Cisco Cisco Identity Services Engine 1.3 개발자 가이드
Revised: November 9, 2015,
Cisco ISE 和 WSA 集成
Cisco ISE 和 WSA 集成概述
集成思科身份服务引擎 (ISE) 和 Web 安全设备 (WSA) 使 WSA 可以使用 ISE 提供的大量功能来识别终端并应用适当的访
问策略,其中最重要的是 TrustSec 安全组标记 (SGT) 功能。 使用 TrustSec SGT 功能,您可以将用户分类为不同的身份组。
例如,属于安全组 SGT10 的用户只能访问某些社交网站。 WSA 中的访问策略是使用 ISE 向用户会话分配的 SGT 标记创
建而成的。
问策略,其中最重要的是 TrustSec 安全组标记 (SGT) 功能。 使用 TrustSec SGT 功能,您可以将用户分类为不同的身份组。
例如,属于安全组 SGT10 的用户只能访问某些社交网站。 WSA 中的访问策略是使用 ISE 向用户会话分配的 SGT 标记创
建而成的。
WSA 不支持 802.1X 等身份验证方法。 通过将 WSA 与 ISE 集成,您可以使用更安全的 802.1X 身份验证方法通过 ISE 对
WSA 用户进行身份验证。 利用 Cisco pxGrid 功能可以向 WSA 分享来自 Cisco ISE 的基于情景的信息,从而对用户进行授
权以及应用相应策略。
权以及应用相应策略。
ISE-WSA 部署
通过集成 ISE 和 WSA,您可以根据用户的 IP 地址识别用户,因为 Cisco WSA 可从 Cisco ISE 获取 IP-用户映射。 为了降
低延迟和性能影响,建议在部署过程中在 Cisco ISE 和 WSA 之间保持最小距离。
低延迟和性能影响,建议在部署过程中在 Cisco ISE 和 WSA 之间保持最小距离。
下图描述了 Cisco ISE-WSA 集成工作流程。
2