此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。
本文介绍有关思科网络安全设备(WSA)的网络信誉得分(WBRS)和分类功能的最常见问题。
Web信誉过滤器将基于Web的信誉得分(WBRS)分配给URL,以确定其包含基于URL的恶意软件的可能性。网络安全设备使用网络信誉得分在恶意软件攻击发生之前识别并阻止它们。您可以将网络信誉过滤器与访问、解密和思科数据安全策略结合使用。
Internet网站是根据这些网站的行为和用途而分类的,为了使代理的管理员更容易,我们已将每个网站URL添加到预定义的类别中,在该类别中,可以出于安全和报告目的对其进行识别。不属于预定义类别之一的网站称为未分类网站,这可能是由于新网站的创建以及确定其类别所需的数据/流量不足。而且这种情况会随时间而改变。
您通过思科网络安全设备(WSA)提出的每个请求都应附有基于Web的信誉得分(WBRS)分数和URL类别。其中一种查看方法是通过访问日志,例如:基于Web的信誉得分(WBRS)得分为(-1.4),URL类别为:计算机和Internet。
以上屏幕截图的文本引用。
1563214694.033 117 xx.xx.xx.xx TCP_MISS/302 1116 GET https://example.com - DIRECT/example.com text/html DEFAULT_CASE_12-DefaultGroup-DefaultGroup-NONE-NONE-NONE-DefaultGroup-NONE-1.4 ,0,"-",0,0,0,-,"-",-,-,-,"-",-,-,"-","-",-,-,IW_comp,-,"-","-","Unknown","Unknown","-","-",76.31,0,-,"Unknown","-",-,"-",-,-,"-","-",-,-,"-",-> -
基于Web的信誉得分(WBRS)更新日志可在updater_logs下找到,您可以通过文件传输协议(FTP)登录到管理界面下载这些日志。或通过命令行界面(CLI)。
要使用终端查看日志,请执行以下操作:
WSA.local (SERVICE)> tail
Currently configured logs:
1. "xx.xx.xx.xx" Type: "Configuration Logs" Retrieval: FTP Push - Host
xx.xx.xx.xx
2. "Splunk" Type: "Access Logs" Retrieval: FTP Poll
3. "accesslogs" Type: "Access Logs" Retrieval: FTP Push - Host xx.xx.xx.xx
4. "amp_logs" Type: "AMP Engine Logs" Retrieval: FTP Poll
5. "archiveinspect_logs" Type: "ArchiveInspect Logs" Retrieval: FTP Poll
....
43. "uds_logs" Type: "UDS Logs" Retrieval: FTP Poll
44. "updater_logs" Type: "Updater Logs" Retrieval: FTP Poll
45. "upgrade_logs" Type: "Upgrade Logs" Retrieval: FTP Poll
46. "wbnp_logs" Type: "WBNP Logs" Retrieval: FTP Poll
47. "webcat_logs" Type: "Web Categorization Logs" Retrieval: FTP Poll
48. "webrootlogs" Type: "Webroot Logs" Retrieval: FTP Poll
49. "webtapd_logs" Type: "Webtapd Logs" Retrieval: FTP Poll
50. "welcomeack_logs" Type: "Welcome Page Acknowledgement Logs" Retrieval: FTP
Poll
Enter the number of the log you wish to tail.
[]> 44
Press Ctrl-C to stop scrolling, then `q` to quit.
Mon Jul 15 19:24:04 2019 Info: mcafee updating the client manifest
Mon Jul 15 19:24:04 2019 Info: mcafee update completed
Mon Jul 15 19:24:04 2019 Info: mcafee waiting for new updates
Mon Jul 15 19:36:43 2019 Info: wbrs preserving wbrs for upgrades
Mon Jul 15 19:36:43 2019 Info: wbrs done with wbrs update
Mon Jul 15 19:36:43 2019 Info: wbrs verifying applied files
Mon Jul 15 19:36:58 2019 Info: wbrs Starting heath monitoring
Mon Jul 15 19:36:58 2019 Info: wbrs Initiating health check
Mon Jul 15 19:36:59 2019 Info: wbrs Healthy
Mon Jul 15 19:37:14 2019 Info: wbrs Initiating health check
Mon Jul 15 19:37:15 2019 Info: wbrs Healthy
Mon Jul 15 19:37:30 2019 Info: wbrs Initiating health check
Mon Jul 15 19:37:31 2019 Info: wbrs Healthy
Mon Jul 15 19:37:46 2019 Info: wbrs Initiating health check
Mon Jul 15 19:37:47 2019 Info: wbrs Healthy
Mon Jul 15 19:38:02 2019 Info: wbrs updating the client manifest
Mon Jul 15 19:38:02 2019 Info: wbrs update completed
Mon Jul 15 19:38:03 2019 Info: wbrs waiting for new updates
Mon Jul 15 20:30:23 2019 Info: Starting scheduled release notification fetch
Mon Jul 15 20:30:24 2019 Info: Scheduled next release notification fetch to occur at Mon Jul 15 23:30:24 2019
Mon Jul 15 23:30:24 2019 Info: Starting scheduled release notification fetch
Mon Jul 15 23:30:25 2019 Info: Scheduled next release notification fetch to occur at Tue Jul 16 02:30:25 2019
为了确保您的思科网络安全设备(WSA)能够获取新更新。请验证您是否已连接到以下传输控制协议(TCP)端口80和443上的Cisco更新服务器:
wsa.local (SERVICE)> telnet updates.ironport.com 80
Trying xx.xx.xx.xx...
Connected to updates.ironport.com.
Escape character is '^]'.
wsa.calo (SERVICE)> telnet upgrades.ironport.com 80
Trying xx.xx.xx.xx...
Connected to upgrades.ironport.com.
Escape character is '^]'.
注意:如果您有任何上游代理,请通过上游代理执行上述测试。
在验证思科网络安全设备(WSA)和思科TALOS具有相同的信誉得分后,但您仍认为这不是有效的结果,因此需要通过提交与思科TALOS团队的争议来解决此问题。
这可以通过以下链接完成:https://talosintelligence.com/reputation_center/support
要提交争议,请按照以下说明操作。
点击“查找”(Lookup)和手动更改分数的选项后的结果。
注意:Cisco TALOS提交可能需要一些时间才能反映在数据库上,如果问题紧急,您始终可以创建WHITELIST或BLOCKLIST,作为解决问题的方法,直到问题从Cisco后端解决。为此,您可以检查此部分(如何将白名单或黑名单URL)。
在验证思科网络安全设备(WSA)和思科TALOS具有相同分类后,但您仍认为这不是有效结果,因此需要通过提交与思科TALOS团队的争议来解决此问题。
转至TALOS网站中的分类提交页面:https://talosintelligence.com/reputation_center/support#categorization
要提交争议,请按照以下说明操作。
要更新类别,请从下拉菜单中选择您认为更适合网站的内容,并确保遵循评论指南。
如果您向Cisco TALOS提交了案例,信誉/分数在3-4天内未更新。您可以检查更新设置,并确保您能访问Cisco更新的服务器。如果所有这些步骤都可以,则您可以向Cisco TAC开单,思科工程师将协助您跟进Cisco TALOS团队。
注意:您可以应用白名单/阻止列表工作,以应用所需的操作,直到类别/信誉从思科TALOS团队更新。
由于多种原因(主要是与更新服务器通信),思科网络安全设备(WSA)上的数据库可能已过时,请按照以下步骤验证您是否具有正确的更新服务器和连接。
1.验证端口80和443上是否具有Cisco更新服务器的连接:
wsa.local (SERVICE)> telnet updates.ironport.com 80
Trying xx.xx.xx.xx...
Connected to updates.ironport.com.
Escape character is '^]'.
wsa.calo (SERVICE)> telnet upgrades.ironport.com 80
Trying xx.xx.xx.xx...
Connected to upgrades.ironport.com.
Escape character is '^]'.
2.如果您有任何上游代理,请确保上游代理通过上游代理执行上述测试。
3.如果连接正常,但您仍看到差异,则手动强制更新:立即从CLI或从GUI->安全服务 — >恶意软件防护 — >立即更新。
等待几分钟,如果这不起作用,请检查下一步。
4.此时,您需要检查updater_logs:打开终端:CLI->tail->(选择updater_logs日志文件的数量。)这将使更新日志仅显示新行。
日志行应以下行“Received remote command to signal a manual update”开头:
Mon Jul 15 19:14:12 2019 Info: Received remote command to signal a manual update
Mon Jul 15 19:14:12 2019 Info: Starting manual update
Mon Jul 15 19:14:12 2019 Info: Acquired server manifest, starting update 342
Mon Jul 15 19:14:12 2019 Info: wbrs beginning download of remote file "http://updates.ironport.com/wbrs/3.0.0/ip/default/1563201291.inc"
Mon Jul 15 19:14:12 2019 Info: wbrs released download lock
Mon Jul 15 19:14:13 2019 Info: wbrs successfully downloaded file "wbrs/3.0.0/ip/default/1563201291.inc"
Mon Jul 15 19:14:13 2019 Info: wbrs started applying files
Mon Jul 15 19:14:13 2019 Info: wbrs started applying files
Mon Jul 15 19:14:13 2019 Info: wbrs applying component updates
Mon Jul 15 19:14:13 2019 Info: Server manifest specified an update for mcafee
Mon Jul 15 19:14:13 2019 Info: mcafee was signalled to start a new update
Mon Jul 15 19:14:13 2019 Info: mcafee processing files from the server manifest
Mon Jul 15 19:14:13 2019 Info: mcafee started downloading files
Mon Jul 15 19:14:13 2019 Info: mcafee waiting on download lock
5.检查是否有任何“严重/警告”消息,更新日志是可读的非常人类错误,而且很可能会引导您找出问题所在。
6.如果没有答案,您可以使用上述步骤的结果,在思科支持下打开一张票,他们将很乐意提供帮助。
为特定网站分配分数时考虑的一些参数:
分数 |
操作 |
描述 |
示例 |
-10 到 -6.0 (差) |
阻止 |
站点不正确。请求被阻止, 没有进一步的恶意软件扫描 。 |
|
-5.9 到 5.9 (中性) |
扫描 |
未确定的地点。请求为 已传递至DVS引擎, 恶意软件扫描。的 DVS引擎扫描请求 和服务器响应内容。 |
|
6.0 到 10.0 (好) |
允许 |
好地方。允许请求。 无需恶意软件扫描。 |
|
分数 |
操作 |
描述 |
-10 到 -9.0 (差) |
丢弃 |
站点不正确。请求将被丢弃,但不会向最终用户发送通知。使用 此设置应谨慎。 |
-8.9 到 5.9 (中性) |
解密 |
未确定的地点。允许请求,但连接已解密 和访问策略将应用于解密的流量。 |
6.0 到 10.0 (好) |
通过 |
好地方。请求在不检查或解密的情况下通过。 |
分数 |
操作 |
描述 |
-10 到 -6.0 (差) |
阻止 |
站点不正确。事务被阻止,并且不再进行进一步扫描。 |
-5.9 到 0.0 (中性) |
监控 |
不会根据Web信誉阻止事务,并将继续内容检查(文件类型和大小)。 注意无分数的站点受监控。 |
未分类的URL是思科数据库没有足够信息来确认其类别的URL。通常是新创建的网站。
1.转至所需的访问策略:Web安全管理器 — >访问策略。
2.向下滚动到未分类URL部分。
3.选择所需操作之一,即“监控”、“阻止”或“警告”。
4.提交和提交更改。
更新检查频率可以使用以下命令从CLI更新:updateconfig
WSA.local (SERVICE)> updateconfig
Service (images): Update URL:
------------------------------------------------------------------------------
Webroot Cisco Servers
Web Reputation Filters Cisco Servers
L4 Traffic Monitor Cisco Servers
Cisco Web Usage Controls Cisco Servers
McAfee Cisco Servers
Sophos Anti-Virus definitions Cisco Servers
Timezone rules Cisco Servers
HTTPS Proxy Certificate Lists Cisco Servers
Cisco AsyncOS upgrades Cisco Servers
Service (list): Update URL:
------------------------------------------------------------------------------
Webroot Cisco Servers
Web Reputation Filters Cisco Servers
L4 Traffic Monitor Cisco Servers
Cisco Web Usage Controls Cisco Servers
McAfee Cisco Servers
Sophos Anti-Virus definitions Cisco Servers
Timezone rules Cisco Servers
HTTPS Proxy Certificate Lists Cisco Servers
Cisco AsyncOS upgrades Cisco Servers
Update interval for Web Reputation and Categorization: 12h
Update interval for all other services: 12h
Proxy server: not enabled
HTTPS Proxy server: not enabled
Routing table for updates: Management
The following services will use this routing table:
- Webroot
- Web Reputation Filters
- L4 Traffic Monitor
- Cisco Web Usage Controls
- McAfee
- Sophos Anti-Virus definitions
- Timezone rules
- HTTPS Proxy Certificate Lists
- Cisco AsyncOS upgrades
Upgrade notification: enabled
Choose the operation you want to perform:
- SETUP - Edit update configuration.
- VALIDATE_CERTIFICATES - Validate update server certificates
- TRUSTED_CERTIFICATES - Manage trusted certificates for updates
[]>
注意:上述值显示我们检查更新的频率,但不显示我们发布信誉和其他服务新更新的频率。更新可随时提供。
或从GUI:系统管理 — >升级和更新设置。
有时,Cisco TALOS的URL更新需要时间,原因可能是信息不足。或者,由于网站仍未证明恶意行为的改变,因此无法改变声誉。此时,您可以将此URL添加到自定义URL类别,该类别在访问策略上允许/阻止或在解密策略上通过/丢弃,并保证URL在不经思科网络安全设备(WSA)或阻止的扫描或URL过滤检查的情况下送达。
要将URL列入白名单/黑名单,请执行以下步骤:
1.在自定义URL类别中添加URL。
从GUI中,转到Web Security Manager -> Custom和External URL Category。
2.单击“添加类别”:
3.添加与以下屏幕截图类似的网站:
4.转至所需访问策略(Web安全管理器 — >访问策略 — > URL过滤)中的URL过滤。
5.选择刚创建的白名单或黑名单,并将其包含在策略中。
6.在策略URL过滤设置中包括策略类别,如下所示。
7.定义操作“阻止到阻止列表”、“允许到白名单”。如果希望URL通过扫描引擎,请将操作保留为监控。
8.提交并提交更改。