已有帐户?

  •   个性化内容
  •   您的产品和支持

需要帐户?

创建帐户

Web名誉评分(WBRS)和Web目录引擎常见问题(FAQ)

下载选项

  • PDF     (1.5 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (1.2 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (743.4 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2019 年 8 月 5 日
文档 ID:214699
关于翻译

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    Web名誉评分(WBRS)和Web目录引擎常见问题(FAQ)。

    此条款描述在Web名誉评分(WBRS)和范畴功能的多数常见问题与Cisco Web安全工具(WSA)。

    什么Web名誉评分意味着?

    Web名誉过滤器分配基于Web的名誉评分(WBRS)到URL确定包含基于URL的malware的可能性。在他们发生前, Web安全工具使用Web名誉评分识别和终止malware攻击。您能以访问、解密和Cisco数据安全策略使用Web名誉过滤器。

    什么Web目录意味着?

    互联网网站是根据工作情况的类别,并且这些网站的目的,为了使容易对代理的管理员,我们添加了每个网站URL到一个预定义的类别,可以为安全被识别和报告目的。网站,称为uncategorized网站,可以归结于不属于到其中一个预定义的类别的新的网站创建和缺乏足够的数据/数据流,确定其类别。并且这在时间之前更改。

    如何查找在访问日志的名誉评分?

    您通过Cisco Web安全工具的每个请求(WSA)做应该有基于Web的名誉评分(WBRS)评分和URL类别附有它。并且其中一个方式查看它是通过访问日志,示例如下:基于Web的名誉评分(WBRS)评分是(-1.4),并且URL类别是:计算机和互联网。

    上述屏幕画面的文本参考。

    1563214694.033 117 xx.xx.xx.xx TCP_MISS/302 1116 GET https://example.com - DIRECT/example.com text/html DEFAULT_CASE_12-DefaultGroup-DefaultGroup-NONE-NONE-NONE-DefaultGroup-NONE <IW_comp,-1.4,0,"-",0,0,0,-,"-",-,-,-,"-",-,-,"-","-",-,-,IW_comp,-,"-","-","Unknown","Unknown","-","-",76.31,0,-,"Unknown","-",-,"-",-,-,"-","-",-,-,"-",-> -
    注意:

    如何查找在报告的名誉评分?

    1. 连接对Cisco Web安全工具(WSA) GUI - >报告- > Web跟踪
    2. 搜索您寻找的
    3. 结果页,在需要的链路的一公里和更多详细资料将出现作为下面。

    在哪里检查基于Web的名誉评分(WBRS)更新日志?

    日志可以被找到在updater_logs下的基于Web的名誉评分(WBRS)更新,您能通过文件传输协议(FTP)登录下载这些日志到管理接口。或者通过命令行界面(CLI)。

    使用终端,查看日志:

    1. 打开终端
    2. 键入tail命令。
    3. 选择了日志编号(变化取决于版本和被配置的日志的数量)。
    4. 日志将显示。

    WSA.local (SERVICE)> tail

    Currently configured logs:
    1. "xx.xx.xx.xx" Type: "Configuration Logs" Retrieval: FTP Push - Host
    xx.xx.xx.xx
    2. "Splunk" Type: "Access Logs" Retrieval: FTP Poll
    3. "accesslogs" Type: "Access Logs" Retrieval: FTP Push - Host xx.xx.xx.xx
    4. "amp_logs" Type: "AMP Engine Logs" Retrieval: FTP Poll
    5. "archiveinspect_logs" Type: "ArchiveInspect Logs" Retrieval: FTP Poll
    ....
    43. "uds_logs" Type: "UDS Logs" Retrieval: FTP Poll
    44. "updater_logs" Type: "Updater Logs" Retrieval: FTP Poll
    45. "upgrade_logs" Type: "Upgrade Logs" Retrieval: FTP Poll
    46. "wbnp_logs" Type: "WBNP Logs" Retrieval: FTP Poll
    47. "webcat_logs" Type: "Web Categorization Logs" Retrieval: FTP Poll
    48. "webrootlogs" Type: "Webroot Logs" Retrieval: FTP Poll
    49. "webtapd_logs" Type: "Webtapd Logs" Retrieval: FTP Poll
    50. "welcomeack_logs" Type: "Welcome Page Acknowledgement Logs" Retrieval: FTP
    Poll
    Enter the number of the log you wish to tail.
    []> 44

    Press Ctrl-C to stop scrolling, then `q` to quit.
    Mon Jul 15 19:24:04 2019 Info: mcafee updating the client manifest
    Mon Jul 15 19:24:04 2019 Info: mcafee update completed
    Mon Jul 15 19:24:04 2019 Info: mcafee waiting for new updates
    Mon Jul 15 19:36:43 2019 Info: wbrs preserving wbrs for upgrades
    Mon Jul 15 19:36:43 2019 Info: wbrs done with wbrs update
    Mon Jul 15 19:36:43 2019 Info: wbrs verifying applied files
    Mon Jul 15 19:36:58 2019 Info: wbrs Starting heath monitoring
    Mon Jul 15 19:36:58 2019 Info: wbrs Initiating health check
    Mon Jul 15 19:36:59 2019 Info: wbrs Healthy
    Mon Jul 15 19:37:14 2019 Info: wbrs Initiating health check
    Mon Jul 15 19:37:15 2019 Info: wbrs Healthy
    Mon Jul 15 19:37:30 2019 Info: wbrs Initiating health check
    Mon Jul 15 19:37:31 2019 Info: wbrs Healthy
    Mon Jul 15 19:37:46 2019 Info: wbrs Initiating health check
    Mon Jul 15 19:37:47 2019 Info: wbrs Healthy
    Mon Jul 15 19:38:02 2019 Info: wbrs updating the client manifest
    Mon Jul 15 19:38:02 2019 Info: wbrs update completed
    Mon Jul 15 19:38:03 2019 Info: wbrs waiting for new updates
    Mon Jul 15 20:30:23 2019 Info: Starting scheduled release notification fetch
    Mon Jul 15 20:30:24 2019 Info: Scheduled next release notification fetch to occur at Mon Jul 15 23:30:24 2019
    Mon Jul 15 23:30:24 2019 Info: Starting scheduled release notification fetch
    Mon Jul 15 23:30:25 2019 Info: Scheduled next release notification fetch to occur at Tue Jul 16 02:30:25 2019

    如何验证是否有连接到基于Web的名誉评分(WBRS)更新服务器?

    为了确定您的Cisco Web安全工具(WSA)能得到新的更新。请验证您有连接到Cisco在以下传输控制协议(TCP)端口80和443的更新的服务器:

    wsa.local (SERVICE)> telnet updates.ironport.com 80
    Trying xx.xx.xx.xx...
    Connected to updates.ironport.com.
    Escape character is '^]'.

    wsa.calo (SERVICE)> telnet upgrades.ironport.com 80
    Trying xx.xx.xx.xx...
    Connected to upgrades.ironport.com.
    Escape character is '^]'.

    Note:如果有任何上行代理,请通过您的上行代理进行上述测试。

    您文件Web目录的争议?

    在验证以后Cisco Web有安全工具(WSA)和的Cisco TALOS同一名誉评分,但是您仍然认为这不是一个有效结果,然后此需要通过提交与Cisco TALOS小组的争议修正。

    使用以下链接,这可以执行:https://talosintelligence.com/reputation_center/support

    为了提交争议,请遵从下面的指令。

    结果在击中查找和选项以后手工更改评分。

    Note:Cisco TALOS提交在数据库也许采取一些时间被反射,如果问题是紧急的,您能总是创建WHITELISTBLOCKLIST,直到问题的一个解决方法从Cisco支持者固定的。为了执行那,您能检查此部分(如何对Whitelist或列入黑名单URL)

    Web名誉的文件争议如何计分?

    在验证以后Cisco Web有安全工具(WSA)和的Cisco TALOS同样目录,但是您仍然认为这不是一个有效结果,然后此需要通过提交与Cisco TALOS小组的争议修正。

    去目录提交页在TALOS网站:https://talosintelligence.com/reputation_center/support#categorization

    为了提交争议,请遵从下面的指令。

    要更新类别,从下拉菜单选择了什么您感觉更好适合网站,并且保证您遵从备注指南。

    归档了争议,但是评分或类别在Cisco Web安全工具(WSA)或Cisco TALOS上没获得更新。

    万一把与Cisco TALOS和名誉/评分的一项案件归档没获得更新在3-4天内。您能检查您的更新设置和保证您有可到达性到Cisco更新的服务器。如果所有这些步骤是好的,则您能继续和打开与Cisco TAC的一张票,并且Cisco工程师将协助解决您进一步进行的Cisco TALOS小组。

    Note:您能适用WHITELIST/BLOCKLIST解决方法从Cisco TALOS小组适用直到更新的类别/名誉获得的需要的动作。

    Cisco Web显示不同的结果比Cisco TALOS的安全工具(WSA),如何修正此?

    数据库可以是过时的在Cisco Web安全工具(WSA)上由于多个原因,与我们的更新服务器的主要通信,请遵从这些步骤验证您有正确的更新服务器和连接。

    1. 验证您有Cisco更新的服务器的连接在端口80和443 :

    wsa.local (SERVICE)> telnet updates.ironport.com 80
    Trying xx.xx.xx.xx...
    Connected to updates.ironport.com.
    Escape character is '^]'.

    wsa.calo (SERVICE)> telnet upgrades.ironport.com 80
    Trying xx.xx.xx.xx...
    Connected to upgrades.ironport.com.
    Escape character is '^]'.

    2. 如果有任何上行代理,请切记上行代理确定您通过您的上行代理进行上述测试。

    3. 如果连接优良是,并且仍然看到区别,则请手工强制更新:updatenow从CLI,或者从GUI->Security服务- > Malware保护- > updatenow

    等少量分钟和,如果那不请运作检查下一步。

    4. 这时您将需要检查updater_logs :打开终端:CLI->tail-> (选择了updater_logs日志文件的编号。)这将做更新日志显示仅新的线路。

    记录行应该从此线路“接收的remote command开始发信号一次手工的更新” :

    Mon Jul 15 19:14:12 2019 Info: Received remote command to signal a manual update
    Mon Jul 15 19:14:12 2019 Info: Starting manual update
    Mon Jul 15 19:14:12 2019 Info: Acquired server manifest, starting update 342
    Mon Jul 15 19:14:12 2019 Info: wbrs beginning download of remote file "http://updates.ironport.com/wbrs/3.0.0/ip/default/1563201291.inc"
    Mon Jul 15 19:14:12 2019 Info: wbrs released download lock
    Mon Jul 15 19:14:13 2019 Info: wbrs successfully downloaded file "wbrs/3.0.0/ip/default/1563201291.inc"
    Mon Jul 15 19:14:13 2019 Info: wbrs started applying files
    Mon Jul 15 19:14:13 2019 Info: wbrs started applying files
    Mon Jul 15 19:14:13 2019 Info: wbrs applying component updates
    Mon Jul 15 19:14:13 2019 Info: Server manifest specified an update for mcafee
    Mon Jul 15 19:14:13 2019 Info: mcafee was signalled to start a new update
    Mon Jul 15 19:14:13 2019 Info: mcafee processing files from the server manifest
    Mon Jul 15 19:14:13 2019 Info: mcafee started downloading files
    Mon Jul 15 19:14:13 2019 Info: mcafee waiting on download lock

    5. 检查所有“重要/警告的”消息,更新日志是非常人类易读的错误和很可能指导您问题的地方。

    6. 如果没有答案那么您能继续和打开与Cisco支持的一张票与上述步骤的结果,并且他们将是愉快协助解决。

    Web名誉评分被计算?

    考虑的某些参数,当分配评分到特定网站时:

    • URL目录数据
    • 可下载的代码出现
    • 出现长期,被弄暗淡的终端用户许可权协定(EULAs)
    • 全局容量和体积变化
    • 网络责任人信息
    • URL的历史记录
    • URL的使用周期
    • 在任何块列表的存在
    • 在其中任一的存在允许列表
    • 普遍的域URL排印错误
    • 域管理员信息
    • IP地址信息

    什么是其中每一个的评分范围名誉类别(好,中立,差) ?

    Web名誉范围和他们相关的动作:

    访问策略:

    评分

    动作

    说明

    示例

    -10到-6.0

    (差)

    坏站点。请求被拒绝,

    并且没有进一步malware扫描

    发生。
    • URL无下载信息。
    • 用户权限。
    • 在URL容量的突然的阻止。
    • URL是一个普遍的域的排印错误

    -5.9到5.9

    (中性)

    扫描

    未确定的站点。请求是

    通过对DVS引擎为

    进一步malware扫描。

    DVS引擎扫描请求

    并且服务器响应内容。
    • 最近有a的被创建的URL
    • 动态IP地址和包含
    • 可下载的内容。
    • 网络有a的责任人IP地址
    • 正Web名誉评分。

    6.0到10.0

    (好)

    准许

    好站点。请求允许。

    没有需要的malware扫描。
    • URL不包含可下载的内容。
    • 与悠久的历史的名声好,大容积域。
    • 域在数允许列表。
    • URL的没有链路与恶劣的名誉。

    解密策略:

    评分

    动作

    说明

     -10到-9.0

    (差)

    丢弃

    坏站点。请求下降没有公告被发送到终端用户。请使用

    此小心地设置。

     -8.9到5.9

    (中性)

    解密

    未确定的站点。请求允许,但是连接解码

    并且访问策略被运用于解密的数据流。

    6.0到10.0

    (好)

    通过

    好站点。请求通过通过没有检查或解密。

    Cisco数据安全策略:

    评分

    动作

    说明

     -10到-6.0

    (差)

    坏站点。处理被阻拦,并且进一步扫描不发生。

     -5.9到0.0

    (中性)

    监控程序

    处理不会根据Web名誉被阻拦和进行对内容检查(文件类型和大小)。

    没有评分的附注站点被监控。

    uncategorized网站是什么意思?

    Uncategorized URL是Cisco数据库没有确认足够的信息他们的类别的那个。通常新建立的网站。

    如何阻拦uncategorized URL ?

    1. 去期望访问策略:Web安全经理- >Access策略

    2. 移下来到Uncategorized URL部分。

    3. 选择了其中一个所需的动作,监控程序或者警告

    4.提交并且确认更改。

    如何常去更新的数据库获得?

    使用从CLI的以下命令更新检查频率可以更新二者之一:updateconfig

    WSA.local (SERVICE)> updateconfig

    Service (images): Update URL:

    ------------------------------------------------------------------------------
    Webroot Cisco Servers
    Web Reputation Filters Cisco Servers
    L4 Traffic Monitor Cisco Servers
    Cisco Web Usage Controls Cisco Servers
    McAfee Cisco Servers
    Sophos Anti-Virus definitions Cisco Servers
    Timezone rules Cisco Servers
    HTTPS Proxy Certificate Lists Cisco Servers
    Cisco AsyncOS upgrades Cisco Servers

    Service (list): Update URL:

    ------------------------------------------------------------------------------
    Webroot Cisco Servers
    Web Reputation Filters Cisco Servers
    L4 Traffic Monitor Cisco Servers
    Cisco Web Usage Controls Cisco Servers
    McAfee Cisco Servers
    Sophos Anti-Virus definitions Cisco Servers
    Timezone rules Cisco Servers
    HTTPS Proxy Certificate Lists Cisco Servers
    Cisco AsyncOS upgrades Cisco Servers

    Update interval for Web Reputation and Categorization: 12h
    Update interval for all other services: 12h

    Proxy server: not enabled
    HTTPS Proxy server: not enabled
    Routing table for updates: Management
    The following services will use this routing table:
    - Webroot
    - Web Reputation Filters
    - L4 Traffic Monitor
    - Cisco Web Usage Controls
    - McAfee
    - Sophos Anti-Virus definitions
    - Timezone rules
    - HTTPS Proxy Certificate Lists
    - Cisco AsyncOS upgrades

    Upgrade notification: enabled

    Choose the operation you want to perform:
    - SETUP - Edit update configuration.
    - VALIDATE_CERTIFICATES - Validate update server certificates
    - TRUSTED_CERTIFICATES - Manage trusted certificates for updates
    []>

    Note:上述值显示多么常见我们检查更新,但是没有多么常见我们发布为名誉和其他服务的新的更新。更新可以在任意时候取得到时间。

    或者从GUI :系统管理- >升级和更新设置。

    如何对whitelist/黑名单URL ?

    有时为URL的更新从Cisco TALOS花费时间,由于的二者之一缺乏足够的信息。或者没有办法更改名誉作为网站仍然没有证明在有恶意的工作情况上的变化。这时您能添加此URL到是在您的访问策略的允许/块或在您的解密策略的已通过/丢弃,并且将保证URL获得传送,不用扫描或URL过滤检查由Cisco Web安全工具的自定义URL类别(WSA)或阻拦。

    为了Whitelist/列入黑名单URL请遵从以下步骤:

    1.添加在自定义URL类别的URL。

    从GUI去Web安全经理- >自定义和外部URL类别

    2. 点击添加类别

    3. 添加网站类似于下面屏幕画面:

    4. 去在必需的访问策略(Web安全经理的URL过滤- >Access策略- > URL过滤)。

    5. 选择WHITELIST或列入黑名单我们创建了并且包括它在策略。

    6. 包括策略类别在策略URL过滤设置作为下面。

    7. 定义动作,阻拦对Blocklist,允许对Whitelist。并且,如果希望URL通过扫描引擎请保持动作作为监控程序。

    8.提交并且确认更改。

    TAC Authored

    由思科工程师提供

    • Fuad Asouli
      Cisco技术咨询工程师
    • Handy Putra
      Cisco技术咨询工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品