Cisco Ironport M170/S170: Custom URL Filter einrichten

Cisco Ironport M170/S170: Custom URL Filter einrichten

Erstellen einer Liste:
  • M170 > Web > Configuration Master 8.7 > Custom URL Categories > Add Custom Categories > Name vergeben
  • Adressen hinzufügen (ohne führenden Punkt z.B. eBay.com).
Aktivieren:
  • M170 > Web > Configuration Master 8.7 >Access Policies > Url Filtering auswählen
  • Custom Category Aktion festlegen (z.B. Block)
  • Verhalten festlegen (Select Custrom Category > Include in Policy)
Speichern und mit Commit übertragen.
Anschließend auf den Webproxy deployen:
  • M170 > Web > Utilities > Publish to Webappliance > Publish configuration now > Appliance auswählen > Publish
Sollte es immer noch nicht funktionieren, die folgenden Punkte beachten:
  • Wurden die Einstellungen erfolgreich deployt?
  • Ist der Proxy aktiviert beim Client?
  • Wird beim Proxy eine URL statt einer IP verwendet, kann er auch aufgelöst werden?
  • Hat der Client Zugriff auf das Netz (sprich, ist der Client nur im Management Netz und hat kein Zugriff auf die Dataport Adresse)?
  • Wurde der Cache vom Browser geleert?

Cisco Ironports installiert

Bei einem unserer Kunden darf ich ein Cisco Ironportsystem einrichten welches der Kunde sich ausgesucht hat, welches aus M170 (Managementsystem), S170 (Websecurity) und zwei S170 (Mailprotection) besteht.

Das Ciscosystem ist bis auf einer S170 in einer DMZ einem Exchangesystem vorgelagert und schützt ein- und ausgehenden Web- und Mailverkehr.

Die Internetanbindung wird über ein Sophos HA Cluster realisiert.

In unserem Rechenzentrum steht hinter einem weiteren Sophos HA Cluster die andere S170. Die beiden S170 sind über einen VPN Tunnel verbunden.

Beide S170 sind im DNS eingerichtet, die zweite S170 als Backup MX.

Sollte die Hauptbox oder Leitung ausfallen, laufen Emails erstmal im Rechenzentrum auf und werden später wieder zugestellt wenn die Box wieder verfügbar ist.

LAN-DMZ

 

Der größte Teil ist schon realisiert und läuft – es fehlt noch die Anbindung im Rechenzentrum.


Cisco ASA Schulung

In Vorbereitung auf einer Umstellung bei einem Kunden auf Cisco Ironports (M170/S170/C170 sowie weitere C170 im RZ für Ausfallsicherheit) habe ich und ein Kollege bei Cisco an einer ASA Schulung teilgenommen.

Die Ironports laufen schon – bis auf die im RZ, die kommt aber noch in den nächsten 2 Wochen.

Wenn alles klappt. kommt dann im September (hoffentlich erst nach dem 2 Wochen Einsatz in Stockholm) die nächste Schulung für die Cisco Ironports.

Cisco