiva dell'utente e su altre operazioni di rete critiche.


    Ignorare il traffico di Microsoft Update dal proxy può essere un modo sicuro ed efficace per gestire queste problematiche. Poiché gli aggiornamenti Microsoft provengono da server Microsoft attendibili, consentire a questo traffico di ignorare il proxy può contribuire a ridurre il carico sul server proxy senza compromettere la sicurezza della rete. In questo modo, gli aggiornamenti essenziali vengono distribuiti in modo efficiente, preservando al contempo le risorse proxy per altre attività di sicurezza e di filtro dei contenuti. È tuttavia importante implementare tali configurazioni di bypass con attenzione per mantenere la sicurezza complessiva della rete e la conformità con le policy organizzative.

    Ignora aggiornamenti Microsoft

    Se si sta valutando la possibilità di evitare l'inoltro del traffico degli aggiornamenti Microsoft, esistono due approcci principali:

    1. Ignora: Ciò comporta la configurazione della rete per reindirizzare il traffico in modo che non raggiunga mai il dispositivo SWA.
    2. Pass-through: Ciò implica la configurazione dell'SWA in modo che non decrittografi né esegua la scansione del traffico degli aggiornamenti Microsoft, consentendo al proxy di passare attraverso di esso senza ispezione.

    Aggirare il traffico nell'SWA

    Per evitare il traffico degli aggiornamenti Microsoft nelle reti dotate di SWA, l'approccio varia a seconda della configurazione dell'installazione proxy:

    Tipo di distribuzione

    Aggirare il traffico 

    Distribuzione trasparente

    È possibile reindirizzare il traffico degli aggiornamenti Microsoft sul router o sugli switch di livello 4 responsabili dell'inoltro del traffico al server proxy.

    È possibile configurare le impostazioni di bypass direttamente nell'interfaccia grafica (GUI) SWA.

    distribuzione esplicita

    Per evitare che il traffico di Microsoft Updates raggiunga il SWA, è necessario configurare il bypass all'origine. Ciò significa esentare gli URL rilevanti sui computer client per garantire che il traffico non venga reindirizzato al dispositivo SWA.


    Se bypassare un traffico specifico richiede un'ampia riprogettazione della rete e non è fattibile, un approccio alternativo è configurare l'SWA in modo che passi attraverso alcuni tipi di traffico. A tal fine, è possibile impostare l'SWA in modo che non decripti né esegua la scansione del traffico designato, consentendogli di passare attraverso il proxy senza ispezione. Questo metodo garantisce l'efficienza della distribuzione del traffico essenziale, riducendo al minimo l'impatto sulle prestazioni della rete e sulle risorse proxy.

    Passthrough di aggiornamenti Microsoft

    I traffici di aggiornamenti Microsoft sono suddivisi in quattro fasi principali:

    Fase

    Passi

    1. Creare una categoria URL personalizzata per gli URL di Microsoft Update

    Passaggio 1.Dalla GUI, selezionare Web Security Manager, quindi fare clic su Categorie URL personalizzate ed esterne.
    Passaggio 2. Fare clic su Aggiungi categoria per aggiungere una categoria URL personalizzata.
    Passaggio 3. Assegnare un CategoryName univoco.
    Passaggio 4. (Facoltativo) Aggiungere Una Descrizione.

    Passaggio 5. Da Ordine elenco, scegliere la prima categoria da posizionare in alto.

    Passaggio 6. Dall'elenco a discesa Category Typedrop, scegliere Local Custom Category (Categoria personalizzata locale).

    Passaggio 7. Aggiungere gli URL di Microsoft Update nella sezione Siti.

    tip-icon

    Suggerimento: È possibile controllare l'elenco degli aggiornamenti Microsoft dal seguente collegamento: Passaggio 2 - Configurazione di WSUS | Microsoft Learn

    caution-icon

    Attenzione: Non copiare/incollare gli URL come nei documenti Microsoft; formattarli correttamente come formato SWA. Per ulteriori informazioni, visitare: Configure Custom URL Categories in Secure Web Appliance - Cisco

    Passaggio 8. Inviare

    2. Creare un profilo di identificazione per esentare il traffico degli aggiornamenti Microsoft dall'autenticazione

    Passaggio 9.Dalla GUI, selezionare Web Security Manager e fare clic su Profili di identificazione.
    Passaggio 10. Fare clic su Aggiungi profilo per aggiungere un profilo.
    Passaggio 11. Utilizzare la casella di controllo Abilita profilo di identificazione per abilitare o disabilitare rapidamente il profilo senza eliminarlo.
    Passaggio 12. Assegnare un profileName univoco.
    Passaggio 13. (Facoltativo) Aggiungere Una Descrizione.
    Passaggio 14.Dall'elenco a discesa Inserisci, scegliere la posizione in cui visualizzare il profilo nella tabella.

    Passaggio 15. Nella sezione User Identification Method (Metodo di identificazione utente), selezionare Exempt from authentication/identification (Esenzione dall'autenticazione/identificazione).

    Passaggio 16.Nella finestra Definisci membri per subnet, se si desidera passare attraverso il traffico Microsoft per alcuni utenti specifici, immettere gli indirizzi IP o le subnet applicabili oppure lasciare vuoto questo campo per includere tutti gli indirizzi IP. 

    Passaggio 17. Dalla sezione Avanzate, scegliere Categorie URL personalizzate.

    Passaggio 18. Aggiungere la categoria URL personalizzata creata per gli aggiornamenti Microsoft.

    Passaggio 19. Fare clic su Fine.

    Passaggio 20. Inviare

    3. Creare un criterio di decrittografia per il passaggio del traffico degli aggiornamenti Microsoft

    Passaggio 21.Dalla GUI, selezionare Web Security Manager, quindi fare clic su Criterio di decrittografia.

    Passaggio 2. Fare clic su Aggiungi criterio per aggiungere un criterio di decrittografia.

    Passaggio 23.Utilizzare la casella di controllo Abilita criterio per abilitare questo criterio.
    Passaggio 24. Assegnare un PolicyName univoco.
    Passaggio 25. (Facoltativo) Aggiungere Una Descrizione.
    Passaggio 26.Dall'elenco a discesa Inserisci sopra criterio, scegliere il primo criterio.

    Passaggio 27.Da Profili di identificazione e utenti, scegliere il Profilo di identificazione creato nei passaggi precedenti.

    Passaggio 28. Inviare.

    Passaggio 29. Nella pagina Criteri di decrittografia, in Filtro URL, fare clic sul collegamento associato a questo nuovo criterio di decrittografia.

    Passaggio 30. Selezionare PassThrough come categoria di azioni per gli URL degli aggiornamenti Microsoft.

    Passaggio 31. Sottomettere

    4. Creare un criterio di accesso per consentire il traffico degli aggiornamenti Microsoft

    Passaggio 32.Dalla GUI, selezionare Web Security Manager, quindi fare clic su Access Policy (Policy di accesso).

    Passaggio 3. Fare clic su Aggiungi criterio per aggiungere un criterio di accesso.

    Passaggio 34.Utilizzare la casella di controllo Abilita criterio per abilitare questo criterio.
    Passaggio 35. Assegnare un PolicyName univoco.
    Passaggio 36. (Facoltativo) Aggiungere Una Descrizione.
    Passaggio 37.Dall'elenco a discesa Inserisci sopra criterio, scegliere il primo criterio.

    Passaggio 38.Da Profili di identificazione e utenti, scegliere il Profilo di identificazione creato nei passaggi precedenti.

    Passaggio 39. Sottomettere.

    Passaggio 40. Nella pagina Criteri di accesso, in Filtro URL, fare clic sul collegamento associato a questo nuovo criterio di accesso

    Passaggio 41. Selezionare Consenti l'azione per la categoria URL personalizzato creata per gli aggiornamenti Microsoft.

    Passaggio 42. Inviare

    Passaggio 43. Eseguire il commit delle modifiche.

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    2.0
    14-Feb-2025
    Formattazione, aggiornamenti.
    1.0
    11-Oct-2024
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Amirhossein Mojarrad
      Tecnico di consulenza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti