Cisco Cisco Web Security Appliance S670 ユーザーガイド
16-3
思科网络安全设备 AsyncOS 8.8 用户指南
第 16 章 防止敏感数据丢失
在外部 DLP 系统上管理上传请求
当 Web 代理将上传请求与控制设置进行比较时, Web 代理会按顺序评估设置。每个控制设置可
配置为执行 Cisco IronPort 数据安全策略的以下操作之一:
配置为执行 Cisco IronPort 数据安全策略的以下操作之一:
对于 Cisco IronPort 数据安全策略,只有阻止操作是 Web 代理对客户端请求采取的最终操作。
监控和允许操作是中间操作。在这两种情况下, Web 代理均会根据外部 DLP 策略 (如果已配
置)和访问策略来评估事务。 Web 代理基于访问策略组控制设置 (或可能阻止请求的适用外部
DLP 策略)来确定应采取哪个最终操作。
监控和允许操作是中间操作。在这两种情况下, Web 代理均会根据外部 DLP 策略 (如果已配
置)和访问策略来评估事务。 Web 代理基于访问策略组控制设置 (或可能阻止请求的适用外部
DLP 策略)来确定应采取哪个最终操作。
相关主题
•
在外部 DLP 系统上管理上传请求 (第 13-3 页)
•
在外部 DLP 系统上管理上传请求
要将网络安全设备配置为处理对外部 DLP 系统的上传请求,请执行以下任务:
步骤 1
依次选择网络 (Network) > 外部 DLP 服务器 (External DLP Servers)。定义外部 DLP 系统。要
将上传请求传送到外部 DLP 系统进行扫描,必须在网络安全设备上至少定义一个符合 ICAP 要
求的 DLP 系统。
将上传请求传送到外部 DLP 系统进行扫描,必须在网络安全设备上至少定义一个符合 ICAP 要
求的 DLP 系统。
步骤 2
创建和配置外部 DLP 策略组。在定义外部 DLP 系统之后,创建和配置外部 DLP 策略组以确定
将哪个上传请求发送到 DLP 系统进行扫描。
将哪个上传请求发送到 DLP 系统进行扫描。
步骤 3
当上传请求匹配外部 DLP 策略时,Web 代理使用互联网内容适配协议 (ICAP) 将上传请求发送
到 DLP 系统进行扫描。 DLP 系统扫描请求正文内容并向 Web 代理返回阻止或允许裁决。允许
裁决类似于 Cisco IronPort 数据安全策略的允许操作,上传请求将与访问策略进行比较。 Web
代理对请求采取的最终操作由适用的访问策略来确定。
到 DLP 系统进行扫描。 DLP 系统扫描请求正文内容并向 Web 代理返回阻止或允许裁决。允许
裁决类似于 Cisco IronPort 数据安全策略的允许操作,上传请求将与访问策略进行比较。 Web
代理对请求采取的最终操作由适用的访问策略来确定。
相关主题
•
•
操作
说明
阻止
(Block)
(Block)
Web 代理不允许进行连接,而是显示最终用户通知页面,说明阻止的原因。
允许
(Allow)
(Allow)
Web 代理绕过数据安全策略安全服务扫描的剩余部分,然后在采取最终操作之前
根据访问策略评估请求。
根据访问策略评估请求。
对于 Cisco IronPort 数据安全策略,请允许绕过数据安全扫描的剩余部分,但不
绕过外部 DLP 或访问策略扫描。 Web 代理对请求采取的最终操作由适用的访问
策略 (或可能阻止请求的适用外部 DLP 策略)来确定。
绕过外部 DLP 或访问策略扫描。 Web 代理对请求采取的最终操作由适用的访问
策略 (或可能阻止请求的适用外部 DLP 策略)来确定。
监控
(Monitor)
(Monitor)
Web 代理继续将事务与其他数据安全策略组控制设置进行比较以确定是阻止该事
务还是根据访问策略对事务进行评估。
务还是根据访问策略对事务进行评估。