Manualsbrain.com
  1. Manuals
  2. Brands
  3. Cisco
  4. Cisco ScanSafe Wi-Fi Hotspot Security
  5. Leaflet

Cisco Cisco ScanSafe Wi-Fi Hotspot Security Leaflet

Download
Page of 27
 
 
© 2012 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 
Page 9 of 27 
ASA Identity Firewall polices can be used in conjunction with CWS policies, and when used they will be carried to 
the CWS service, which can then use this identity information for the cloud polices. 
For ASA Identity Firewall to be active, you must have an Active Directory domain-based network, and you must 
also have an Active Directory Agent (Cisco Directory Agent) installed in your network. 
Following are the requirements: 
ASA Firewall: 
 
Download the Active Directory group from the Active Directory domain controller with the Lightweight 
Directory Access Protocol (LDAP). 
 
Receive IP-user mappings from the Active Directory Agent with the RADIUS protocol. 
 
Report IP-user mappings from VPN or cut-through proxy to the Active Directory Agent. 
 
Apply policies (access control list [ACL] and Multi-Processor Forwarding [MPF]) based on user identity. 
 
Active Directory Agent: 
 
Monitor the security logs of the Active Directory domain controllers with Windows Management 
Instrumentation (WMI). 
 
Push IP-user mappings to ASA with the RADIUS protocol. 
 
Receive IP-user mappings from ASA with the RADIUS protocol. 
 
Active Directory domain controller: 
 
Authenticate users. 
 
Generate user logon security logs. 
 
Reply to the ASA LDAP query for user and group information. 
 
Here is a link to the Identity Firewall Configuration Guide: 
http://tools.cisco.com/squish/A0068
 
Verification of Traffic Redirection to CWS 
There are various ways to test redirection to the CWS proxy. Perform the following steps to confirm that the web 
traffic of clients is being redirected to the proxy: 
1.  Open a web browser on a client machine that is behind the ASA. 
2.  In the URL window of your browser, type 
. Details such as your ScanCenter 
account name, group name(s), and usernames will be displayed. If a message is displayed stating “User is 
not currently using the service”, then the client’s web traffic is not being redirected to the cloud web proxy. 
3.  Try to browse to 
. The site should be blocked and you should see the default blocking page. 
Confirm that the reason for the block is identified spyware. 
4.  Browse to the homepage of one of the major search engines (Google, Yahoo, or Bing) and run a search. 
SearchAhead icons should be present next to the search results.