Cisco Cisco Web Security Appliance S670 사용자 가이드
16-8
思科网络安全设备 AsyncOS 8.8 用户指南
第 16 章 防止敏感数据丢失
定义外部 DLP 系统
配置外部 DLP 服务器
步骤 1
依次选择网络 (Network) > 外部 DLP 服务器 (External DLP Servers)。
步骤 2
点击编辑设置 (Edit Settings)。
步骤 3
(可选)可以通过点击添加行 (Add Row) 并在提供的新字段中输入 DLP 服务器信息,添加另一
台 DLP 服务器。
设置
说明
外部 DLP 服务器
(External DLP
Servers)
(External DLP
Servers)
输入以下信息以访问 ICAP 兼容 DLP 系统:
•
服务器地址 (Server address) 和端口 (Port) - 用于访问 DLP 系统的
主机名或 IP 地址和 TCP 端口。
主机名或 IP 地址和 TCP 端口。
•
重新连接尝试次数 (Reconnection attempts) - Web 代理在连接 DLP
系统失败之前的连接尝试次数。
系统失败之前的连接尝试次数。
•
DLP 服务 URL (Service URL) - 针对特定 DLP 服务器的 ICAP 查询
URL。 Web 代理将您在此处输入的内容包括在它发送到外部 DLP
服务器的 ICAP 请求中。 URL 必须以 ICAP 协议开头:icap://
URL。 Web 代理将您在此处输入的内容包括在它发送到外部 DLP
服务器的 ICAP 请求中。 URL 必须以 ICAP 协议开头:icap://
负载均衡
(Load Balancing)
如果定义了多台 DLP 服务器,可选择 Web 代理使用哪种负载均衡技术
将上传请求分配到不同 DLP 服务器。您可以选择以下负载均衡技术:
将上传请求分配到不同 DLP 服务器。您可以选择以下负载均衡技术:
•
无(故障切换)(None [failover])。Web 代理将上传请求定向到一台
DLP 服务器。它会尝试按照它们列出的顺序连接到 DLP 服务器。
如果一台 DLP 服务器无法接通,Web 代理尝试连接到列表中的下一
台服务器。
DLP 服务器。它会尝试按照它们列出的顺序连接到 DLP 服务器。
如果一台 DLP 服务器无法接通,Web 代理尝试连接到列表中的下一
台服务器。
•
最小连接数 (Fewest connections)。 Web 代理记录不同的 DLP 服务
器有多少个有效请求,然后将上传请求定向到当前处理最少连接数的
DLP 服务器。
器有多少个有效请求,然后将上传请求定向到当前处理最少连接数的
DLP 服务器。
•
基于散列 (Hash based)。Web 代理使用散列函数将请求分配到 DLP
服务器。散列函数使用代理 ID 和 URL 作为输入,以便相同 URL
的请求总是定向到同一台 DLP 服务器。
服务器。散列函数使用代理 ID 和 URL 作为输入,以便相同 URL
的请求总是定向到同一台 DLP 服务器。
•
循环法 (Round robin)。 Web 代理按列出的顺序在所有 DLP 服务器
之间均衡地循环上传请求。
之间均衡地循环上传请求。
服务请求超时
(Service Request
Timeout)
(Service Request
Timeout)
输入 Web 代理等待 DLP 服务器响应的时间。当超过此时间时, ICAP
请求失败,上传请求被阻止或允许,具体取决于故障处理设置。
请求失败,上传请求被阻止或允许,具体取决于故障处理设置。
默认值为 60 秒。
最大同时连接数
(Maximum
Simultaneous
Connections)
(Maximum
Simultaneous
Connections)
指定从网络安全设备到每个配置的外部 DLP 服务器的 ICAP 请求最大同
时连接数。此页面上的 “故障处理” (Failure Handling) 设置适用于超
过此限制的任何请求。
时连接数。此页面上的 “故障处理” (Failure Handling) 设置适用于超
过此限制的任何请求。
默认值为 25。
故障处理 (Failure
Handling)
Handling)
选择在 DLP 服务器无法提供及时响应时上传请求是被阻止还是允许
(传递到访问策略进行评估)。
默认为允许 (“允许在不扫描的情况下继续传输所有数据” (Permit all
data transfers to proceed without scanning))。
data transfers to proceed without scanning))。