SWAでの復号レートの決定
はじめに
このドキュメントでは、以前はWSAと呼ばれていたSecure Web Appliance(SWA)で復号化されたトラフィックの割合を計算する手順について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- インストールされている物理または仮想Secure Web Appliance(SWA)。
- ライセンスが有効化またはインストールされている。
- セキュアシェル(SSH)クライアント。
- セットアップウィザードが完了しました。
- SWAへの管理アクセス。
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
復号化のパフォーマンスへの影響
SWAが実行するすべてのサービスの中で、パフォーマンスの観点から見ると、Hypertext Transfer Protocol Secure(HTTPS)トラフィックの評価が最も重要です。
復号化されたトラフィックの割合は、アプライアンスのサイジング方法に直接影響します。管理者は、Webトラフィックの少なくとも75 %がHTTPSになると見なすことができます。
最初のインストールの後、将来の成長に対する期待が正確に設定されるように、復号化されたトラフィックの割合を決定する必要があります。導入後は、この数値を四半期ごとに1回確認する必要があります。
復号化率が30 %を超えており、SWAにパフォーマンスの問題がある場合は、次のいずれかを推奨します。
- さまざまなカテゴリまたは信頼できるURL(Microsoft Updateやウイルス対策プログラムの更新など)の復号化ポリシーから復号化を削除する
- 負荷を分散するために、より多くのSWA間でロードバランシングを行う
ヒント:SWAで復号化をバイパスする方法の詳細については、https://www.cisco.com/c/en/us/support/docs/security/web-security-appliance/214746-how-to-exempt-office-365-traffic-from-au.htmlを参照してください。
復号化率を計算する手順
すべてのHTTPSトラフィックと比較して、復号化されたHTTPSトラフィックの割合を確認するには、SWAファイル転送プロトコル(FTP)からaccess_logsをコピーします。
この番号は、単純なBashまたはPowerShellコマンドを使用して取得できます。各環境について説明する手順を次に示します。
1.合計HTTPS接続数を確認します(明示的および透過的の両方)。
Bash:
grep -cE 'tunnel://|TCP_CONNECT' aclog.current
PowerShell:
(Get-Content aclog.current | Select-String -Pattern 'tunnel://|TCP_CONNECT').length2.復号化されたHTTPS接続の数を調べます。
Bash:
grep -E 'tunnel://|TCP_CONNECT' aclog.current | grep -c DECRYPT
PowerShell:
(Get-Content aclog.current | Select-String -Pattern 'tunnel://|TCP_CONNECT’| Select-String -Pattern ‘DECRYPT’).length3. 2番目の値を1番目の値で割り、100で乗算します。
CLIからの全体的なトラフィック統計情報
accessloganalyzerコマンドを使用すると、CLIでトラフィックの統計情報を表示できます。このコマンドでは、レポート用に時間範囲または過去N時間を選択できます。
注:コマンドの実行時間は、選択した期間によって異なります。
SWA_CLI> accessloganalyzer
Choose the option to define the time range:
- HOURS - Last N hours.
- RANGE - Time range with start and end specified in MM/DD/YYYY HH:MM:SS format.
[]> HOURS
Analyze logs upto N hours old (oldest on this WSA is N = 312 hours). Enter N:
[]> 10
The log processing might take more than 15 secs. Do you want to continue: (Yes/No)
[No]> yes
-------------------------------------------------------------------------------------------------------
HTTP HTTPS Cumulative
---------------------------------------- -------------------- -------------------- --------------------
Num transactions 1512509 4170261 5682770
Transaction/sec 42 115 157
Bandwidth (Mbps) 0.0001 0.0004 0.0003
Max Resp time (ms) 643269 285036670 285036670
Average Resp time(ms) 95663 141715 129458
Max Object size (KB) 92246 1215832 1215832
Avg Object size (Total Trans)(KB) 5 54 41
Avg Object size (Allowed Trans) (KB) 20 67 62
Methods
GET 1295658 0 1295658
POST 34968 0 34968
CONNECT 0 4170261 4170261
Others 181883 0 181883
Status Codes
1xx 0 0 0
2xx 319799 3351382 3671181
3xx 75011 0 75011
4xx 11697 115467 127164
5xx 1105999 703412 1809411
-------------------------------------------------------------------------------------------------------関連情報
AsyncOSAsyncOSまたはCisco Cisco Web Applianceユーザガイド – LD(LimLDed導入) – シスコ
UCiscocure Webアプライアンスのベストプラクティス – シスコ
Ciscoセキュリティアプライアンス(WSA)でのOffice 365トラフィックの認証と復号化のシスコ免除 – WSAco
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
07-Jul-2023 |
初版 |
フィードバック