@домівка Віктора Чмеля

 
 [Головна / Нотатки консультанта]

InterScan Web Security Suite & Cisco Content Engine. Інтеграція через ICAP

Що дає використання ICAP-протоколу* разом з IWSS? Збільшення швидкості роботи по фільтрації того, що пересилається по HTTP через кеш-сервер. Для цього власне ICAP і розроблено.

Все гарно описано в документації по IWSS, але для Cisco CE 565 чомусь не спрацювало ;( Допоміг такий варіант, знайдений в документації на Cisco CE 565 :
Cisco Content Engine 565 configuration

  icap apply all icap logging enable icap
append-x-headers x-client-ip icap append-x-headers
x-server-ip icap rescan-cache ISTag-change icap service
RESPMOD enable vector-point respmod-precache
error-handling return-error
server icap://:1344/interscan exit
icap service REQUESTMOD enable vector-point
reqmod-precache error-handling return-error
server icap://:1344/REQ-Service

About Cisco Content Engine devices see:
http://www.cisco.com/en/US/products/hw/contnetw/

* RFC 3507 - Internet Content Adaptation Protocol (ICAP).
http://www.faqs.org/rfcs/rfc3507.html
http://www.networksorcery.com/enp/protocol/icap.htm
http://www.i-cap.org/home.html
"ICAP, the Internet Content Adaption Protocol, is a protocol aimed at providing simple object-based content vectoring for HTTP services. ICAP is, in essence, a lightweight protocol for executing a "remote procedure call" on HTTP messages. It allows ICAP clients to pass HTTP messages to ICAP servers for some sort of transformation or other processing ("adaptation"). The server executes its transformation service on messages and sends back responses to the client, usually with modified messages. Typically, the adapted messages are either HTTP requests or HTTP responses."

Viktor V. Chmel, 4/20/2005 03:28:00 PM. 0 коментарів. Продивитись/додати свій

Не стандартный метод использования Update Agent для обновления клиентов Trend Micro OfficeScan Corporate Edition (OSCE)

Задача: Представим, что у клиента есть один центральный офис и несколько филиалов раскиданных по стране. В головном офисе стоит OSCE Server, который послушно получает обновления от TM Control Manager и далее раздает их всем своим клиентам. Проблема в том, что если в филиале 100 клиентов OSCE, то обновления закачиваются туда 100 раз ;(, а это не есть хорошо т.к. грузит канал.

Для оптимизации этого дела славной фирмой Trend Micro в этом самом продукте OSCE придумана такая функция, как превращение обычного OSCE клиента в т.н. Update Agent, которому обновление закачивается 1 раз, а он потом отдает его всем ассоциированным с ним клиентам.

Ну, вроде бы все понятно, особенно после прочтения документации ;). Но есть одно НО. Update Agent желательно ставить не на рабочую станцию, а на сервер, чтоб он вечно жил и защищал. А в филиале стандартных серверов есть 2 штуки: Active Directory, которая держит домен Windows и почтовый Exchange, которые защищены продуктами Trend Micro ServerProtect и ScanMail for Exchange соответственно. Вначале было естественное желание поставить клиента OSCE на контроллер домена, но оказалось, что и у ServerProtect-а и у OfficeScan-а есть real-time модули сканирования и они по определению на одной машине не уживаются [*]. Поэтому было решено ставить на почтновый сервер НО с отключенной функцией Real-Time сканирования и сканирования по расписанию, чтоб не было конфликтов со ScanMail. Таким образом, получаем только точку для раздачи обновлений и ничего более, что нам и надо.

Ок, значит, как я это делал. На примере одного филиала.

  • Зашел в Web-консоль управления OSCE Server-ом в головном офисе. Clients>Remote Install и удаленно установил агента на Exchange сервере.
  • В Clients>Client Priviledges добавляем галочку в подразделе Update, опция - "Act as Update Agent (For Windows NT/2000/XP/Server 2003 clients only)", Save, Close.
  • В Clients>Scan Options заходим в Real-time Scan Settings и запрещаем его (мы ведь договорились, что OSCE клиент нам нужен только как единая точка раздачи апдейтов в своем офисе, а не как сканирующий модуль). Если у вас включены какие-то Scheduled Scan Settings по умолчанию, то тоже их отключите.
  • Далее Updates>Client Deployment>Update Source выбираем Customized Update Source и добавляем подсеть и конкретного агента, который должен ее обслуживать. Если у вас так организована инфраструктура, что по подсетям не выходит, то можно добавлять хоть по одной машине.
Когда это все будет добавлено, неплохо бы сообщить о ваших изменениях всем OSCE-клиентам (кликнуть на кнопочку Notify all Client(s)) Ну, вот по идее и все;)

[*] Это все касается версии OfficeScan 6.5, в которой хоть и заявлена работа на серверных Windows-платформах, но на данный момент все это происходит с некоторыми багами, в частности объекты OSCE-клиентов регулярно исчезают из Web-консоли. В апреле 2005 обещают OfficeScan 7.0 лишенную этих проблем. Тогда для данной задачи возможен и такой вариант решения: деинсталлируем ServerProtect и на его место ставим клиента OfficeScan, который будет и сервер проверять на вирусы и обновления рассылать в своем филиале. (Далее ServerProtect может быть полезен лишь как продукт умеющий работать на кластерах и UNIX/Linux платформах.)

Viktor V. Chmel, 4/06/2005 03:14:00 PM. 0 коментарів. Продивитись/додати свій

 

[Головна / Нотатки консультанта] Last update:

Copyright © Чмель Віктор, , 2001-2004

Hosted by uCoz