Cisco Cisco Web Security Appliance S670 ユーザーガイド
16-2
思科网络安全设备 AsyncOS 8.8 用户指南
第 16 章 防止敏感数据丢失
管理上传请求
要限制和控制从网络泄露的数据,您可执行以下任务:
绕过低于最小大小的上传请求
为了帮助减少日志文件中记录的上传请求数,您可以定义最小请求正文大小,让 Cisco IronPort
数据安全过滤器或外部 DLP 服务器不扫描低于最低大小的上传请求。
数据安全过滤器或外部 DLP 服务器不扫描低于最低大小的上传请求。
为此,请使用以下 CLI 命令:
•
datasecurityconfig。
适用于 Cisco IronPort 数据安全过滤器。
•
externaldlpconfig。
适用于已配置的外部 DLP 服务器。
两个 CLI 命令的默认最小请求正文大小为 4 KB (4096 个字节)。有效值为 1 至 64 KB。您指
定的大小适用于上传请求正文的整个大小。
定的大小适用于上传请求正文的整个大小。
注
当启用时, Cisco IronPort 数据安全过滤器或外部 DLP 服务器会扫描所有数据块编码的上传和
所有本地 FTP 事务。但是,它们仍然可以基于自定义 URL 类别来绕过某些项。
所有本地 FTP 事务。但是,它们仍然可以基于自定义 URL 类别来绕过某些项。
用户遇到请求被阻情况
当 Cisco IronPort 数据安全过滤器或外部 DLP 服务器阻止一个上传请求时,它会提供一个阻止
页面,由 Web 代理发送给最终用户。并非所有网站均向最终用户显示阻止页面。例如,某些
Web 2.0 网站使用 JavaScript 而不是静态网页来显示动态内容,所以无法显示阻止页面。用户因
违反数据安全而仍受到阻止,但网站并不会始终向用户通报此情况。
页面,由 Web 代理发送给最终用户。并非所有网站均向最终用户显示阻止页面。例如,某些
Web 2.0 网站使用 JavaScript 而不是静态网页来显示动态内容,所以无法显示阻止页面。用户因
违反数据安全而仍受到阻止,但网站并不会始终向用户通报此情况。
管理上传请求
准备工作
•
转到安全服务 (Security Services) > 数据安全过滤器 (Data Security Filters) 以启用 Cisco
IronPort 数据安全过滤器。
IronPort 数据安全过滤器。
步骤 1
创建和配置数据安全策略组。在评估上传请求时, Cisco IronPort 数据安全策略使用 URL 过
滤、 Web 信誉和上传内容信息。您配置每个安全组件以确定是否阻止上传请求。
滤、 Web 信誉和上传内容信息。您配置每个安全组件以确定是否阻止上传请求。
任务
任务链接
创建 Cisco IronPort 数据安全策略
管理上传请求 (第 13-2 页)
创建外部 DLP 策略
在外部 DLP 系统上管理上传请求 (第 13-3 页)
创建数据安全和外部 DLP 策略
使用 Cisco IronPort 数据安全策略控制上
传请求
传请求
管理上传请求的设置 (第 13-7 页)
使用外部 DLP 策略控制上传请求
使用外部 DLP 策略控制上传请求 (第 13-11 页)