目录
- Kaspersky Web Traffic Security
- 授权应用程序
- 扩展 Kaspersky Web Traffic Security
- 从 RPM 或 DEB 包进行应用程序安装和初始配置
- 安装和初始配置从 ISO 镜像部署的应用程序
- 应用程序入门指南
- 应用程序运行监控
- 报告
- Kaspersky Web Traffic Security 事件日志
- 使用流量处理规则
- 管理工作区
- 使用角色和用户账户
- 管理集群
- 保护网络流量
- ICAP 服务器设置
- 阻止页面
- 导出和导入设置
- 将应用程序从版本6.0升级到版本6.1
- 安装更新包
- 安装 kwts_upgrade_6.1.0.4762_os_security_november_2024 更新包
- 配置服务器时间
- 配置代理服务器连接设置
- 更新 Kaspersky Web Traffic Security 数据库
- 加入卡巴斯基安全网络并使用卡巴斯基专有安全网络
- 连接到 LDAP 服务器
- 配置与 Kaspersky Anti Targeted Attack Platform 的集成
- Syslog 事件日志
- 通过 SNMP 协议管理应用程序
- 单点登录授权
- 在应用程序的 web 界面管理内置代理服务器设置
- 解密 TLS/SSL 连接
- 应用程序信息源
- 将应用程序事件发布到 SIEM 系统
- 与技术支持联系
- 附录 1。安装和配置 Squid 服务
- 附录 2。配置 Squid 服务和 Active Directory 集成
- 附录 3。使用 HAProxy 配置 ICAP 平衡
- 附录 4。MIME 类型的对象
- 附录 5。URL 规范化
- 附录 6。网站类别
- 附录 7。取决于代理服务器类型和所需保护级别的物理处理器内核带宽值
- 附录 8。取决于代理服务器类型和所需保护级别的虚拟处理器带宽值
- 术语表
- AO Kaspersky Lab
- 第三方代码信息
- 商标声明
Kaspersky Web Traffic Security
Kaspersky Web Traffic Security(以下简称“应用程序”或“KWTS”)是一种旨在保护通过代理服务器的 HTTP-,HTTPS- 和 FTP 流量的解决方案。
该应用程序在公司网络用户访问网页资源时对其进行保护。例如,它会将恶意软件和其他威胁从通过 HTTP(S) 和 FTP 协议进入公司网络的数据流中删除,阻止被感染的网站和钓鱼网站,基于网页资源类别和内容类型对网页资源访问进行控制。
该应用程序为企业用户开发。
Kaspersky Web Traffic Security:
- 借助于机器学习算法和操作系统数据模拟技术,保护您组织的 IT 基础架构抵御最现代的恶意软件和加密勒索软件。
- 阻止访问被感染的网站和钓鱼网站。
- 使用卡巴斯基安全网络数据获取文件和网页资源的信誉信息,确保卡巴斯基应用程序更快对威胁做出相应而无需等待应用程序数据库更新,减少误报可能。
- 与卡巴斯基私人安全网络 (以下简称 KPSN) 集成以访问卡巴斯基安全网络的信誉数据库和其他统计数据而无需将其计算机的数据发送到卡巴斯基安全网络。
- 用代理服务器端的证书替代品扫描加密流量。
- 基于 URL、文件名称、MIME 类型、大小、源文件类型 (应用程序可以确定文件的真实格式和类型,与扩展名无关) 和校验和 (MD5 或 SHA256) 对传入或传出文件执行内容过滤。
- 允许您限制对各种网页资源类别(以下简称为“网页类别”)的访问,例如:赌博、博彩、抽奖;成人内容;儿童互联网;俄罗斯联邦法律禁止的内容。
- 允许您通过 web 界面配置应用程序设置和管理应用程序。
- 允许您在应用程序的 Web 界面中监控应用程序的状态、应用程序处理的网络流量、扫描和检测到的对象数量、最近的威胁、被阻止的用户和 URL。
- 允许您创建工作区来配置处理组织部门或被管理组织的流量的单个规则 (适用于互联网服务提供商)。
- 允许您配置管理员用来处理被管理组织的访问权限。
- 允许您通过搜索和查看事件来调查涉及互联网访问的事件。
- 当流量处理与定义的规则不匹配时,调整流量处理条件。
- 根据计划或需要从卡巴斯基更新服务器或自定义资源(HTTP 服务器、共享网络文件夹)更新应用程序数据库。
在美国境内,本软件中将不再提供更新功能(包括提供反病毒签名更新和代码库更新)以及 KSN 功能。
- 与 Microsoft Active Directory 进行集成以分配角色和管理访问和保护规则。在 Active Directory 中支持 NTLM- 和 Kerberos 身份验证用来访问 web 界面。
- 允许您通过 SNMP 协议访问应用程序信息。
- 允许您部署带有预装应用程序的操作系统的 ISO 镜像(包括代理服务器)。
- 允许您通过应用程序 web 界面配置代理服务器设置(当使用 ISO 镜像时)。
Kaspersky Web Traffic Security 符合一般数据保护条例 (GDPR) 和有关保密信息、个人数据及数据保护的适用欧盟法律。
分发套件
Kaspersky Web Traffic Security 是卡巴斯基提供的以下综合安全和系统管理解决方案的一部分:
卡巴斯基合作伙伴的专家可以帮助您为组织选择全面的解决方案。您可以在卡巴斯基网站上找到卡巴斯基合作伙伴的联系信息和地址:https://partnersearch.kaspersky.com。
分发套件的内容可能因应用程序分发的地区而异。
如果您从在线商店购买 Kaspersky Web Traffic Security,您可以从卡巴斯基或卡巴斯基合作伙伴的网站复制应用程序。需要用来激活应用程序的信息将在收到您的付款后通过电子邮件发送给您。
应用程序以下列格式提供:
- RPM 或 DEB 包
- 带有 CentOS 7.7 安装文件、预装 Kaspersky Web Traffic Security 和内置代理服务器的 ISO 映像。
下表显示了 Kaspersky Web Traffic Security 分发包文件的 SHA-256 校验和。
Kaspersky Web Traffic Security 分发包文件的 SHA-256 校验和
分发 |
文件名 |
SHA-256 校验和 |
|---|---|---|
版本 6.1.0.4762 | Red Hat Enterprise Linux |
kwts-6.1.0-4762.x86_64.rpm |
CE7B969349E8C6A901F556C535E8A1283AB61614E0115522EE6D5D57D6A08998 |
版本 6.1.0.4762 | Debian |
kwts_6.1.0-4762_amd64.deb |
BD37E50D24F3A7FDE87BC8C8C8E103D2E3F7B4998F73F4197CE71293620A6D70 |
版本 6.1.0.4762 | VMware ESXi 版本 6.1.0.4762 | Hyper-V |
kwts-6.1.0-4762-inst.x86_64_mlg.iso |
0A8CA1A96072972880DB8105770A452C1DB0C8633424971FC00554477703F164 |
版本 6.1.0.4762 | Red Hat Enterprise Linux | 本地化软件包 |
kwts_zh-cn-6.1.0.4762-1.noarch.rpm |
f7936163a3566cbb26580c2b7d3dc59191bfc9aedc12a57d6181c6ec418769dd |
版本 6.1.0.4762 | Debian | 本地化软件包 |
kwts-l10n-zh-cn_6.1.0.4762-1_all.deb |
7ddb2296b14235fc409eb7768a9b5320d5076bc7b625e4b491d13526fe3716db |
硬件和软件要求
用于安装 Kaspersky Web Traffic Security 的服务器的最低硬件要求
- 8 个处理器内核
- 16 GB RAM
- 至少 4 GB 交换分区
- 200 GB 硬盘空间,包括:
- 25 GB 用于临时文件存储
- 25 GB 用于日志文件存储
承载用于部署虚拟机 ISO 镜像的 Hypervisor 的服务器的最低硬件要求
如果服务器的 RAM 低于 1 GB 或磁盘空间不足 100 GB,则取消安装。
- 8 个处理器内核
- 16 GB RAM
- 200 GB 磁盘空间
下面的软件要求列出了安装 Kaspersky Web Traffic Security 所需的软件产品的最低测试版本。
用来安装 Kaspersky Web Traffic Security 的服务器的软件要求
Kaspersky Web Traffic Security 仅能安装在 64 位的操作系统。
- Red Hat Enterprise Linux versions 7.7, 8。
- Ubuntu 18.04.3 LTS。
- Debian 9.11, 10.1。
- SUSE Linux Enterprise Server 15 SP1。
- CentOS 版本 7.7。
- ALT Server 10。
企业 LAN 计算机的软件要求
- Windows 8.1。
- Windows 10 (1809, 1903)。
用于部署虚拟机的 hypervisor 的软件要求
- VMware ESXi 6.5 Update 2 / 6.7 Update 1。
- Microsoft Hyper-V Server 2016 / 2019。
配置与 LDAP 服务器集成的软件要求
- Windows Server 2012 R2 Standard。
- Windows Server 2016 Standard。
- Windows Server 2019 Standard。
其他要求
- Ngnix 版本 1.10.3、1.12.2 和 1.14.0。
- 负载平衡 HAProxy 1.5 版本(不包含在分发套件中)。
- 如果正在同一个服务器上安装 Squid 服务和 Kaspersky Web Traffic Security,则 Squid 版本为 3.5.28, 4.6, 4.7, 4.8。
为了让 Kaspersky Web Traffic Security 处理网络流量,您必须安装和配置 支持 ICAP 和请求修改 (REQMOD) 以及响应修改 (RESPMOD) 服务的 HTTP(S) 代理服务器。您可以使用单独的代理服务器,例如,将 Squid 服务安装在托管 Kaspersky Web Traffic Security 的服务器上。
通过 web 界面管理 Kaspersky Web Traffic Security 的软件要求
要运行 web 界面,必须在计算机上安装下列浏览器中的一种:
- Mozilla Firefox versions 69, 70。
- Internet Explorer 版本 11。
- Google Chrome versions 77, 78。
- Microsoft Edge version 44 (Microsoft Edge 44.17763.1.0 for Windows 1809 and Microsoft Edge 44.18362.1.0 for Windows 1903)。
新变化
对 Kaspersky Web Traffic Security 进行了以下改进:
- 分发套件已修改。Kaspersky Web Traffic Security 包含以下部分:
在这两种情况下,都支持在物理服务器和虚拟服务器上安装。
- 更新了流量处理规则设置:
- 现在可以配置基于角色的用户访问特定工作区。
- 现在可以通过应用程序的 web 界面(仅限于从 ISO 镜像安装)管理代理服务器设置:
- 修改了集群中的角色系统:
- 已中断分离工作服务器和主服务器角色。
- 用于管理应用程序设置和流量处理的组件合并为一个包。
- 阻止页面功能已扩展:
- 添加了新宏。
- 现在可以为工作区配置独立的阻止页面。
- 添加了与 Kaspersky Anti Targeted Attack Platform (KATA) 的集成。实现了两种模式:
- 将文件从用户流量发送到 KATA(将 KWTS 作为外部 KATA 系统连接)。
- 接收 KATA 检测到的对象的信息(在流量处理规则中使用有关 KATA 检测的信息)。
- 您现在可以通过 NTP 协议配置服务器的时区和时间同步(仅适用于 ISO 镜像部署)。
- Web 类别加密数字货币和挖掘已添加。
- 您现在可以生成有关应用程序操作事件的报告。
- 网络钓鱼和恶意链接的检测现已区分开来。
- 在保护规则中添加了新型对象恶意链接。
Kaspersky Web Traffic Security 的界面:
应用程序通过 web 界面进行管理。
应用程序的 web 界面窗口包含以下内容:
- 应用程序 web 界面窗口的左边部分
- 在应用程序 web 界面窗口的上部是应用程序一些区域的选项卡
- 应用程序 web 界面窗口下部的工作区
应用程序 web 界面窗口的区域
应用程序 web 界面包含以下区域:
- 仪表板。包含 Kaspersky Web Traffic Security 监控数据。
- 报告。可让您生成应用程序运行报告。
- 事件。包含在网络流量中检测到的事件的信息。
- 规则。允许使用流量处理规则。
- 工作区。允许使用工作区和分发网络流量。
- 用户。允许管理应用程序用户。
- 节点。允许集群节点管理。
- 设置。包含 常规、外部服务、 日志和事件、应用程序访问 和 内置代理服务器 区域,您可以在其中配置应用程序设置。
内置代理服务器 区域只有当部署应用程序的 ISO 镜像时才可用。
应用程序 web 界面窗口的工作区
工作区显示您选择在应用程序 web 界面窗口的区域和选项卡中查看的信息。它也包含您可以用来配置信息显示方式的控件。
页面顶端
应用程序操作
Kaspersky Web Traffic Security 会扫描通过代理服务器的用户 HTTP、 HTTPS 和 FTP 流量。
同一个 Kaspersky Web Traffic Security 套件安装在所有服务器上。它包括流量处理功能和应用程序设置管理能力。流量然后被通过代理服务器从用户计算机传输到 Kaspersky Web Traffic Security 节点进行扫描。如果扫描结果允许访问所需的 Web 资源,且流量不包含病毒或其它威胁,请求将通过代理服务器传输到 Web 服务器。Web 服务器的响应按类似方式进行处理。流量处理方案如下图所示。
流量如何被 Kaspersky Web Traffic Security 处理
处理流量时,应用程序可以使用用户账户及其在域组中的会员信息。为此,您需要配置 Kaspersky Web Traffic Security 和 Active Directory 的集成。与 Active Directory 集成可让您在应用程序中处理用户角色时使用账户自动身份验证,创建工作区和流量处理规则时识别用户账户。主要用户身份验证将在代理服务器上执行。代理服务器会把从 Active Directory 收到的信息和用户的初始请求一道传递给应用程序。在此情况下,代理服务器和应用程序节点将彼此独立和 Active Directory 服务器进行交互。为 Active Directory 集成进行配置时的应用程序的操作方案如下图所示。
与 Active Directory 集成时的应用程序的操作方案
如果流量处理需要两个或更多安装了应用程序的服务器,所有服务器将被合并入一个。集群中的一个服务器应该被分配给 角色。集群中的的其它服务器将被分配给 角色。您可以配置在包括带角色控制的节点在内的所有节点上的流量处理。带角色控制的节点和带角色辅助的节点之间的区别是应用程序设置可以在带角色控制的节点上进行修改。它们从带角色控制的节点分发到集群中所有带角色辅助的节点。然后每个集群节点会独立于带角色控制的节点和其它带角色辅助的节点与 Active Directory 服务器交换数据。组件交互如下图所示。
应用程序组件的交互方案
如果带角色控制的节点失败,应用程序将进入紧急模式。在此情况下,管理员必须把控制节点角色分配给一个带角色辅助的节点。在此过程中流量处理不会被中断。在应用程序切换到紧急模式之前,所有节点都继续使用从带角色控制的节点接收到的最新设置来处理网络流量。随后的设置配置会在新的带角色控制的节点上完成。应用程序进入紧急模式时的角色更改方案如下图所示。
应用程序进入紧急模式时的角色更改
如果处理的流量容量涉及大量集群节点,推荐使用 负载平衡。
应用程序和代理服务器之间的交互 取决于分发套件。如果 Kaspersky Web Traffic Security(单机版) 安装自 RPM 或 DEB 包,您需要配置与外部代理服务器的集成。部署 Kaspersky Web Traffic Security (Appliance) ISO 镜像时将使用内置代理服务器。
取决于分发套件的应用程序操作
Kaspersky Web Traffic Security(单机版)的操作
如果 Kaspersky Web Traffic Security(单机版)安装自 RPM 或 DEB 包,将使用外部代理服务器。它可以作为应用程序安装在同一台物理服务器上或者单独的物理服务器上。外部代理服务器的管理和配置通过使用操作系统资源执行。
Kaspersky Web Traffic Security(单机版)的操作方案如下图所示。
Kaspersky Web Traffic Security(单机版)的操作
图中编号对应于以下流量处理步骤:
- 用户请求访问网络资源。该请求将被中继给代理服务器。
- 代理服务器将把请求中继给处理流量的集群节点。应用程序会根据流量处理规则扫描从带角色控制的节点收到的请求。然后结果将被中继给代理服务器。
- 如果允许访问 Web 资源,代理服务器将把请求发送到用来访问请求的 Web 资源的 Web 服务器。
- 托管所需 Web 资源的 Web 服务器会发送响应到代理服务器。
- 响应也会被送到集群节点以便可以根据流量处理规则进行扫描。
- 扫描后,代理服务器会把发送响应到用户的计算机。取决于应用程序中定义的操作,用户可能会看到以下页面:
- 如果允许访问网页资源,系统将显示被请求的网页页面。
- 如果禁止访问网页资源,系统将显示阻止页面。
- 如果应用了重定向操作,用户将看到对其配置了重新定向的网页页面。
建议也在外部代理服务器上配置 HTTPS 流量处理。
Kaspersky Web Traffic Security (Appliance) 的操作
部署应用程序 ISO 镜像时,将在每个集群节点上安装一个内置代理服务器。内置代理服务器和 Kaspersky Web Traffic Security(应用程序的 ICAP 服务器)之间的数据通过 ICAP 协议在已安装应用程序的服务器上进行本地交换。
Kaspersky Web Traffic Security (Appliance) 的操作方案如下图所示。
Kaspersky Web Traffic Security (Appliance) 的操作
图中编号对应于以下流量处理步骤:
- 用户请求访问网络资源。请求将被中继到安装了应用程序的服务器。
- 内置代理服务器将接受请求并将它中继给应用程序的 ICAP 服务器,以便它可以根据流量处理规则得到扫描。
- 如果根据扫描结果允许访问网页资源,内置代理服务器将把请求发送给互联网上的该 Web 服务器。
- 托管所需 Web 资源的 Web 服务器会发送响应到内置代理服务器。
- 内置代理服务器将把 Web 服务器响应发送到应用程序的 ICAP 服务器,以便响应可以根据流量处理规则得到扫描。扫描结果将被返回到内置代理服务器。
- 内置代理服务器会把响应发送到用户的计算机。取决于应用程序中定义的操作,用户可能会看到以下页面:
- 如果允许访问网页资源,系统将显示被请求的网页页面。
- 如果禁止访问网页资源,系统将显示阻止页面。
- 如果应用了重定向操作,用户将看到对其配置了重新定向的网页页面。
有负载平衡的应用程序操作
如果有大量安装了应用程序的服务器,建议使用HAProxy 负载平衡器。在此情况下,HAProxy 会使用已配置的负载平衡方法确定向其发送扫描请求的服务器。使用负载平衡器时的应用程序运行方案如下图所示。当应用程序安装自 RPM 或 DEB 包以及应用程序部署自 ISO 镜像时,适用组件之间的交互方案。
有负载平衡的应用程序操作
图中编号对应于以下流量处理步骤:
- 用户请求访问网络资源。该请求将被中继给负载平衡器。
- 负载平衡器会根据所定义的平衡方法选择集群节点并将用户请求中继给此节点。
- 所选节点的内置代理服务器将接受请求并将它中继给应用程序的 ICAP 服务器,以便它可以根据流量处理规则得到扫描。
- 如果根据扫描结果允许访问网页资源,内置代理服务器将把请求发送给互联网上的 Web 服务器。
- 托管所需 Web 资源的 Web 服务器会发送响应到内置代理服务器。
- 内置代理服务器将把 Web 服务器响应发送到应用程序的 ICAP 服务器,以便响应可以根据流量处理规则得到扫描。扫描结果将被返回到内置代理服务器。
- 内置代理服务器将把响应中继给负载平衡器。
- 负载平衡器将把响应发送给用户的计算机。取决于应用程序中定义的操作,用户可能会看到以下页面:
- 如果允许访问网页资源,系统将显示被请求的网页页面。
- 如果禁止访问网页资源,系统将显示阻止页面。
- 如果应用了重定向操作,用户将看到对其配置了重新定向的网页页面。
您可以使用同一个负载平衡器来平衡不同服务,或安装两个负载平衡器。在此情况下,HTTP 平衡器将在代理服务器中分布负载,ICAP 平衡器将在应用程序的集群节点中分布负载。负载平衡器连接方案如下图所示。当应用程序安装自 RPM 或 DEB 包以及应用程序部署自 ISO 镜像时,适用此方案。
与两个负载平衡器的交互方案
页面顶端
关于《最终用户授权许可协议》
最终用户授权许可协议 (EULA) 是您和 AO Kaspersky Lab 之间的约束性协议,规定了您使用应用程序的条款。
请在使用应用程序之前详细阅读最终用户授权许可协议条款。
您可以下列方式查看最终用户授权许可协议 (EULA) 的条款:
- 在安装 Kaspersky Web Traffic Security 期间。
- 通过阅读 license.txt 文件。该文件包括在应用程序的分发套件中。
安装应用程序时确认您同意最终用户授权许可协议即表明您接受最终用户授权许可协议的条款。如果您不接受最终用户授权许可协议的条款,您必须终止应用程序安装进程且不得使用应用程序。
页面顶端
关于授权许可
授权许可是根据最终用户授权许可协议 (EULA) 的条款和条件授予的使用 Kaspersky Web Traffic Security 的限时权利。
可用功能的范围和应用程序使用期限取决于应用程序使用的授权许可。
提供以下授权许可类型:
- 试用版 – 免费授权许可,目的是试用应用程序。
试用版授权许可通常有时间限制。一旦授权许可到期,Kaspersky Web Traffic Security 的所有功能将被禁用。要继续使用应用程序,您需要购买商业授权许可。
您只能在试用版授权许可下使用该应用程序一个试用期。
- 商业——付费授权许可。
当商业授权许可到期时,应用程序停止提供基本功能。要继续使用 Kaspersky Web Traffic Security,您必须续订商业授权许可。授权许可过期后,您将无法继续使用该应用程序,并且必须从您的设备中删除该应用程序。
我们建议您在授权许可到期前进行续订,以确保您的设备受到不间断的保护以抵御安全威胁。
关于授权许可证书
授权许可证书 是和密钥文件或激活码一起提供的文档。
授权许可证书包含以下授权许可信息:
- 授权许可密钥或订单号码。
- 授权许可持有人详情。
- 可以使用授权许可激活的应用程序的信息。
- 授权许可单位 (例如,可以根据授权许可在上面使用应用程序的设备) 的数量限制。
- 授权许可开始日期。
- 授权许可到期日期或授权许可有效期。
- 授权许可类型。
关于密钥
授权许可密钥 是一个位数序列,用来根据最终用户授权许可协议激活并使用应用程序。授权许可密钥由卡巴斯基生成。
要向应用程序添加密钥,您必须输入激活码。
卡巴斯基可以因为违反最终用户授权许可协议而将密钥列入黑名单。如果密钥被阻止,您必须添加另一个密钥才能使用应用程序。
页面顶端
关于激活码
激活码 是一个 20 个字符的唯一序列,由拉丁字母和数字组成。您必须输入激活码才能添加激活 Kaspersky Web Traffic Security 的授权许可密钥。您会在购买 Kaspersky Web Traffic Security 或订购试用版 Kaspersky Web Traffic Security 时提供的电子邮件地址收到激活码。
要用激活码激活应用程序,您需要通过互联网连接到卡巴斯基激活服务器。
如果您在激活应用程序后丢失激活码,请联系您向其购买授权许可的卡巴斯基合作伙伴。
页面顶端
关于数据提供
在运行过程中,应用程序会使用需要 Kaspersky Web Traffic Security 管理员权限进行传输或处理的数据。
您可以查看数据列表和使用条款,以及同意根据您所在的机构和卡巴斯基之间的下列协议进行数据处理:
- 在最终用户授权许可协议中。
根据您接受的最终用户授权许可协议的条款,您同意向卡巴斯基自动发送提高公司 IT 基础架构保护所需的信息。数据处理条款中的最终用户授权许可协议中列举了此信息:
- 应用程序 ID
- 应用程序版本号
- 应用程序安装的唯一 ID
- 授权许可 ID
- 更新会话 ID
- 主板的唯一 ID
- 在隐私策略中。
- 在卡巴斯基安全网络声明和卡巴斯基安全网络补充声明中。
如果您加入卡巴斯基安全网络并向卡巴斯基发送 KSN 统计,应用程序运行期间收到的信息也将会传输。传输的数据列表请见卡巴斯基安全网络声明和卡巴斯基安全网络补充声明。
- 用户计算机的 IP 地址。
- 应用程序和计算机信息:安装应用程序的计算机的唯一 Id;应用程序安装的唯一 Id;所安装应用程序的完整版本;应用程序类型的 ID;操作系统的类型、版本、版次、比特速率和操作模式设置;已安装更新包的信息。
- 反病毒和防钓鱼模块扫描 URL 的信息:在其中检测到威胁的 Web 资源的 URL;原始页面或用户被重新指向到具体 URL 的页面的 URL;应用程序数据库发布日期和时间;受到攻击的组织和 WEb 资源的名称;扫描结果(信任级别,权重和决定状态);事件时间。
- 已扫描文件的信息:被扫描文件的名称、大小、MD5- 或 SHA256 哈希;文件类型和格式的 ID;根据卡巴斯基分类被检测到的威胁的名称;反病毒数据库和用来扫描文件的反病毒数据库中的记录的 Id;反病毒数据库发布日期和时间;下载扫描文件的 URL;下载扫描对象、消息或链接的处理文件的名称;签名文件的公开证书密钥的证书指纹和 SHA256 哈希。
- 应用程序操作错误信息:出错的应用程序组件的 Id;错误类型 ID;片段或组件活动报告。
- 应用程序组件和数据库更新信息:数据库更新的组件版本;发生错误时的数据库更新错误代码;数据库更新后的应用程序状态;尝试更新数据库的不成功次数;被更新的组件的崩溃次数。
- “更新服务”组件信息:“更新服务”组件版本;“更新服务”组件更新结果;更新“更新服务”组件时发生错误的错误类型和 ID;“更新服务”的更新任务完成代码;更新任务期间“更新服务”组件的崩溃次数;尝试更新“更新服务”组件的不成功次数。
卡巴斯基根据法律规定和卡巴斯基的适用规则保护任何以此方式收到的信息。数据通过加密数据通道传输。
Kaspersky Web Traffic Security 的 RAM 可能包含应用程序用户的任何已处理数据。Kaspersky Web Traffic Security 管理员必须独立保证此类数据的安全。
默认情况下,只有操作系统的超级根用户账户、Kaspersky Web Traffic Security 的本地管理员账户和用来运行应用程序组件的集群系统账户才有权限访问用户的个人数据。应用程序不提供工具用来限制管理员和其他应用程序安装在其中的操作系统用户的权限。建议管理员酌情使用任何系统资源来控制对其他用户个人数据的访问。
下表包含 Kaspersky Web Traffic Security 可以储存的用户数据的完整列表。
Kaspersky Web Traffic Security 中可以储存的用户数据
数据类型 |
数据使用位置 |
储存位置 |
储存时间 |
|---|---|---|---|
应用程序的主功能 |
|||
|
应用程序配置 |
/var/opt/kaspersky |
不确定。 |
|
流量处理规则 |
/var/opt/kaspersky |
不确定。 |
Web 资源访问请求信息:
|
应用程序操作统计数据 |
/var/opt/kaspersky |
不确定。 |
Web 资源访问请求信息:
用户的 LDAP 属性信息:
|
流量处理事件日志 |
|
根据应用程序用户定义的设置。 默认情况下,储存期限为3天,或日志最大大小为1 GB。 但达到该限制时,较早的记录会被删除。 |
|
系统事件日志 |
|
根据应用程序用户定义的设置。 默认储存10万条记录。 但达到该限制时,较早的记录会被删除。 |
Web 资源访问请求信息:
应用程序更新数据:
用户账户信息:
|
跟踪文件 |
/var/log/kaspersky |
不确定。 当每个跟踪流达到150 GB 时,最旧的记录将被删除。 |
/var/log/kaspersky/extra |
不确定。 当每个跟踪流达到400 GB 时,最旧的记录将被删除。 |
||
Web 资源访问请求信息:
|
临时文件 |
/tmp/kwtstmp |
直到应用程序被重启。 |
与 Kaspersky Anti Targeted Attack Platform (KATA) 集成 |
|||
用户文件 |
发送文件到 KATA 服务器 |
/tmp/kwtstmp |
直到应用程序被重启。 队列的最大允许大小是5千个文件。当达到该限制时,文件将不再放置在队列中。 |
KATA 警告信息:
|
接收 KATA 检测到的对象 |
/var/opt/kaspersky/kwts/detects.cache |
应用程序用户根据 缓存存储期(小时) 定义的设置。 默认值是 48 小时。 |
Active Directory 集成 |
|||
|
|
/var/opt/kaspersky/kwts/ldap/cache.dbm |
不确定。 数据定期进行更新。 如果禁用应用程序和 Active Directory 进行集成,数据会被删除。 |
使用卡巴斯基安全网络 (KSN) |
|||
|
KSN 请求传输 |
/var/opt/kaspersky |
不确定。 最多可储存36万条记录。当达到该限制时,未被请求时间最长的记录将被删除。 |
应用程序和计算机信息:
反病毒和防钓鱼模块扫描 URL 的信息。
已扫描文件的信息:
应用程序操作中的错误信息:
应用程序组件和数据库更新信息:
“更新服务”组件信息:
|
KSN 统计数据 |
/var/opt/kaspersky |
直到统计数据被发送到 KSN。 在应用程序设置中禁用传输 KSN 统计数据后,数据将在下次传输尝试中被删除。 |
功能只有在部署了应用程序 ISO 镜像时才可用 |
|||
解密 TLS/SSL 连接:
Kerberos 身份验证设置:
NTLM 身份验证设置:
|
内置代理服务器设置。 |
/etc/squid/ /var/opt/kaspersky/ |
不确定。 当相应设置在应用程序的网页界面中被删除时,数据也会被删除。 证书被替换时,证书文件可能会被覆盖。 |
Web 资源访问请求信息:
|
代理服务器事件日志 |
/var/log/squid/icap.log /var/log/squid/ssl.log /var/log/squid/squid.out /var/log/squid/access.log /var/log/squid/cache.log |
不确定。 当每个跟踪流达到3 GB 时,最旧的记录将被删除。 |
Kerberos 身份验证设置:
|
代理服务器事件日志 |
/var/log/squid/cache.log |
不确定。 当每个跟踪流达到10 GB 时,最旧的记录将被删除。 |
NTLM 身份验证设置:
|
代理服务器事件日志 |
/var/log/squid/cache.log |
不确定。 当每个跟踪流达到10 GB 时,最旧的记录将被删除。 |
通过 SSH 协议连接:
通过网页界面连接:
|
授权事件日志。 |
/var/log/secure |
不超过5星期。 文件一星期轮换一次。 |
Web 资源访问请求信息:
用户的 LDAP 属性信息:
系统事件信息。
|
系统事件和流量处理事件日志 |
/var/log/kwts-messages |
不超过5星期。 文件一星期轮换一次。 |
如果使用超级用户账户从安装了应用程序的服务器的管理控制台管理应用程序,您可以管理转储设置。转储文件在应用程序崩溃时生成,可用来分析崩溃原因。转储文件可能包括任何数据,包括已分析的文件的片段。
默认情况下,Kaspersky Web Traffic Security 禁用转储生成。
该数据可以使用超级用户账户从安装了应用程序的服务器的管理控制台进行访问。
当发送诊断信息到卡巴斯基技术支持时,Kaspersky Web Traffic Security 管理员必须独立确保转储文件和跟踪文件的安全。
Kaspersky Web Traffic Security 管理员负责该信息的访问权限。
页面顶端
查看授权许可和应用程序激活信息
要查看授权许可信息:
- 在应用程序 web 界面窗口中,选择 节点。
- 在 授权许可 组中,单击 查看详情 链接。
授权许可 窗口将打开。
窗口显示有关安装了应用程序的服务器上的授权许可信息。
要查看应用程序激活信息:
在应用程序 web 界面窗口中,选择 设置 区域,授权许可 子区域。
窗口会显示应用程序激活信息,或者如果程序未激活的话,则显示一个用来输入激活码的文本框。
激活应用程序
要激活 Kaspersky Web Traffic Security,请添加授权许可密钥。要添加授权许可密钥,必须输入激活码。
要输入激活码:
- 在应用程序 web 界面窗口中,选择 设置 → 常规 → 授权许可 区域。
- 在 输入激活码 文本框中,按格式 XXXXX-XXXXX-XXXXX-XXXXX 输入应用程序激活码,其中 X 是拉丁字母 (A-Z, 除了 O 和 I (大写 i)) 或小数 (0-9 之外)。
- 单击 激活。
激活码将被发送到卡巴斯基激活服务器进行验证。
如果您输入的代码无效,您将会看到消息通知您输入的代码不正确。您可以再次尝试输入激活码。
如果您输入的代码有效,您将会看到 激活码已成功应用。请在集群节点上检查激活状态。 状态。
扩展 Kaspersky Web Traffic Security
承载 Kaspersky Web Traffic Security 的服务器的硬件要求取决于以下条件:
- 每秒的峰值流量。
- 代理服务器的类型。
根据应用程序分发套件,您可以使用外部代理服务器或内置代理服务器。
- 保护级别。
- 硬件平台。
您可以将 Kaspersky Web Traffic Security 安装到物理服务器或虚拟服务器。
您可以根据现有设备估计 Kaspersky Web Traffic Security 服务器的硬件要求,如果您计划购买新设备,也可以使用卡巴斯基专家对各种节点配置的计算。
估计承载 Kaspersky Web Traffic Security 的服务器的硬件要求
要根据输入数据估计 Kaspersky Web Traffic Security 节点的硬件要求和处理流量所需的节点数量,必须执行以下步骤:
- 选择适合您处理器的时钟频率和频率的类别:低、中或高(请参见下表)。
处理器类别
架构和系列
型号
时钟速率和频率,GHz
低
中
高
Sandy Bridge、Ivy Bridge
Intel Xeon E3/E5/E7 v1、v2
2.1-2.6
2.7–3.2
3.3 以上
Haswell、Broadwell
Intel Xeon E3/E5/E7 v3、v4
1.9–2.2
2.3–2.9
2.9 以上
Skylake、Kaby Lake 和更高版本
Intel Xeon Silver/Gold/Platinum
1.7–2.1
2.2–2.7
2.8 以上
Kaspersky Web Traffic Security 未在 AMD 处理器上进行测试。
- 根据在上一步选择的处理器类别、代理服务器类型和所需保护级别,选择一个虚拟处理器或物理处理器内核的带宽值。
有关物理处理器内核带宽值,请参阅附录 7。
有关虚拟处理器带宽值,请参阅附录 8。
- 根据以下公式估计峰值节点性能:
- 对于物理服务器:
<内核带宽值> * <处理器内核数量> - 对于虚拟服务器:
<虚拟处理器带宽值> * <虚拟处理器数量>一个虚拟机上的最大虚拟处理器数量不能超过安装了 Hypervisor 的服务器的物理内核数量。
根据上面提供的公式计算虚拟机上的节点性能时,不会考虑 Hypervisor 中安装的其他虚拟机可能产生的负载。您需要确保虚拟基础架构具有适当的备用容量。
- 对于物理服务器:
- 确定服务器必需的内存和硬盘容量。
根据得出的节点性能值确定服务器的内存和硬盘容量要求。
如果一个节点未提供所需带宽,您可以使用多个具有相同配置的节点和一个负载平衡器。如果要使用负载平衡器,所有节点的累积带宽必需增加 10%。
将多个 Kaspersky Web Traffic Security 节点组合成一个集群时,您可以向该集群添加一个备份工作节点,以提供容错。备份节点的服务器配置必须与集群中其他节点的服务器配置相同。
建议为每 5 个处理流量的活动节点增加一个备份节点。
一个集群中的最大节点数量(包括备份节点)为 20。当使用大量节点时,需要将它们划分为独立的集群。
在每个集群节点上,都需要指示扫描线程的数量,该数量等于处理器内核数量(物理服务器上)或虚拟处理器数量(虚拟机上),但不小于 5。
要减少磁盘子系统的负载,您可以禁用 Kaspersky Web Traffic Security 事件记录,并将流量处理事件记录到 Syslog 事件日志中。
页面顶端
承载 Kaspersky Web Traffic Security 的服务器的内存和硬盘容量要求
根据从估计的硬件要求得出的节点性能值来确定服务器的内存和硬盘容量要求(请参见下表)。
服务器内存和硬盘容量
节点性能,Mbps |
内存,GB |
硬盘容量,GB |
RAID 类型 |
Hypervisor 或物理服务器的磁盘子系统的最低转数,转数/分钟 |
最小缓存大小,GB(仅适用于单机版安装) |
Syslog 事件日志文件的最大大小,GB(仅适用于单机版安装) |
0–90 |
16 |
200 |
— |
7200 |
3 |
15 |
90–180 |
22 |
250 |
— |
7200 |
6 |
35 |
180–270 |
28 |
300 |
— |
10000 |
9 |
60 |
270–360 |
34 |
350 |
— |
10000 |
12 |
90 |
360–450 |
40 |
400 |
— |
10000 |
15 |
120 |
450–540 |
46 |
450 |
10 |
10000 |
18 |
150 |
540–630 |
52 |
500 |
10 |
10000 |
21 |
180 |
630–720 |
58 |
550 |
10 |
10000 |
24 |
210 |
720–810 |
64 |
600 |
10 |
10000 |
27 |
230 |
如果硬盘驱动器被划分为一个根分区和一个对应于可用内存量的交换分区,则表中指示的硬盘容量适用。
如果您使用 Kaspersky Web Traffic Security(单机版),在运行病毒扫描之前,应用程序会将所有已传输文件的内容保存到 /tmp 文件夹。要减少磁盘子系统的负载,可以执行以下操作之一:
- 将该文件夹迁移至 tmpfs 文件系统。
- 配置缓存磁盘写入操作的设置。
建议对缓存设置使用以下值:
- vm.dirty_bytes = <最大缓存大小>。
上表提供了最大缓存大小的值。以字节为单位指定。
- vm.dirty_background_bytes = vm.dirty_bytes 参数值的 80%。
- vm.dirty_expire_centisecs = 18000。
- vm.dirty_bytes = <最大缓存大小>。
您可以将流量处理事件、应用程序的系统事件和 Kaspersky Anti Targeted Attack Platform 服务器文件传输事件记录到 Syslog 事件日志中。如果您使用 Kaspersky Web Traffic Security(单机版),在启用日志记录时,您需要在操作系统端执行以下操作:
- 配置将事件详细信息记录到单独的文件。
- 配置轮换日志文件的规则 (logrotate)。
上表提供了最大日志文件大小的值。
- 禁用系统日志写入频率限制(速率限制)。
- 配置通过 rsyslog 记录事件,绕过 journald。
Kaspersky Web Traffic Security 节点的示例配置
下面的表格提供了测试期间获得的各种 Kaspersky Web Traffic Security 节点配置的峰值流量值。
虚拟节点的示例配置
服务器 |
内置 |
外部 |
||
|---|---|---|---|---|
取决于应用的保护级别的 |
||||
反病毒、 |
反病毒、 |
反病毒、 |
反病毒、 |
|
CPU:8 核。 内存:16 GB。 硬盘容量:200 GB。 |
55 |
31 |
44 |
26 |
CPU:16 核。 内存:16 GB。 硬盘容量:200 GB。 |
110 |
61 |
87 |
52 |
CPU:24 核。 内存:24 GB。 硬盘容量:250 GB。 |
166 |
92 |
131 |
78 |
CPU:32 核。 内存:24 GB。 硬盘容量:250 GB。 |
205 |
114 |
162 |
97 |
CPU:40 核。 内存:32 GB。 硬盘容量:300 GB。 |
257 |
142 |
202 |
121 |
CPU:48 核。 内存:36 GB。 硬盘容量:350 GB。 |
308 |
171 |
243 |
145 |
物理节点的示例配置
处理器 |
服务器 |
内置代理服务器 |
外部代理服务器 |
|||
|---|---|---|---|---|---|---|
取决于应用的保护级别的 |
||||||
架构 |
型号 |
反病毒、 |
反病毒、 |
反病毒、 |
反病毒、 |
|
Ivy Bridge |
Intel Core i5-3470 |
CPU:4 核,不支持超线程,3.2 GHz (M)。 内存:16 GB。 硬盘容量:200 GB。 转速:7200 转/分钟。 |
54 |
30 |
43 |
25 |
Ivy Bridge |
Intel Core i7-3770 |
CPU:4 核,支持超线程(8 线程),3.4 GHz (H)。 内存:16 GB。 硬盘容量:200 GB。 转速:7200 转/分钟。 |
95 |
53 |
75 |
45 |
Kaby Lake |
Intel Core i7-8700 |
CPU:6 核,支持超线程(12 线程),3.2 GHz (H)。 内存:24 GB。 硬盘容量:250 GB。 转速:7200 转/分钟。 |
142 |
79 |
112 |
67 |
Comet Lake |
Intel Core i7-10700 |
CPU:8 核,支持超线程(16 线程),2.9 GHz (H)。 内存:24 GB。 硬盘容量:250 GB。 转速:7200 转/分钟。 |
172 |
96 |
136 |
81 |
Skylake |
Intel Xeon Silver 4108 |
CPU:8 核,支持超线程(16 线程),1.8 GHz (L)。 内存:32 GB。 硬盘容量:300 GB。 转速:10000 转/分钟。 |
212 |
118 |
167 |
100 |
Skylake |
Intel Xeon Silver 4112 |
CPU:10 核,支持超线程(20 线程),2.2 GHz (M)。 内存:32 GB。 硬盘容量:300 GB。 转速:10000 转/分钟。 |
350 |
194 |
276 |
164 |
Skylake |
Intel Xeon Gold 5120 |
CPU:14 核,支持超线程(28 线程),2.2 GHz (M)。 内存:48 GB。 硬盘容量:450 GB。 转速:10000 转/分钟。 |
456 |
253 |
359 |
214 |
Skylake |
Intel Xeon Gold 6140 |
CPU:18 核,支持超线程(36 线程),2.3 GHz (M)。 内存:48 GB。 硬盘容量:450 GB。 转速:10000 转/分钟。 RAID 类型:10。 |
586 |
325 |
462 |
275 |
Skylake |
Intel Xeon Gold 6154 |
CPU:18 核,支持超线程(36 线程),3.0 GHz (H)。 内存:64 GB。 硬盘容量:600 GB。 转速:10000 转/分钟。 RAID 类型:10。 |
720 |
399 |
568 |
339 |
Cascade Lake |
Intel Xeon Gold 6248R |
CPU:24 核,支持超线程(48 线程),3.0 GHz (H)。 内存:64 GB。 硬盘容量:600 GB。 转速:10000 转/分钟。
|
961 |
533 |
757 |
452 |
从 RPM 或 DEB 包进行应用程序安装和初始配置
您要安装应用程序的服务器必须具有静态 IP 地址。否则,创建集群后,您将无法管理节点的设置或将设置与带角色控制的节点同步。
RPM 和 DEB 包用于在物理服务器或虚拟机上的操作系统安装应用程序。必须在要在其上处理网络流量的每台服务器上执行应用程序的安装和初始配置。
从 RPM 或 DEB 包安装和初始配置应用程序的方案包含以下步骤:
- SELinux Shutdown
- 安装 nginx 服务
- 配置应用程序操作的端口
- 安装应用程序包
- 安装本地化软件包
- 使用配置脚本配置应用程序
- 安装 Squid 服务 - 如果您不使用单独的代理服务器并想要安装 Squid 服务
- 配置 Squid 服务 - 如果您已经安装了 Squid 服务
- 在 Squid 服务中配置 SSL Bumping,如果您已安装 Squid 服务
安装之后,应用程序开始将其组件功能信息记录至 Kaspersky Web Traffic Security 事件日志、Syslog 事件日志,及根据定义的跟踪等级记录至跟踪文件。请参阅关于数据提供部分。
在应用程序初始配置后,您需要将所有节点合并到一个集群中,以便通过 web 界面管理应用程序。
准备安装应用程序
用于安装应用程序的服务器必须满足硬件和软件要求。
用户账户必须拥有超级用户权限。
安装准备包含以下步骤。
- SELinux Shutdown
适用于 CentOS 和 Red Hat Enterprise Linux 操作系统。
- 安装 nginx 服务
- 配置应用程序操作的端口
如果在安装了应用程序的服务器上启用了防火墙,则适用。
- 安装 insserv-compat 包
如果使用 SUSE Linux Enterprise Server 15 操作系统,您需要通过运行
zypper install insserv-compat命令安装 insserv-compat 包。请运行
rpm -q insserv-compat命令以检查是否已安装软件包。
SELinux Shutdown
要在 CentOS 或 Red Hat Enterprise Linux 操作系统上运行 Kaspersky Web Traffic Security 必须禁用
。要禁用 SELinux:
- 请在系统启动时检查 SELinux 的启动设置。为此,请执行命令:
cat /etc/selinux/config - 如果
SELINUX参数有执行值,则禁用在系统启动时启动 SELinux。要执行此操作,请在 /etc/selinux/config file 中指定SELINUX=disabled而非SELINUX=enforcing。 - 检查 SELinux 的当前状态。为此,请执行命令:
sestatus - 如果
SELinux 状态参数有已启用值,则禁用 SELinux。为此,请执行命令:setenforce 0
SELinux 将被禁用。
页面顶端
安装 nginx 服务
如果您使用单独的代理服务器,则默认 Kaspersky Web Traffic Security 不在您的代理服务器上对 ICAP 流量进行加密或对用户进行身份验证。应用程序管理员必须通过使用流量隧道或 iptables 单独确保您的代理服务器和 Kaspersky Web Traffic Security 之间的网络连接安全。
安装
:- 如果已在使用的操作系统中预装了 Apache 服务,请卸载。
- 如果您正在使用 CentOS 版本 7.x,Red Hat Enterprise Linux 7.x,, 或 SUSE Linux Enterprise Server 15 SP1,请启用储存库支持来安装 nginx 服务。为此,请根据所使用的操作系统执行以下操作:
- 在 CentOS 操作系统中,创建一个含以下内容名为 /etc/yum/repos.d/nginx.repo 的文件:
[nginx-stable]name=nginx stable repobaseurl=http://nginx.org/packages/centos/$releasever/$basearch/gpgkey=https://nginx.org/keys/nginx_signing.keygpgcheck=1enabled=1 - 在 Red Hat Enterprise Linux 操作系统中,创建一个含以下内容名为 /etc/yum/repos.d/nginx.repo 的文件:
[nginx-stable]name=nginx stable repobaseurl=http://nginx.org/packages/rhel/$releasever/$basearch/gpgkey=https://nginx.org/keys/nginx_signing.keygpgcheck=1enabled=1 - 在 SUSE Linux Enterprise Server 操作系统中连接 Server Applications Module。为此,请执行命令:
SUSEConnect -p sle-module-server-applications/15.1/x86_64
在 CentOS 版本 8.x、Red Hat Enterprise Linux 版本 8.x、Debian、Ubuntu 和 ALT Server 操作系统中不需要连接其它储存库。
- 在 CentOS 操作系统中,创建一个含以下内容名为 /etc/yum/repos.d/nginx.repo 的文件:
- 安装 nginx 服务软件包。为此,请根据所使用的操作系统运行以下命令之一:
- CentOS 或 Red Hat Enterprise Linux:
yum install -y nginx - SUSE Linux Enterprise Server:
zypper install nginx - Ubuntu、Debian 或 ALT Server:
apt-get install nginx
- CentOS 或 Red Hat Enterprise Linux:
- 添加 nginx 服务进行自动启动。为此,请执行命令:
systemctl enable nginx - 启动 nginx 服务。为此,请执行命令:
service nginx start - 检查 nginx 服务的状态。为此,请执行命令:
service nginx status激活 参数必须包含 激活(正在运行) 值。
将安装 Nginx 服务。
页面顶端
配置应用程序操作的端口
如果服务器上启用了防火墙,请执行配置端口的必需步骤。
要配置应用程序的操作端口:
- 打开所需端口的访问权限。为此,请根据所使用的操作系统运行以下命令之一:
- CentOS、Red Hat Enterprise Linux 或 ALT Server:
firewall-cmd --add-port=<port>/<protocol> --permanent - Ubuntu:
ufw allow <端口> - Debian:
apt-get install iptables-persistentiptables -A INPUT -p <protocol> --dport <port> -j ACCEPT
- CentOS、Red Hat Enterprise Linux 或 ALT Server:
- 应用更改。为此,请根据所使用的操作系统运行以下命令之一:
- CentOS 或 Red Hat Enterprise Linux:
firewall-cmd --reload - Debian:
netfilter-persistent save
如果您正在使用 Ubuntu OS, 将自动应用更改。
- CentOS 或 Red Hat Enterprise Linux:
将为应用程序的操作配置端口。
页面顶端
更改操作系统的语言
要在 Debian 或 Ubuntu 操作系统中正确安装 Kaspersky Web Traffic Security,您必须使用英语为操作系统的语言。否则,应用程序安装会以错误结束。
要将操作系统语言更改为英语,请执行以下操作:
- 运行本地化配置工具。为此,请执行命令:
dpkg-reconfigure locales配置地点 窗口将打开。
- 选择 en_US.UTF8 并单击 OK。
- 在默认语言配置窗口中,选择 en_US.UTF-8 并单击 OK。
操作系统语言将被更改为英语。对应用程序进行安装和初始配置后,您可以将操作系统语言设为之前使用的语言。
页面顶端
安装应用程序
从 RPM 包或 DEB 包安装应用程序:
- 请将包括在分发套件中的
kwts_6.1.0-<数据包版本>数据包复制到主文件夹中。 - 启动数据包安装。为此,请根据所使用的操作系统运行以下命令之一:
- CentOS, Red Hat Enterprise Linux 或 SUSE Linux Enterprise Server:
rpm -ivh kwts_6.1.0-<包版本>.rpm - Ubuntu 或 Debian:
dpkg -i kwts-kwts_6.1.0-<包版本>.deb
- CentOS, Red Hat Enterprise Linux 或 SUSE Linux Enterprise Server:
- 等待安装完成。
安装完成后,命令行会显示运行应用程序配置脚本的提醒。
页面顶端
应用程序的初始配置
应用程序安装后,您需要执行初始配置。
您可以手动配置应用程序或将设置值的集合保存到文件。使用此文件,您将能够自动配置应用程序。这将有助于避免重复输入设置,并减少在组织的基础架构中部署应用程序所需的时间。
执行应用程序初始配置的用户账户必须有超级用户权限。
手动配置应用程序
如果您使用的 Debian 或 Ubuntu 的语言不是英语,在开始应用程序的初始配置前您必须 更改操作系统的语言。
要手动配置应用程序:
- 运行应用程序配置脚本。为此,请执行命令:
/opt/kaspersky/kwts/bin/setup.py --install - 选择用来查看《最终用户授权许可协议》和《隐私策略》的语言。为此,请输入您想要选择的语言旁边显示的数字,然后按 ENTER 键。
- 请表示您是接受或拒绝最终用户授权许可协议。要执行此操作:
- 按 ENTER 阅读最终用户授权许可协议。
- 按 q 键退出查看模式。
- 执行以下操作之一:
- 如果您想要接受《最终用户授权许可协议》的条款,请输入
yes。 - 如果您想要拒绝《最终用户授权许可协议》的条款,请输入
no。
- 如果您想要接受《最终用户授权许可协议》的条款,请输入
- 按 ENTER 键。
如果您拒绝了最终用户授权许可协议的条款,则不会安装应用程序。
- 请表示您是接受或拒绝隐私策略。要执行此操作:
- 按 ENTER 阅读隐私策略的文本。
- 按 q 键退出查看模式。
- 执行以下操作之一:
- 如果您想要接受隐私策略的条款,请输入
yes。 - 如果您想要拒绝隐私策略的条款,请输入
no。
- 如果您想要接受隐私策略的条款,请输入
- 按 ENTER 键。
如果您拒绝了隐私策略的条款,则不会执行应用程序配置。
- 请表示您是接受或拒绝保护设置的默认值。要执行此操作:
- 按 ENTER 阅读默认保护设置的说明。
- 按 q 键退出查看模式。
- 执行以下操作之一:
- 如果您接受默认保护设置,请键入
是。 - 如果您拒绝保护设置,请键入
否。
- 如果您接受默认保护设置,请键入
- 按 ENTER 键。
如果您不同意设置默认保护设置,则不会执行应用程序配置。
安装后,您可以在 规则 区域的应用程序 web 界面更改这些设置。
- 键入用来和集群的其他节点进行交互的网络界面的 IP 地址,然后按 ENTER。
默认使用当前的激活 IP 地址。
- 指定用来和集群的其他节点进行交互的端口,然后按 ENTER。
推荐使用默认值 9045。
- 设置本地管理员密码。
密码必须包含:
- 至少 15 个字符
- 仅 ASCII 字符 (A-Z, a-z)、数字和特殊字符
- 以下类型的字符:
- 大写字符 (A-Z)。
- 小写字符 (a-z)。
- 数字。
- 特殊字符。
应用程序安装后,您可以在 web 界面的 本地管理员 区域中 更改本地管理员密码。
将完成应用程序配置。之后,您需要将服务器添加到集群,以便通过 web 界面管理应用程序设置。
页面顶端
为应用程序创建自动配置文件
要创建一个自动配置文件:
/opt/kaspersky/kwts/bin/setup.py --create-auto-install=<配置文件的完整路径>
创建自动配置文件不会修改当前服务器的设置。
如果指定的自动配置文件已经存在,其内容将被覆盖。
页面顶端
开始应用程序的自动配置
如果您使用的 Debian 或 Ubuntu 的语言不是英语,在开始应用程序的初始配置前您必须 更改操作系统的语言。
要启动应用程序自动配置,请运行以下命令:
/opt/kaspersky/kwts/bin/setup.py --auto-install=<自动配置文件的完整路径>
下表中列出了应用程序的自动配置文件的设置。
应用程序的自动配置文件的设置
参数 |
说明 |
可用值 |
|---|---|---|
|
接受授权许可协议条款。 |
|
|
接受隐私策略的条款。 |
|
|
同意设置默认保护设置。 |
|
|
选择用于与集群的其他节点交互的网络界面的 IP 地址。 |
|
|
选择用于与集群的其他节点交互的端口。 推荐使用默认值 9045。 |
|
|
本地管理员密码的条目。 |
< |
移除应用程序
要移除应用程序:
- 删除安装包。为此,请根据所使用的操作系统执行以下操作:
- CentOS、ALT Server 或 Red Hat Enterprise Linux。
运行以下命令:
rpm -e kwts - SUSE Linux Enterprise Server:
- 运行以下命令:
rpm -e kwts - 确认删除包为此,请输入
Y然后按 ENTER 键。
- 运行以下命令:
- Ubuntu 或 Debian。
运行以下命令:
dpkg -r kwts
- CentOS、ALT Server 或 Red Hat Enterprise Linux。
- 运行删除应用程序的所有文件和文件夹的脚本:
/var/opt/kaspersky/kwts/cleanup.sh将显示确认提示。
- 键入
是然后按 ENTER 键。 - 如果您使用 Ubuntu 或 Debian, 请运行以下命令:
dpkg -P kwts
应用程序将被移除。
页面顶端
安装和初始配置从 ISO 镜像部署的应用程序
您要安装应用程序的服务器必须具有静态 IP 地址。否则,创建集群后,您将无法管理节点的设置或将设置与带角色控制的节点同步。
您可以在未预装操作系统的物理服务器或虚拟服务器上部署应用程序 ISO 镜像。部署的 ISO 文件包含预装了 Kaspersky Web Traffic Security 及内置代理服务器的操作系统镜像。
支持在以下 hypervisor 上部署 ISO 镜像作为虚拟机:
- VMware ESXi。
您可以在以下的界面中执行部署虚拟机的所有步骤:
- Microsoft Hyper-V
您可以在以下的界面中执行部署虚拟机的所有步骤:
- Microsoft System Center Virtual Machine Manager 的界面(也称为 Microsoft SCVMM)
- Microsoft Hyper-V Manager 管理控制台
请确保 hypervisor 的版本和为虚拟机分配的硬件资源符合所有适用的硬件和软件要求。
从 ISO 镜像部署后,应用程序不支持多网络适配器的操作。所有用户连接和互联网访问都必须通过一个适配器建立。
正确操作应用程序所需的操作系统中的端口初步配置已完成。您可以查看“被利用的网络访问”的列表。
安装之后,应用程序开始将其组件功能信息记录至 Kaspersky Web Traffic Security 事件日志、Syslog 事件日志,及根据定义的跟踪等级记录至跟踪文件。请参阅关于数据提供部分。
在 VMware ESXi Hypervisor 管理控制台部署虚拟机
虚拟机镜像的部署包括以下步骤:
- 上传 ISO 文件到虚拟数据存储
Kaspersky Web Traffic Security ISO 文件包含带有预安装应用程序和内置代理服务器的操作系统镜像。
- 创建虚拟机
创建虚拟机时,必须配置建议用于 Kaspersky Web Traffic Security 操作的设置。
- 连接到虚拟机并启动初始配置向导
在使用 Kaspersky Web Traffic Security 之前,必须完成应用程序的初始配置。
上传 ISO 文件
运行虚拟机创建向导之前,必须上传一个 ISO 文件到主机的数据存储。
要在 VMware ESXi Hypervisor 管理控制台中上传 ISO 文件:
- 打开 VMware ESXi hypervisor 的管理控制台。
- 在导航窗格中,选择存储 区域。
- 选择 Datastores 选项卡。
- 单击数据存储浏览器。
数据存储浏览器窗口将打开。
- 选择要在其中上传 ISO 文件的数据存储和文件夹
- 单击上传按钮。
文件选择窗口将打开。
- 选择文件并单击 打开。
等待文件加载完成。上传完成后,ISO 文件的名称会显示在主机数据存储的文件表中。确保上载文件的指定大小与原始文件的大小相匹配。
页面顶端
在 VMware ESXi Hypervisor 管理控制台中创建虚拟机
要在 VMware ESXi Hypervisor 管理控制台中创建虚拟机:
- 打开 VMware ESXi hypervisor 的管理控制台。
- 在导航窗格中,选择虚拟机区域。
- 单击创建/注册 VM按钮。
虚拟机创建向导将打开。
- 按照向导的步骤执行操作:
将创建带定义设置的虚拟机。
页面顶端
连接到虚拟机并启动初始配置向导
要连接到虚拟机并开始在 VMware ESXi hypervisor 管理控制台中配置 Kaspersky Web Traffic Security:
- 打开 VMware ESXi hypervisor 的管理控制台。
- 在导航窗格中的虚拟机区域,选择要开启的虚拟机。
- 单击打开按钮。
虚拟机将启动。
- 单击控制台按钮并从下拉列表中选择必要的控制台启动格式:
- 打开浏览器控制台。
- 启动远程控制台。
虚拟机的管理工作台将打开。连接到虚拟机后,应用程序设置和初始配置向导将开启。按照向导的说明执行操作。
在 VMware vSphere web 界面部署虚拟机
虚拟机镜像的部署包括以下步骤:
- 上传 ISO 文件到虚拟数据存储
Kaspersky Web Traffic Security ISO 文件包含带有预安装应用程序和内置代理服务器的操作系统镜像。
- 创建虚拟机
创建虚拟机时,必须配置建议用于 Kaspersky Web Traffic Security 操作的设置。
- 连接到虚拟机并启动初始配置向导
在使用 Kaspersky Web Traffic Security 之前,必须完成应用程序的初始配置。
上传 ISO 文件
要使用 VMware vSphere Web 界面将 ISO 文件上传到数据存储:
- 在VMware vSphere Client 的 web 界面中,输入管理员凭据。
- 在左侧窗格中,单击
图标。将打开“存储”页面。
- 从列表中选择存储,然后打开“文件”选项卡。
- 选择要在其中上传 ISO 文件的文件夹。
- 单击“上传文件”按钮。
文件选择窗口将打开。
- 选择 ISO 文件并单击打开。
等待文件加载完成。上传完成后,ISO 文件的名称会显示在主机数据存储的文件表中。确保上载文件的指定大小与原始文件的大小相匹配。
页面顶端
在 VMware vSphere web 界面创建虚拟机
要在 VMware vSphere web 界面中创建虚拟机:
- 在VMware vSphere Client 的 web 界面中,输入管理员凭据。
- 在导航窗格中,选择数据中心和您要创建虚拟机的存储。
所选择的存储的属性窗口显示在工作区。
- 在控制面板的操作下拉列表中,选择新虚拟机 → 新虚拟机...。
虚拟机创建向导将打开。
- 按照向导的步骤执行操作:
将创建带定义设置的虚拟机。
页面顶端
连接到虚拟机并开始安装
要连接到虚拟机并开始在 VMware vSphere web 界面中安装 Kaspersky Web Traffic Security:
- 在VMware vSphere Client 的 web 界面中,输入管理员凭据。
- 在左侧窗格中,单击
图标。将打开“主机和集群”页面。
- 在要启动的虚拟机的上下文菜单中,选择“电源 → 打开电源”。
虚拟机将启动。
- 在控制面板的操作下拉列表中,选择打开控制台。
虚拟机的管理工作台将打开。连接到虚拟机后,应用程序设置和初始配置向导将开启。按照向导的说明执行操作。
在 Microsoft Hyper-V Manager 管理控制台中部署虚拟机
虚拟机镜像的部署包括以下步骤:
- 创建虚拟机
- 更改虚拟机处理器的数量
虚拟机创建向导不提供定义所需数量的处理器的功能。因此,必须在创建虚拟机后更改此设置。
- 连接到虚拟机并启动初始配置向导
在使用 Kaspersky Web Traffic Security 之前,必须完成应用程序的初始配置。
在 Microsoft Hyper-V Manager 管理控制台中创建虚拟机
创建虚拟机之前,必须将 ISO 文件放在服务器可以使用 hypervisor 访问的任何网络文件夹中。如果在安装虚 hypervisor 的同一台服务器上打开 Microsoft Hyper-V Manager 控制台,则可以将 ISO 文件放在本地硬盘驱动器上。
要创建虚拟机:
- 打开 Microsoft Hyper-V Manager 管理控制台。
- 在窗口左侧,选择要在其中部署虚拟机镜像的 hypervisor。
- 在上下文菜单中,选择“New”(新建)→“Virtual Machine”(虚拟机)。
虚拟机创建向导将打开。
- 按照向导的步骤执行操作:
将创建带定义设置的虚拟机。确保其显示在所选择的 hypervisor 的虚拟机列表中。
使用默认的处理器数量创建虚拟机。您必须在虚拟机创建后在虚拟机的属性中更改此设置。
页面顶端
更改虚拟机处理器的数量
执行这些操作之前,确保虚拟机已关闭。
要更改虚拟机处理器的数量:
- 开启 Hyper-V Manager。
- 在主应用程序窗口的虚拟机表中,选择从 ISO 文件部署的虚拟机。
- 右击鼠标打开上下文菜单并选择设置。
虚拟机属性窗口将打开。
- 在硬件设置组中,选择处理器区域。
- 在虚拟处理器数量字段中,指定虚拟处理器的数量。
最小建议值为 8。如果需要更高的虚拟机性能,则可以指定较大的值。
- 单击 OK。
将更改虚拟机处理器的数量。
页面顶端
连接到虚拟机并启动初始配置向导
要连接到虚拟机并开始在 Microsoft Hyper-V Manager 管理控制台中配置 Kaspersky Web Traffic Security:
- 打开 Microsoft Hyper-V Manager 管理控制台。
- 在窗口左侧,选择部署虚拟机的 hypervisor。
- 在工作区,右键单击要开启的虚拟机。
- 在上下文菜单中,单击启动。
虚拟机将启动。
- 在虚拟机的上下文菜单中,选择连接命令。
虚拟机控制台将打开,设置和初始配置向导将开启。按照向导的说明执行操作。
页面顶端
使用 Microsoft SCVMM 部署虚拟机
虚拟机镜像的部署包括以下步骤:
- 上传 ISO 文件到 Microsoft SCVMM 服务器库
Kaspersky Web Traffic Security ISO 文件包含带有预安装应用程序和内置代理服务器的操作系统镜像。
- 创建虚拟机
创建虚拟机时,必须配置建议用于 Kaspersky Web Traffic Security 操作的设置。
- 连接到虚拟机并启动初始配置向导
在使用 Kaspersky Web Traffic Security 之前,必须完成应用程序的初始配置。
上传 ISO 文件
要上传 ISO 文件到 Microsoft SCVMM 服务器库,必须将 ISO 文件放到开启了 Microsoft SCVMM 的同一台计算机的本地磁盘驱动器中。
要上传 ISO 文件到 Microsoft SCVMM 服务器库:
- 启动虚拟机管理器 (VMM)。
- 在窗口左下方,选择库区域。
- 在控制面板中,单击导入物理资源按钮。
导入资源库窗口将打开。
- 单击浏览...。
选择目标文件夹窗口将打开。
- 选择将上传 ISO 文件的资源库和文件夹,然后单击确定。
- 在导入库资源窗口中,单击添加资源...按钮。
选择资源项窗口将打开。
- 选择 ISO 文件并单击打开。
- 单击导入按钮。
ISO 文件将导入到 Microsoft SCVMM 服务器库中,并显示在物理库对象表中。
页面顶端
使用 Microsoft SCVMM 创建虚拟机
如果 Microsoft Hyper-V hypervisor 连接到 Microsoft System Center 基础结构,则可以使用 Microsoft SCVMM 创建虚拟机。
要创建虚拟机:
- 启动虚拟机管理器(VMM)。
- 在窗口左下角,选择 VM 和服务区域。
- 在工具栏中,单击创建虚拟机按钮并从下拉列表中选择创建虚拟机。
虚拟机创建向导将打开。
- 按照向导的步骤执行操作:
这将启动使用定义的设置创建虚拟机的过程。确保过程正确完成,并且虚拟机显示在所选择的 hypervisor 的虚拟机列表中。
页面顶端
连接到虚拟机并启动初始配置向导
要连接到虚拟机并使用 Microsoft SCVMM 开始配置 Kaspersky Web Traffic Security:
- 启动虚拟机管理器 (VMM)。
- 在窗口左下方,选择 VM 和 服务区域。
- 在窗口左上方的树中,选择已创建虚拟机的 hypervisor。
- 在窗口的工作区,选择要开启的虚拟机。
- 在工具栏中,单击开启按钮。
虚拟机将启动。
- 在工具栏中,单击连接或查看按钮,然后在下拉列表中选择通过控制台连接。
虚拟机控制台将打开,设置和初始配置向导将开启。按照向导的说明执行操作。
页面顶端
应用程序安装和初始配置
要安装并配置应用程序:
- 启动虚拟机。
虚拟机从 ISO 磁盘镜像中加载。应用程序安装向导开启。
- 在安装向导的欢迎窗口,单击确定。
- 选择您要查看最终用户授权许可协议、隐私策略和默认应用程序设置通知的语言。
- 请表示您是接受或拒绝最终用户授权许可协议。要执行此操作:
- 如果您接受最终用户授权许可协议的条款,请单击I accept按钮。
- 如果您拒绝最终用户授权许可协议的条款,请单击I decline按钮。
如果您拒绝了最终用户授权许可协议的条款,则应用程序不会安装。
- 请表示您是接受或拒绝隐私策略。要执行此操作:
- 如果您接受隐私策略的条款,请单击I accept按钮。
- 如果您拒绝隐私策略的条款,请单击I decline按钮。
如果您拒绝了隐私策略的条款,则应用程序不会安装。
- 查看默认保护设置的值和有关 IT 基础架构保护的建议。单击 OK。
应用程序安装后,您可以在 web 界面修改这些设置。
- 选择将要安装应用程序的驱动器,然后单击确认窗口中的Yes。
请在 ISO 镜像数据复制到虚拟机时耐心等待。复制完成后,将重启虚拟机。应用程序安装向导开启。
- 在安装向导窗口,选择从本地驱动器启动。
- 选择Kaspersky Web Traffic Security以继续标准安装。
- 输入要在其上部署应用程序的虚拟机的完全限定域名,然后单击 OK。
- 选择网络界面并单击确认窗口中的是。
- 在界面窗口中,单击继续。
路由 窗口将打开。
- 配置网络路由。要执行此操作:
- 在界面字段中,选择默认路由的网络界面。
dhcp值将在网关字段中设置。网关 IP 地址将由 DHCP 服务器分配。
- 如果您要定义网关的静态 IP 地址:
- 在网关字段中,按下ENTER。
确认窗口将打开。
- 要配置静态配置,单击Yes。
界面网关配置窗口将打开。
- 在网关字段中,输入网关的静态 IP 地址并单击确定。
您将返回路由窗口。
- 在网关字段中,按下ENTER。
- 单击继续。
Resolver 窗口将打开。
- 在界面字段中,选择默认路由的网络界面。
- 如果您要手动配置 DNS 服务设置:
- 在使用 DHCP字段中,选择no。
- 在搜索列表字段中,按下ENTER。
界面 DNS 配置窗口将打开。
- 在搜索列表字段中,输入一个域搜索列表。
- 在主服务器字段中,输入主 DNS 服务器的地址。
- 在辅助服务器字段中,输入辅助 DNS 服务器的地址。
- 单击 OK。
- 在解析程序窗口中,单击继续。
- 如果您要接收 DNS 服务器的地址和通过 DHCP 协议的 DNS 后缀的搜索列表:
- 在使用 DHCP字段中,按下ENTER。
获取通过 DHCP 的 DNS 地址窗口将打开。
- 选择 DHCP 服务的网络界面。
dhcp值将在搜索列表,主 DNS和辅助 DNS字段中设置。
- 在解析程序窗口中,单击继续。
- 在使用 DHCP字段中,按下ENTER。
- 设置本地管理员密码。
密码必须包含:
- 至少 15 个字符
- 仅 ASCII 字符 (A-Z, a-z)、数字和特殊字符
- 以下类型的字符:
- 大写字符 (A-Z)。
- 小写字符 (a-z)。
- 数字。
- 特殊字符。
应用程序安装后,您可以在 web 界面更改本地管理员密码。
- 您将会看到用于接收与集群中其他节点交互的入站连接的网络界面的 IP 地址。按 ENTER 键。在确认窗口,单击 Yes。
默认使用虚拟机的 IP 地址。
- 指定用于和集群的其他节点进行交互的端口,然后单击确定。在确认窗口,单击 Yes。
推荐使用默认值 9045。
- 使用任何方便的方法保存在配置向导的最后一个窗口中显示的服务器证书指纹。
通过应用程序 Web 界面添加服务器到集群时,需要您对比此指纹和 Web 界面中显示的指纹。
将完成应用程序的安装和初始配置。您将能够通过浏览器连接到应用程序 web 界面进行设置配置。如果您在安装应用程序后首次连接到 Web 界面,则需要在开始前创建一个新集群。
页面顶端
移除从 ISO 镜像部署的应用程序
应用程序被移除后,其所有相关信息将丢失。
标准移除过程不对从 ISO 镜像部署的应用程序提供。
如果您在虚拟机上部署了应用程序,您可以移除整个虚拟机,包括虚拟驱动器上的文件和系统健康快照文件。为此,根据所利用的 hypervisor 遵照该部分的相关指示进行操作。
如果应用程序部署在物理服务器上,您将需要 覆盖服务器的硬盘数据 来移除应用程序。
从物理服务器移除应用程序
在移除应用程序之前,您必须 完成必要的准备。
要从物理服务器上完全移除应用程序,建议用随机数据多次覆盖当前数据。
要从物理服务器移除应用程序,请执行以下操作:
- 下载 CentOS 分发套件的 LiveCD 引导镜像 (LiveKDE 或 LiveGNOME)。
这些指示描述了如何使用 LiveCD LiveGNOME。
- 部署 USB 驱动上的 LiveCD 镜像。为此,请使用 CentOS 知识库 的操作说明。
- 将 USB 驱动器连接到托管 Kaspersky Web Traffic Security 的服务器。
- 在 BIOS/UEFI 设置中将连接的 USB 驱动器识别为可引导设备然后加载。
- 启动终端应用程序。为此,在 应用程序 菜单中选择 系统工具 → 终端 区域。
系统打开终端应用程序控制台。
- 确定硬盘名称。为此,请执行命令:
lsblk - 在打开的表中,在 类型 栏中查找 disk 值。硬盘名称指明在 NAME 栏的该同一行中。
- 如果您想要覆盖驱动器上的数据只一次,请执行以下操作:
- 要用零覆盖驱动器,请运行以下命令:
sudo dd if=/dev/zero of=<硬盘驱动器名称> bs=1M - 要用零覆盖驱动器,请运行以下命令:
sudo dd if=/dev/zero of=<硬盘驱动器名称> bs=1M
- 要用零覆盖驱动器,请运行以下命令:
- 如果您想要覆盖驱动器上的数据只一次,请执行以下操作:
- 准备脚本文件。为此,请执行命令:
echo “for n in \`seq 7\` ; do dd if=/dev/urandom of=/dev/sda bs=1M conv=notrunc ; done” > wipe - 将脚本文件设为可执行文件。为此,请执行命令:
chmod a+x wipe - 运行脚本。为此,请执行命令:
sudo ./wipe
- 准备脚本文件。为此,请执行命令:
- 等待操作完成。覆盖完成后,您将会看到一条通知通知您驱动器没有可用空间。
- 提取 USB 驱动器。
- 重启服务器并尝试从硬盘加载应用程序。
如果数据已被成功删除,则无法加载应用程序。
页面顶端
在 VMware ESXi Hypervisor 管理控制台中移除虚拟机
在卸载应用程序之前,您必须完成必要的准备。
要在 VMware ESXi Hypervisor 管理控制台中移除虚拟机,请执行以下操作:
- 打开 VMware ESXi hypervisor 的管理控制台。
- 在导航窗格中,选择虚拟机区域。
- 选择要删除的列出的虚拟机。
- 如果虚拟机电源开着,将其关掉。为此,请单击“关闭电源”按钮。等待机器关机。
- 在控制面板的“操作”下拉列表中,选择“删除”。
- 在确认窗口中,单击 删除。
安装了 Kaspersky Web Traffic Security 的虚拟机将被移除,再也不会显示在虚拟机列表中。
页面顶端
在 VMware vSphere web 界面界面中移除虚拟机
在卸载应用程序之前,您必须完成必要的准备。
要在 VMware vSphere web 界面界面中移除虚拟机,请执行以下操作:
- 在 VMware vSphere Client 的 web 界面中,输入管理员凭据。
- 在左侧窗格中,单击 图标。
将打开“主机和集群”页面。
- 选择要删除的列出的虚拟机。
- 如果虚拟机电源开着,将其关掉。为此,请选择虚拟机。然后,在控制面板的“操作”下拉列表中,选择“电源 → 关闭电源”。
- 在确认窗口,单击 Yes。等待机器关机。
- 在控制面板的操作下拉列表中,选择从磁盘删除。
- 在确认窗口,单击 Yes。
安装了 Kaspersky Web Traffic Security 的虚拟机将被移除,再也不会显示在虚拟机列表中。
页面顶端
在 Microsoft Hyper-V Hypervisor 管理控制台中移除虚拟机
在卸载应用程序之前,您必须完成必要的准备。
要在 Microsoft Hyper-V Hypervisor 管理控制台中移除虚拟机,请执行以下操作:
- 开启 Hyper-V Manager。
- 在应用程序主窗口中,在 虚拟机 表中的 hypervisor 的虚拟机列表中,选择要移除的虚拟机。
- 如果虚拟机电源开着,将其关掉。为此,右键单击以打开上下文菜单并选择“关闭”。等待机器关机。
- 在虚拟机的上下文菜单中,选择“设置”。
虚拟机属性窗口将打开。
- 在“硬件”设置组中,选择“SCSI 控制器 → 硬盘驱动器”。
- 使用任何方便的方法保存“虚拟硬盘”字段中指示的路径并关闭虚拟机属性窗口。
默认情况下,在 Hypervisor 管理控制台中删除虚拟机后,虚拟硬盘驱动器的文件不会从服务器中删除。您需要手动将其删除。
- 在虚拟机的上下文菜单中,选择删除命令。
- 在确认窗口中,单击 删除。
- 在 Hypervisor 的物理服务器上,从步骤 6 指示的文件夹中手动删除虚拟硬盘驱动器的文件。
安装了 Kaspersky Web Traffic Security 的虚拟机将被移除,再也不会显示在虚拟机列表中。
页面顶端
使用 Microsoft SCVMM 移除虚拟机
在卸载应用程序之前,您必须完成必要的准备。
要使用 Microsoft SCVMM 移除虚拟机,请执行以下操作:
- 启动虚拟机管理器 (VMM)。
- 在窗口左下角,选择 VM 和服务区域。
- 在左上方面板的树中,选择已创建虚拟机的 hypervisor。
- 选择要删除的列出的虚拟机。
- 如果虚拟机电源开着,将其关掉。为此,请单击工具栏中的“关闭电源”。
- 在确认窗口,单击 Yes。等待机器关机。
- 在工具栏中,单击删除按钮。
- 在确认窗口,单击 Yes。
安装了 Kaspersky Web Traffic Security 的虚拟机将被移除,再也不会显示在虚拟机列表中。
页面顶端
应用程序入门指南
安装完成后,您可以在任何计算机上的浏览器中使用 web 界面管理应用程序。
Kaspersky Web Traffic Security 管理员必须独立确保在浏览器和带角色控制的节点之间传输的数据的安全。出于安全目的,我们也建议您 用单点登录技术配置 Kerberos 身份验证。
要管理应用程序设置,必须连接到带角色控制的节点。连接到带角色辅助的节点时,您可以 更改服务器角色 并查看其他已连接服务器的状态。
配置网络访问
如果应用程序安装自 RPM 或 DEB 包,为了保证 Kaspersky Web Traffic Security 正确运行,您必须先在安装了应用程序的服务器和用来中继流量的公司 LAN 路由器上配置端口。如果从 ISO 镜像部署了应用程序,操作所需的所有端口都已经得到配置。
基于应用程序功能的所需网络访问权限信息请参见下表。
应用程序操作所需的网络访问权限
功能 |
分发套件 |
协议 |
端口 |
指向 |
连接目的地 |
|---|---|---|---|---|---|
通过网页界面管理应用程序 |
RPM/DEB 包,ISO 镜像 |
TCP |
443 |
入站 |
应用程序管理员的计算机 |
ISO 镜像 |
TCP |
22 |
入站 |
应用程序管理员的计算机 |
|
RPM/DEB 包,ISO 镜像 |
TCP |
默认9045(可以在应用程序网页界面中更改) |
入站和出站 |
其它集群节点 |
|
RPM/DEB 包,ISO 镜像 |
TCP |
默认1344(可以在应用程序网页界面中更改) |
入站 |
ICAP 客户端和负载平衡器 |
|
DNS 请求 |
RPM/DEB 包,ISO 镜像 |
UDP |
53 |
出站 |
DNS 服务器 |
RPM/DEB 包,ISO 镜像 |
TCP |
默认8080(可以在应用程序网页界面中更改) |
出站 |
外部代理服务器 |
|
RPM/DEB 包,ISO 镜像 |
TCP |
443 |
出站 |
Kaspersky 服务器 |
|
RPM/DEB 包,ISO 镜像 |
TCP |
80, 443 |
出站 |
Kaspersky 服务器 |
|
RPM/DEB 包,ISO 镜像 |
TCP |
443 |
出站 |
Kaspersky 服务器 |
|
RPM/DEB 包,ISO 镜像 |
TCP |
443 |
出站 |
KPSN 服务器 |
|
RPM/DEB 包,ISO 镜像 |
TCP |
389 |
出站 |
Active Directory 服务器 |
|
RPM/DEB 包,ISO 镜像 |
UDP, TCP |
88 |
出站 |
Active Directory 服务器 |
|
RPM/DEB 包,ISO 镜像 |
TCP |
445 |
出站 |
Active Directory 服务器 |
|
RPM/DEB 包,ISO 镜像 |
TCP |
默认443(可以在应用程序网页界面中更改) |
出站 |
KATA 服务器 |
|
RPM/DEB 包,ISO 镜像 |
TCP |
默认705(可以在应用程序网页界面中更改) |
出站 |
SNMP 服务器 |
|
SNMP 统计数据 |
ISO 镜像 |
UDP, TCP |
161 |
入站 |
外部监控系统 |
ISO 镜像 |
UDP, TCP |
162 |
出站 |
外部监控系统 |
|
使用内置代理服务器访问互联网 |
ISO 镜像 |
TCP |
任何 |
出站 |
互联网,内网 |
ISO 镜像 |
TCP |
默认3128(可以在应用程序网页界面中更改) |
入站 |
公司 LAN 计算机 |
|
ISO 镜像 |
TCP |
389, 636 |
出站 |
Active Directory 服务器 |
|
ISO 镜像 |
UDP |
123 |
出站 |
NTP 服务器 |
连接到应用程序网页界面
如果您是在应用程序安装后首次连接到 web 界面,则需要在其开始工作前创建一个新的集群。
要连接到应用程序 web 界面:
- 在浏览器中,输入以下地址:
https://<主服务器的完全限定域名 (FQDN) 的 IP 地址>Web 界面授权页面将打开,提示输入用户名和密码。
- 在 用户名 文本框中,输入
管理员。 - 在 密码 文本框中输入管理员的密码。
如果您输入错误密码五次,授权将被阻止五分钟。
- 单击 登录。
应用程序 web 界面窗口的主窗口将打开。
页面顶端
在网页界面中检查 Kaspersky Web Traffic Security 的运行
在企业 LAN 计算机上的浏览器中检查 Kaspersky Web Traffic Security 的操作。
要检查 Kaspersky Web Traffic Security 的运行:
- 在应用程序 web 界面的主窗口中,打开管理控制台树然后选择 节点 区域。
- 确保所有带角色辅助的节点的状态为 已同步。
- 单击以下链接:
如果应用程序配置正确且 Squid 服务设置中启用了 SSL Bumping,您将会看到一条消息,陈述对这些资源的访问已被阻止。
如果应用程序配置正确且 Squid 服务设置中禁用了 SSL Bumping,您将会看到一条消息,陈述仅对首个资源的访问已被阻止 (http://www.eicar.org/download/eicar.com)。
- 打开一个未被阻止的网站,例如,https://www.kaspersky.com.cn。
如果应用程序配置正确,网站将打开。
应用程序运行监控
已处理流量的统计信息不包含旁路规则范围内的 web 资源,也不包含作为处理 SSL 连接的一部分应用 Tunnel 和 Tunnel with SNI check 操作的 web 资源。
您可以使用小组件和信息窗格监控应用程序。在应用程序 web 界面窗口中,仪表板 区域将显示以下信息:
- 系统健康。显示集群操作中的错误的图表。您可以单击 转至节点 链接以访问 节点 区域并查看有关集群中每个节点的性能的详细信息。
其在工作区 web 界面不可用。
- 按类别检测。按内容筛选类别显示检测到的对象的图表,以及按时间检测的小组件。此信息帮助您确定组织中请求最频繁的 web 资源。
- 数据处理。小组件显示一段时间内处理的入站和出站的网络流量。此信息可帮助您确定组织中用户的最高活动时间,并评估流量处理所需的资源量。
- 反病毒。小组件显示已被反病毒模块扫描的对象数量,以及已发现的威胁数量。
- 反钓鱼。小组件显示已被反钓鱼模块扫描的对象数量,以及已发现的威胁数量。
- 恶意链接筛选器。显示扫描链接总数和被视为恶意链接数量的小组件。
- KATA。小组件显示基于来自 KATA 服务器的信息已被扫描的对象数量,以及已发现的威胁数量。
- 最后 10 个威胁。最后 10 个对象的名称和检测时间。
- 最后 10 个被阻止的 URL 地址。最后 10 个被阻止的 web 资源的 URL。
- 最后 10 个被阻止的用户。请求被应用程序阻止的最后 10 个用户的 IP 地址。
在应用程序的常规 web 界面中,可以按以下条件筛选监控数据:
- 按时间间隔
- 按集群节点
- 按工作区
在工作区的 web 界面中,仅按时间间隔进行隔筛选可用。
您可以创建新的布局、在已保存的布局间切换,以及选择默认显示的布局。
创建新布局
要创建新布局:
- 在应用程序 web 界面窗口中,选择 仪表板。
- 在窗口的上半部分中,单击
。 - 在下拉列表中,选择 新建。
将显示默认小组件列表。
- 在 布局名称 框中,请输入新布局的名称。
- 如果您想要将小组件添加到布局,请单击 小组件 并执行以下操作:
- 在 添加小组件 窗口中,选择您想要添加到布局的微件名称旁边的复选框。
- 单击
。
- 如果要在布局上移动小组件,请左键单击并按住小组件上半部分的鼠标左键,将小组件拖到布局上的新位置。
- 如果您要从布局中移除小组件,请单击小组件右上角的
图标。 - 单击 保存。
新布局将被添加到 小组件 区域中的布局列表。
编辑布局
您无法编辑名为 默认布局 的预定义布局。
要编辑布局:
- 在应用程序 web 界面窗口中,选择 仪表板。
- 在布局列表中,选择您要编辑的布局。
- 在窗口的上半部分中,单击 。
- 在下拉列表中,选择 自定义。
- 如果要重命名布局,请在包含布局当前名称的字段键入新名称。
- 如果您想要将小组件添加到布局,请单击 小组件 并执行以下操作:
- 在 添加小组件 窗口中,选择您想要添加到布局的微件名称旁边的复选框。
- 单击 。
- 如果要在布局上移动小组件,请左键单击并按住小组件上半部分的鼠标左键,将小组件拖到布局上的新位置。
- 如果您要从布局中移除小组件,请单击小组件右上角的 图标。
- 单击 保存。
布局将被修改。
删除布局
您无法移除名为 默认布局 的预定义布局。
要删除布局:
- 在应用程序 web 界面窗口中,选择 仪表板。
- 在布局列表中,选择您想要删除的布局。
- 指向您想要删除的布局的名称。
- 单击布局名称右侧的
。系统将显示布局删除确认。
- 单击 删除。
布局被删除。
从列表中选择布局
要从布局列表中选择布局:
- 在应用程序 web 界面窗口中,选择 仪表板。
- 在应用程序 web 界面窗口的右上角的布局列表中,选择有关布局。
所选布局将显示在应用程序 web 界面窗口中。
选择默认显示的布局
选择默认显示的布局:
- 在应用程序 web 界面窗口中,选择 仪表板。
- 在应用程序 web 界面窗口的右上角,展开布局列表。
- 选择默认情况下必须显示的布局。
- 单击布局名称左侧的
图标。
仪表板 区域被选中时,将显示已选中的布局。
筛选监控数据
要筛选显示在小组件上的信息:
- 在应用程序 web 界面中,在工作区之间切换的部分,选择常规设置或相关工作区的名称。
- 选择 仪表板 区域。
- 如果要按时间间隔筛选信息,请在 过去 1 小时 下拉列表中选择以下选项之一:
- 过去 1 小时。
- 过去 1 天。
- 上星期。
- 上个月。
- 去年。
默认显示最后一个小时的信息。
- 如果要按集群节点筛选信息,请在 所有节点 下拉列表中选择相关节点的 IP 地址。
默认显示所有节点的相关信息。
其在工作区的 web 界面中不可用。
- 如果您想要按工作区过滤信息,请在“未选中”拉列表中选择相关工作区的名称。
默认显示所有工作区的相关信息。
其在工作区的 web 界面中不可用。
小组件上显示的信息将根据定义的条件进行筛选。
页面顶端
报告
仅当用户有 查看仪表板和报告 权限时,此功能可用。
您可以基于 仪表板 区域中的统计信息进行已定义条件的生成报告。报告包含有关指定时间段内所选则的工作区的已处理流量的数据。
报告创建后,可以下载 PDF 格式的报告。
生成报告
要生成报告:
- 在应用程序 web 界面中,选择 报告 区域。
- 单击 生成报告。
新报告 窗口将打开。
- 在 时期 下拉列表中,选择要为其生成报告的以下时间段:
- 过去 1 天。
- 上星期。
- 上个月。
- 去年。
- 在 工作区 下拉列表中,选择要包含在报告中的工作区。
如果您要接受所有工作区的数据,请选择 未选中。
- 在 语言 下拉列表中,选择报告的语言。
- 单击 添加。
将生成报告,并显示在报告的第一行。您可以保存生成的报告到计算机的硬盘驱动器中。
页面顶端
下载报告到计算机
您可以将报告下载到登录到应用程序 web 界面的任何一台计算机中。
要下载报告到计算机:
- 在应用程序 web 界面中,选择 报告 区域。
- 在 上次生成的报告 表中,单击位于要下载的报告的行右侧的图标
。
PDF 格式的报告将被保存在浏览器的下载文件夹中。
页面顶端
查看报告的内容
生成的报告的 PDF 文件包含指定期间内所选择的工作区的处理流量的数据。
报告标头包含以下信息:
- 接收数据的时间段。
- 与已处理流量数据关联的工作区。
如果选择 未选中 区域,首先显示所有流量处理的合并数据,然后显示每个工作区上的数据。
- 报告语言。
报告主体包含以下信息块:
- 处理的对象数 (已处理(对象)) 和扫描的流量 (流量(MB))。
- 处理的对象数(已扫描(对象))和使用以下技术检测到的威胁数 (已检测到(对象)):
- 反病毒。
- KATA。
- 恶意链接筛选器。
- 反钓鱼。
- 分配以下 web 类别的已访问的 URL 数:
- 成人内容。
- 酒精、烟草、毒品。
- 文化、社会。
- 软件、音频、视频。
- 信息技术。
- 在线商店、银行、支付系统。
- 仇恨、歧视。
- 互联网通信。
- 教育。
- 爱好、娱乐。
- 健康、美容、体育。
- 赌博、彩票、抽奖。
- 其他。
- 被俄罗斯联邦法律禁止。
- 被警察禁止。
- 最后 10 个被阻止的 URL 地址。最后 10 个被阻止的 web 资源的 URL。
- 最后 10 个威胁。最后 10 个对象的名称和检测时间。
- 最后 10 个被阻止的用户。请求被应用程序阻止的最后 10 个用户的 IP 地址。
Kaspersky Web Traffic Security 事件日志
Kaspersky Web Traffic Security 运行过程中会发生各种事件。这些事件反映了应用程序状态的变化。为了让管理员独立分析配置应用程序设置时引入的错误,和让卡巴斯基专家提供有效的技术支持,Kaspersky Web Traffic Security 会将这些事件的信息记录在事件日志中。
事件记录数据存储在应用程序节点中。当达到允许的最大文件大小或最长储存时间时,事件日志文件会自动旋转。
应用程序将事件记录分为以下级别:
- 错误 应用程序运行时间错误消息。
- 信息 信息消息。
应用程序的 web 界面显示流量处理事件及应用程序系统事件。管理员可以过滤单个工作区事件和与工作区无关联的事件。
工作区的 web 界面仅显示当前工作区的流量处理事件。
查看事件日志
要查看 Kaspersky Web Traffic Security 事件日志:
- 在应用程序 web 界面窗口中,选择 事件。
- 请根据要查看的筛选类型选择下列选项卡之一:
- 流量。
- 系统。
- KATA。
- 在 最大事件数量 设置右侧的下拉列表中,选择要查看的记录数量。
- 单击 添加条件。
- 使用显示的下拉列表配置事件筛选器:
- 在左侧的下拉列表中,选择筛选条件。
- 在中间的下拉列表中,选择比较运算符。
每个筛选条件有自己的一组相关比较运算符。例如,如果选择 方向 条件,您将可以使用 等于 和 不等于 运算符。
- 根据所选择的筛选条件,执行下列操作之一:
- 在比较运算符右侧的文本框中,输入一个或多个您想要用来搜索事件的字符。
- 在右侧的下拉列表中,选择一个您想要用来搜索事件的条件选项。
例如,若要搜索用户名的精确匹配,请输入用户名。
- 单击 搜索。
系统将显示满足筛选条件的事件表。
导出事件
您可以在应用程序的 事件日志中筛选事件 并将其导出至文件。
要导出事件:
- 在应用程序 web 界面窗口中,选择 事件。
- 请根据要查看的筛选类型选择下列选项卡之一:
- 流量。
- 系统。
- 在 最大事件数量 设置右侧的下拉列表中,选择要查看的记录数量。
- 单击 添加条件。
- 使用显示的下拉列表配置事件筛选器。
- 单击 搜索。
系统将显示满足筛选条件的事件表。
- 在窗口的右上角,单击 导出。
CSV 格式的事件导出文件将被保存在浏览器的下载文件夹中。
页面顶端
配置事件表显示
要配置事件表的显示:
- 在应用程序 web 界面窗口中,选择 事件。
- 单击 添加条件。
- 使用显示的下拉列表指定事件筛选条件:
- 单击 搜索。
系统将显示满足筛选条件的事件表。
- 单击
打开事件表显示菜单。 - 选择您想要在表中显示的设置旁边的复选框。
必须至少选择一个复选框。
事件表的显示已配置。
页面顶端
过滤系统事件
基于 详情 列中的事件详情的系统事件过滤只用英语提供。您可以按以下值过滤事件:
- 应用程序已开启。Real-time scan started (应用程序已启动。实时扫描已启动。)。
- Audit started (审核已启动)。
- Audit stopped (审核已停止)。
- Anti-Virus databases updated (反病毒数据库已更新)。
- Anti-Phishing databases updated (反钓鱼数据库已更新)。
- Anti-Virus databases are up-to-date (反病毒数据库为最新)。
- Anti-Phishing databases are up-to-date (反钓鱼数据库为最新)。
- Anti-Virus databases are out of date (反病毒数据库过期)。
- Anti-Phishing databases are out of date (反钓鱼数据库过期)。
- Anti-Virus databases are obsolete (反病毒数据库严重过期)。
- Anti-Phishing databases are obsolete (反钓鱼数据库严重过期)。
- 反病毒数据库已应用。Publication time: <publication time> (反病毒数据库已应用。发布时间: <发布时间>)。
- 反钓鱼数据库已应用。Publication time: <publication time> (反钓鱼数据库已应用。发布时间: <发布时间>)。
- Error updating databases: <error reason> (更新数据库时出错: <错误原因>)。
- Error loading Anti-Virus databases: <description> (加载反病毒数据库时出错: <错误原因>)。
- Error loading Anti-Phishing databases: <description> (加载反钓鱼数据库时出错:: <错误原因>)。
- LDAP synchronization started (LDAP 同步已开始)。
- Update started (更新已启动)。
- KATA cache reset (KATA 缓存重置)。
- Data integrity violation found (发现违反数据完整性)。
- No data integrity violation (无数据完整性冲突)。
要按事件详情过滤系统事件,请执行以下操作:
- 在应用程序 web 界面窗口中,选择 事件。
- 选择 系统 选项卡。
- 单击 添加条件。
- 在出现在左侧的下拉列表中选择 详情。
- 在右侧的输入字段中用英语输入事件说明或事件说明片段。
例如,输入
更新已启动查看更新启动事件。 - 单击 搜索。
系统将显示满足筛选条件的事件表。
页面顶端
配置事件日志参数
事件存储持续时间的配置和日志记录级别必须考虑托管应用程序的服务器上的可用磁盘空间。
事件日志参数不通过 Syslog 影响 事件记录设置。
若要配置事件日志设置:
- 在应用程序 web 界面窗口中,选择 设置 区域,事件 子区域。
- 在 流量 设置组中:
- 在 记录流量处理事件 下拉列表中,选择要记录的流量处理事件的类型。您可以选择以下选项之一:
- 全部;
- 取决于阻止/重定向操作;
- 无。
- 在 最大事件日志大小(MB) 文本框中,指定在其后删除旧记录的事件日志大小的阙值。
- 在 记录期(天) 框中,指定应用程序必须在服务器上保存网络流量处理事件的天数。
- 在 记录流量处理事件 下拉列表中,选择要记录的流量处理事件的类型。您可以选择以下选项之一:
- 在 KATA 设置组中:
- 在 最大事件日志大小(MB) 文本框中,指定在其后删除旧记录的事件日志大小的阙值。
- 在 记录期(天) 框中,指定应用程序必须在服务器上保存网络流量处理事件的天数。
- 在 系统 组的 最大事件数量 文本框中,指定在其后删除旧记录的 Kaspersky Web Traffic Security 事件记录的数量。
已设置事件日志配置。
页面顶端
使用流量处理规则
您可以使用
管理用户对网页资源的访问。这些规则分为、和。您可以创建访问规则组和保护规则组,或在组外添加规则。Kaspersky Web Traffic Security 通过检查旁路规则开始处理流量。如果允许访问 web 资源,应用程序将通过应用旁路规则来扫描流量。基于访问规则处理的结果,应用程序既可以阻止 web 资源,也可以通过应用保护规则扫描流量。流量处理规则的算法如下图所示。
流量处理规则的算法
Kaspersky Web Traffic Security 按照规则在规则表中的位置顺序从上到下来应用规则。如果不满足规则中定义的条件,应用程序将执行下一个规则。一旦规则中指定的条件得到满足,规则中指定的处理参数将被应用到流量,进一步的条件匹配被停止。
如果工作区可用,工作区规则的优先级由 工作区规则 行在通用规则表中的位置决定。这种情况下,也按照规则在规则表中的位置顺序从上到下来应用规则。根据表中位置较高的规则扫描流量后,将会应用工作区规则。如果未触发任何工作区规则,应用程序将继续根据位于表中 工作区规则 行的规则扫描流量。
应用程序安装时,将创建默认旁路规则。根据此规则,允许所有用户访问内容长度 HTTP 标头的值大小超过 10240 KB 的网页资源,而无需通过反病毒模块和反钓鱼模块进行扫描。该值可确保应用程序性能和网络流量安全之间的平衡。您可以编辑、禁用或删除默认旁路规则。
如果没有规则包含适合某个特定 web 资源的条件,将根据默认保护策略处理流量。这种情况下,如果 web 资源未被反病毒模块和反钓鱼模块阻止,则应用程序允许访问该资源。安装 Kaspersky Web Traffic Security 期间已创建默认保护策略,并显示在 设置 区域的 保护设置 子区域。在默认保护策略设置中,可以选择应用程序将对各种类型的对象执行的操作。
Web 资源访问配置方案
流量处理规则集启用以下任务:
- 限制不同部门人员对 Web 资源的访问。
要执行此操作,如果 已配置 Active Directory 集成,您可以使用现有的域组。例如,您可以允许管理员组访问所有 Web 资源,禁止其他员工访问 社交网络 或 软件、音频、视频 类别。
- 阻止访问您的国家/地区的法律禁止的Web 资源。
为此,您可以为应用于所有用户的所有工作区创建规则。
- 监控流量。
为了保证有效利用流量,您可以禁止或限制下载多媒体文件和访问与工作无关的 Web 资源。
- 收集您的组织内所请求 Web 资源的统计数据。
如果在流量处理规则中选择了 允许 操作,用户将被允许访问 Web 资源,但是该请求信息将被写入事件日志。您可以筛选记录的事件,例如,您可以查看用户对 www.kaspersky.com 网站的所有请求。
我们建议您按以下顺序配置流量处理规则:
- 如有必要,创建工作区和/或流量处理规则组。
根据流量处理规则在规则表中的位置对其进行检查。为了触发所需规则,您需要准备组织规则的方法。对于组织的大型部门或 ISP 的不同客户,建议使用工作区。随后可以将规则一起分组。例如,您可以创建工作区 分公司办事处 1 和 分公司办事处 2, 然后在工作区内添加组:管理员, 会计, 等等。
- 如有必要,添加旁路规则。
您可以使用旁路规则为用户提供对 web 资源的访问,而无需扫描这些资源。例如,允许从开发人员的官方网站下载组织中使用的软件更新。这有助于减少用于处理来自受信任源的处理流量的应用程序资源。
- 添加访问规则和保护规则
- 配置规则触发启动器
对于每个添加的规则,需要您指定一个其网络连接必须由 Kaspersky Web Traffic Security 扫描的用户或程序。
- 配置流量筛选条件
使用流量筛选条件来配置管制用户访问的哪些 Web 资源必须按照规则进行检查的条件。
以下条件对旁路规则可用:URL、HTTP 消息的 MIME 类型、流量方向, HTTP 方法 和 HTTP Content-Length,KB。
- 如有必要,为规则添加排除项。
您可以向排除项添加规则触发启动器或筛选条件。例如,您可以禁止除了部门负责人之外的 会计 域组的所有成员访问 软件、音频、视频 类别。或者您可以禁止下载超过 500 MB 的文件,符合公司标准的文件除外,等等。
- 如有必要,配置规则的计划。
该计划允许在指定的时间自动禁用规则。例如,您可以将规则配置为仅在组织的工作时间内有效,或在某天禁用规则。
- 配置默认保护策略
如果 Web 资源不符合任何流量处理规则的筛选条件,则应用默认保护策略。默认保护策略的设置应用于处理所有工作区和工作区外部的流量处理。
添加旁路规则
无法为单个工作区创建旁路规则。
在旁路规则范围内的 web 资源未在 仪表板 区域中有关已处理流量统计信息的考虑范围内。
要添加旁路规则:
- 在应用程序 web 界面的窗口中,选择用于在工作区之间切换的 未选中 部分。
仅当您有多个工作区的访问权限时才适用。
- 选择 规则 区域。
- 选择 旁路 选项卡。
将打开旁路规则表。
- 单击 添加规则。
用于添加规则的窗口将打开。
- 选择 常规设置 选项卡。
- 在 操作 下拉列表中选择以下选项之一:
- 允许不扫描,如果要添加允许规则。
该应用程序不会扫描对象的病毒、钓鱼、可能被黑客利用的指定的合法应用程序、 或会构成威胁的其他程序。无需扫描,即可访问请求的 web 资源。
- 阻止,如果要添加阻止规则。
- 重定向 添加规则重定向用户到指定 URL。
默认设置为 阻止。
如果在 web 资源请求中使用 HTTP 方法 CONNECT,并且已在规则中定义了 阻止 或 重定向 操作,则连接将被终止。用户将不会被重定向到规则中定义的 web 资源,并且不会显示阻止页面。这适用于使用 HTTP 方法 CONNECT 的所有请求,无论此方法是否在流量筛选条件中指定。
- 允许不扫描,如果要添加允许规则。
- 在 规则名称 字段中,请键入访旁路规则的名称。
规则名称在 未选中 部分中的规则中必须是唯一的。
- 如有必要,请在 注释 字段键入注释。
- 如果想在添加规则后立即应用某个规则,请将 状态 切换开关设置为 已启用。
- 单击 添加。
旁路规则已添加。
页面顶端
添加访问规则
要添加访问规则:
- 在应用程序 web 界面窗口中,选择以下区域之一:
- 对于具有单个工作区规则的操作,请在用于在工作区之间切换的区域中,选择此工作区的名称。
- 对于在所有工作区中应用的规则的操作,请在用于在工作区之间切换的区域中选择 未选中。
仅当您有多个工作区的访问权限时才适用。
- 选择 规则 区域。
- 选择 访问 选项卡。
将打开访问规则表。
- 执行以下操作之一:
- 如果您要将规则添加到一组规则中,请选择相关的组并在打开的窗口中单击 添加规则 按钮。
- 如果您要在组外添加规则,单击窗口上方的 添加规则 按钮。
用于添加规则的窗口将打开。
- 选择 常规设置 选项卡。
- 在 操作 下拉列表中选择以下选项之一:
- 阻止 如果要阻止对 web 资源的访问。
- 允许 如果要允许对 web 资源的访问。
- 下个群组 如果要跳过对此组规则的扫描。
应用程序将根据位于表中此组之后的规则执行扫描。
- 重定向 添加规则重定向用户到指定 URL。
默认设置为 阻止。
如果在 web 资源请求中使用 HTTP 方法 CONNECT,并且已在规则中定义了 阻止 或 重定向 操作,则连接将被终止。用户将不会被重定向到规则中定义的 web 资源,并且不会显示阻止页面。这适用于使用 HTTP 方法 CONNECT 的所有请求,无论此方法是否在流量筛选条件中指定。
- 如果已选择 阻止 选项,并且在尝试打开禁止的资源时,您希望使用与默认页面不同的阻止页面:
- 选择 指定要在阻止页面中显示的文本 复选框。
- 输入消息文本。
- 如果您想要添加宏到消息文本,请从 插入宏 下拉列表选择一个受支持的宏。如果您选择了 允许 选项并想删除 范围 HTTP 标头,请选择 删除范围 HTTP 标头 复选框。
如果选择了该复选框,将完全加载所有对象以供使用保护规则进行后续扫描。该模式中不可部分加载对象。
- 如果您在 重定向 URL 框中选择了 重定向 信息,请输入原始请求必须重定向到的 URL。
- 在 规则名称 框中,请输入访问规则的名称。
如果正在创建工作区规则,该名称在工作区中必须是唯一,或者,如果正在创建工作区之外的规则,则名称在 未选中 区域中的规则中必须是唯一。
- 如有必要,请在 注释 字段键入注释。
- 如果想在添加规则后立即应用某个规则,请将 状态 切换开关设置为 已启用。
- 单击 添加。
访问规则已添加。
添加保护规则
要添加保护规则:
- 在应用程序 web 界面窗口中,选择以下区域之一:
- 对于具有单个工作区规则的操作,请在用于在工作区之间切换的区域中,选择此工作区的名称。
- 对于在所有工作区中应用的规则的操作,请在用于在工作区之间切换的区域中选择 未选中。
仅当您有多个工作区的访问权限时才适用。
- 选择 规则 区域。
- 选择 保护 选项卡。
将打开保护规则表。
- 执行以下操作之一:
- 如果您要将规则添加到一组规则中,请选择相关的组并在打开的窗口中单击 添加规则 按钮。
- 如果您要在组外添加规则,单击窗口上方的 添加规则 按钮。
用于添加规则的窗口将打开。
- 选择 常规设置 选项卡。
- 在 操作 下面的下拉列表中选择以下一个参数的操作:
- 恶意软件:
- 阻止。
- 阻止,如果可能则清除。
- 跳过扫描。
默认设置为 阻止,如果可能则清除。
- 被 KATA 检测到的对象, 钓鱼, 恶意链接, 加密的对象 和 带宏的文件:
- 阻止。
- 跳过扫描。
默认设置为 阻止。
如果在 web 资源请求中使用 HTTP 方法 CONNECT,并且已在规则中定义了 阻止 或 阻止,如果可能则清除 操作,则连接将被终止。将不会为用户显示阻止页面。这适用于使用 HTTP 方法 CONNECT 的所有请求,无论此方法是否在流量筛选条件中指定。
- 恶意软件:
- 如果要在尝试打开禁止的资源时使用与默认页面不同的阻止页面:
- 选择 指定要在阻止页面中显示的文本 复选框。
- 输入消息文本。
- 如果您想要添加宏到消息文本,请从 插入宏 下拉列表选择一个受支持的宏。在“规则名称”字段中键入保护规则的名称。
如果正在创建工作区规则,该名称在工作区中必须是唯一,或者,如果正在创建工作区之外的规则,则名称在 未选中 区域中的规则中必须是唯一。
- 如有必要,请在 注释 字段键入注释。
- 如果想在添加规则后立即应用某个规则,请将 状态 切换开关设置为 已启用。
- 单击 添加。
保护规则已添加。
配置规则触发启动器
要配置规则触发启动器:
- 在应用程序 web 界面窗口中,选择以下区域之一:
- 对于具有单个工作区规则的操作,请在用于在工作区之间切换的区域中,选择此工作区的名称。
- 对于在所有工作区中应用的规则的操作,请在用于在工作区之间切换的区域中选择 未选中。
仅当您有多个工作区的访问权限时才适用。
- 选择 规则 区域。
- 选择以下选项卡之一:
- 旁路。
- 访问。
- 保护。
流量处理规则表将打开。
- 选择您想要为其配置触发启动器的规则。
这将打开包含规则信息的窗口。
- 单击 编辑。
- 在 发起者 下面单击
。 - 在出现的下拉列表中选择以下选项之一:
- 用户名。
您可以从 Active Directory 选择一个用户账户或以
username@REALM格式添加一个用户名。 - LDAP: group canonicalName。
您可以从 Active Directory 选择一个域组或以
domain.com/groups/groupname格式添加组名。 - LDAP: user distinguishedName。
您可以从 Active Directory 选择用户的可分辨名称 (DN) 或以
cn=username,ou=users,dc=test,dc=en格式添加用户名。 - IP 地址。
您可以用 IPv4 或 IPv6 格式输入用户的 IP 地址或 IP 地址范围,(例如
192.168.0.1/32)。 - User agent。
您可以指定处理网页流量的浏览器或应用程序的名称(例如,
*IE*)。
- 用户名。
- 在下拉列表右侧的字段中,输入选定设置的值。
您可以使用正则表达式。
- 如果您添加了不止一个条件,请选择 发起者 旁边的下拉列表中的逻辑运算符:
- 如果您想要规则在至少满足一个条件时触发,请选择 满足任一。
- 如果您想要规则只有在同时满足所有添加的条件时才触发,请选择 全部满足。
- 单击 保存。
规则启动触发器已配置。
页面顶端
配置流量筛选
为确保正确处理 HTTPS 流量,您必须在外部代理服务器上配置 SSL 连接的拦截(当从 RPM 或 DEB 包中安装了应用程序时)或在内置代理服务器上配置 SSL 连接的拦截(当部署了应用程序 ISO 镜像时)。如果未配置 SSL 连接的拦截,将不会应用流量筛选条件,并且反病毒和反网络钓鱼模块不会扫描 web 资源。
要配置流量筛选:
- 在应用程序 web 界面窗口中,选择以下区域之一:
- 对于具有单个工作区规则的操作,请在用于在工作区之间切换的区域中,选择此工作区的名称。
- 对于在所有工作区中应用的规则的操作,请在用于在工作区之间切换的区域中选择 未选中。
仅当您有多个工作区的访问权限时才适用。
- 选择 规则 区域。
- 选择以下选项卡之一:
- 旁路。
- 访问。
- 保护。
流量处理规则表将打开。
- 选择您想要为其配置筛选条件的规则。
这将打开包含规则信息的窗口。
- 单击 编辑。
- 单击 流量筛选器 下面的 。
- 在出现的下拉列表中选择以下选项之一:
以下条件可供旁路规则使用:URL、HTTP 消息的 MIME 类型、流量方向、HTTP 方法、HTTP 内容长度和 KB。
- 类别。
您可以使用此条件根据类别控制用户对 Web 资源的访问。例如,您可以选择 社交网络 类别禁止访问社交网络。请参阅 附录 6 查看应用程序支持的网页类别列表。
- URL。
除了 URL, 您也可以将网络连接协议或端口添加到筛选条件。
- 如果您想将 URL 添加到筛选条件,请将其输入 URL 窗口中的字段,然后单击 添加。
如果 URL 还未正常化 ,则不会被添加到列表,并出现一条错误消息。
确保 URL 的任何部分不包含 ?和 = 符号,并且域和端口部分不包含 @ 符号。否则,将不会导入完整的 URL。
- 要将网络连接协议或端口添加到筛选条件,请在 URL 窗口的框中输入任意值然后单击 添加。在下方出现的 协议 和 端口 框中输入所需的值。
例如,您可以禁止通过 HTTP 协议访问所有 Web 资源。
- 如果您想将 URL 添加到筛选条件,请将其输入 URL 窗口中的字段,然后单击 添加。
- 文件名。
您可以将具体文件名添加到筛选条件或使用正则表达式。例如,您可以输入
*.exe禁止下载含 exe 扩展名的可执行文件。 - 文件类型。
病毒和其他恶意软件可以作为被重命名为其他扩展名,例如 txt 的可执行文件进行传播。如果您选择了 文件名 条件和输入了
*.exe,应用程序将不会处理此类文件。不过,如果您选择了按格式筛选文件,应用程序将检查文件的真实格式,和扩展名无关。如果检查显示文件的格式为 EXE,应用程序将根据规则对其进行处理。 - 文件大小,KB。
您可以使用此条件控制所在组织的网络流量容量。例如,您可以禁止下载大小超过 700 MB 的文件。
- HTTP 消息部分的 MIME 类型。
您可以使用此条件根据组件部分的内容控制 multipart 对象的访问。
- HTTP 消息的 MIME 类型。
您可以使用此条件根据内容控制对象访问。例如,您可以输入
video/*禁止播放视频流。MIME 类型的对象示例请参见 附录。如果您指定
multipart/*,则会考虑对象的“内容类型”标头。不处理对象的各个组件部分。要筛选基于 multipart 对象的组件部分,您必须使用 HTTP 消息部分的 MIME 类型 标准。 - MD5。
您可以通过输入其 MD5 哈希来禁止访问对象。如果您从第三方系统收到病毒或恶意软件的信息,且只知道它的 MD5 哈希,这可能会很有必要。
- SHA256。
您可以通过输入其 SHA2 哈希来禁止访问对象。如果您从第三方系统收到病毒或恶意软件的信息,且只知道它的 SHA2 哈希,这可能会很有必要。
- 流量方向。
您可以使用此条件来配置处理所有入站或出站连接。
- HTTP 方法。
您可以使用此标准根据使用的 HTTP 方法内容控制流量的访问。
- HTTP Content-Length,KB。
根据 HTTP 消息正文的长度,您可以使用内容-长度 HTTP 标头控制流量访问。如果有内容-长度标头可用,应用程序将使用它的值来应用流量过滤条件。如果没有标头,内容-长度值将被视为空,在处理流量时将不会被考虑在内。
它只对旁路规则可用。
- 类别。
- 在下拉列表右侧的字段中,输入选定设置的值。
- 如果您添加了不止一个条件,请选择 流量筛选器 旁边的下拉列表中的逻辑运算符:
- 如果您想要规则在至少满足一个条件时触发,请选择 满足任一。
- 如果您想要规则只有在同时满足所有添加的条件时才触发,请选择 全部满足。
- 单击 保存。
流量筛选现已配置。
页面顶端
添加流量处理规则排除项
要添加流量处理规则排除项:
- 在应用程序 web 界面窗口中,选择以下区域之一:
- 对于具有单个工作区规则的操作,请在用于在工作区之间切换的区域中,选择此工作区的名称。
- 对于在所有工作区中应用的规则的操作,请在用于在工作区之间切换的区域中选择 未选中。
仅当您有多个工作区的访问权限时才适用。
- 选择 规则 区域。
- 选择以下选项卡之一:
- 旁路。
- 访问。
- 保护。
流量处理规则表将打开。
- 选择您想要为其添加排除项的流量处理规则。
这将打开包含规则信息的窗口。
- 单击 编辑。
- 选择 排除项 选项卡。
- 单击 +添加排除项。
系统将显示 排除项 排除项设置组。
- 添加连接启动器。为此,请单击
。 - 配置下列设置:
- 在 发起者 下拉列表中选择以下选项之一:
- 用户名。
- LDAP: group canonicalName。
- LDAP: user distinguishedName。
- IP 地址。
- User agent。
- 在下拉列表右侧的字段中,输入选定设置的值。
- 如果您想要添加新的连接启动器,请重复上述步骤添加连接启动器。
- 在 发起者 下拉列表中选择以下选项之一:
- 添加流量筛选条件。为此,请单击 。
- 配置下列设置:
- 在 流量筛选器 下拉列表中选择以下选项之一:
- 类别。
- URL。
- 文件名。
- 文件类型。
- 文件大小,KB。
- HTTP 消息的 MIME 类型。
- HTTP 消息部分的 MIME 类型。
- MD5。
- SHA256。
- 流量方向。
- HTTP 方法。
- 在下拉列表右侧的字段中,输入选定设置的值。
- 如果您想要添加新的流量筛选标准,请重复添加标准的步骤。
- 在 流量筛选器 下拉列表中选择以下选项之一:
- 单击 保存。
流量处理规则排除项已添加。
配置流量处理规则计划
要添加流量处理规则计划:
- 在应用程序 web 界面窗口中,选择以下区域之一:
- 对于具有单个工作区规则的操作,请在用于在工作区之间切换的区域中,选择此工作区的名称。
- 对于在所有工作区中应用的规则的操作,请在用于在工作区之间切换的区域中选择 未选中。
仅当您有多个工作区的访问权限时才适用。
- 选择 规则 区域。
- 选择以下选项卡之一:
- 旁路。
- 访问。
- 保护。
流量处理规则表将打开。
- 选择您想要为其配置计划的流量处理规则。
这将打开包含规则信息的窗口。
- 单击 编辑。
- 选择 计划 选项卡。
- 如果您想要在计划日期后禁用规则,请选择 禁用规则 复选框并在弹出日历中输入规则必须被禁用的日期和时间。
- 如果您想要规则在每周的具体日期和具体时间处于活跃状态:
- 选择 设置规则的计划 复选框。
- 选择规则必须处于活跃状态时的每周日期旁的复选框。
- 指定规则必须处于活跃状态的期间。
- 单击 保存。
流量处理规则计划已配置。
修改流量处理规则
要修改流量处理规则:
- 在应用程序 web 界面窗口中,选择以下区域之一:
- 对于具有单个工作区规则的操作,请在用于在工作区之间切换的区域中,选择此工作区的名称。
- 对于在所有工作区中应用的规则的操作,请在用于在工作区之间切换的区域中选择 未选中。
仅当您有多个工作区的访问权限时才适用。
- 选择 规则 区域。
- 选择以下选项卡之一:
- 旁路。
- 访问。
- 保护。
流量处理规则表将打开。
- 选择您想要修改的流量处理规则。
这将打开包含规则信息的窗口。
- 在窗口的右下角,单击 编辑。
将打开规则编辑窗口。
- 进行相关更改。
- 单击 保存。
该流量处理规则已修改。
页面顶端
删除流量处理规则
要删除流量处理规则:
- 在应用程序 web 界面窗口中,选择以下区域之一:
- 对于具有单个工作区规则的操作,请在用于在工作区之间切换的区域中,选择此工作区的名称。
- 对于在所有工作区中应用的规则的操作,请在用于在工作区之间切换的区域中选择 未选中。
仅当您有多个工作区的访问权限时才适用。
- 选择 规则 区域。
- 选择以下选项卡之一:
- 旁路。
- 访问。
- 保护。
流量处理规则表将打开。
- 选择要删除的规则。
这将打开包含规则信息的窗口。
- 单击 删除。
删除流量处理规则的确认窗口将打开。
- 单击 是。
该流量处理规则已删除。
创建流量处理规则副本
要复制流量处理规则:
- 在应用程序 web 界面窗口中,选择以下区域之一:
- 对于具有单个工作区规则的操作,请在用于在工作区之间切换的区域中,选择此工作区的名称。
- 对于在所有工作区中应用的规则的操作,请在用于在工作区之间切换的区域中选择 未选中。
仅当您有多个工作区的访问权限时才适用。
- 选择 规则 区域。
- 选择以下选项卡之一:
- 旁路。
- 访问。
- 保护。
流量处理规则表将打开。
- 选择您想要复制的流量处理规则。
这将打开包含流量处理规则信息的窗口。
- 单击 复制。
这将打开流量处理规则窗口。流量处理规则的所有设置将被复制。
- 编辑流量处理规则副本的名称。
- 单击 添加。
流量处理规则副本已创建。
启用和禁用流量处理规则
要启用和禁用流量处理规则:
- 在应用程序 web 界面窗口中,选择以下区域之一:
- 对于具有单个工作区规则的操作,请在用于在工作区之间切换的区域中,选择此工作区的名称。
- 对于在所有工作区中应用的规则的操作,请在用于在工作区之间切换的区域中选择 未选中。
仅当您有多个工作区的访问权限时才适用。
- 选择 规则 区域。
- 选择以下选项卡之一:
- 旁路。
- 访问。
- 保护。
流量处理规则表将打开。
- 选择要启用或禁用的规则。
这将打开包含规则信息的窗口。
- 执行以下操作之一:
- 要启用规则,请单击 启用。
规则被启用。
- 要禁用规则,请单击 禁用。
规则被禁用。
- 要启用规则,请单击 启用。
更改应用规则的顺序
规则被按照流量处理规则表内从上到下的顺序进行检查。在组内,规则也按从上到下的顺序进行检查。通过在流量处理规则表中移动规则,可以更改规则的应用程序的顺序。
要更改应用规则的顺序:
- 在应用程序 web 界面窗口中,选择以下区域之一:
- 对于具有单个工作区规则的操作,请在用于在工作区之间切换的区域中,选择此工作区的名称。
- 对于在所有工作区中应用的规则的操作,请在用于在工作区之间切换的区域中选择 未选中。
仅当您有多个工作区的访问权限时才适用。
- 选择 规则 区域。
- 选择以下选项卡之一:
- 旁路。
- 访问。
- 保护。
流量处理规则表将打开。
- 在包含规则或规则组名称的行中,在窗口的左侧, 单击
图标并按住鼠标左键将该行移动到表中的必要位置。您可以通过移动 工作区规则 行来更改工作区规则的优先级。
- 单击 保存。
将根据规则在表中的新位置更改规则的应用顺序。
页面顶端
使用流量处理规则组
您可以将访问规则和保护规则分组,以定义检查它们的顺序。无法为旁路规则创建组。
Kaspersky Web Traffic Security 从上到下检查列表中的组。在每个组内,规则也按表中的先后顺序进行检查。您可以通过上移或下移更改组或规则在组内的优先级。
页面顶端
创建一组流量处理规则
要创建一组流量处理规则:
- 在应用程序 web 界面窗口中,选择以下区域之一:
- 对于具有单个工作区规则的操作,请在用于在工作区之间切换的区域中,选择此工作区的名称。
- 对于在所有工作区中应用的规则的操作,请在用于在工作区之间切换的区域中选择 未选中。
仅当您有多个工作区的访问权限时才适用。
- 选择 规则 区域。
- 选择以下选项卡之一:
- 访问。
- 保护。
- 单击 添加群组。
规则组创建窗口将打开。
- 在 名称 框中,请输入新规则组的名称。
如果正在为工作区创建规则组,该名称在工作区中必须是唯一,或者,如果正在创建工作区之外的规则组,则名称在 未选中 区域中的组中必须是唯一。
- 单击 添加。
改组流量处理规则已创建。
修改一组流量处理规则
要修改一组流量处理规则:
- 在应用程序 web 界面窗口中,选择以下区域之一:
- 对于具有单个工作区规则的操作,请在用于在工作区之间切换的区域中,选择此工作区的名称。
- 对于在所有工作区中应用的规则的操作,请在用于在工作区之间切换的区域中选择 未选中。
仅当您有多个工作区的访问权限时才适用。
- 选择 规则 区域。
- 选择以下选项卡之一:
- 访问。
- 保护。
- 选择要编辑的规则组。
这将打开包含规则组信息的窗口。
- 单击 编辑。
- 在 名称 字段中,请键入规则组的新名称。
如果正在为工作区创建规则组,该名称在工作区中必须是唯一,或者,如果正在创建工作区之外的规则组,则名称在 未选中 区域中的组中必须是唯一。
- 单击 保存。
该组流量处理规则已修改。
删除一组流量处理规则
要删除一组流量处理规则:
- 在应用程序 web 界面窗口中,选择以下区域之一:
- 对于具有单个工作区规则的操作,请在用于在工作区之间切换的区域中,选择此工作区的名称。
- 对于在所有工作区中应用的规则的操作,请在用于在工作区之间切换的区域中选择 未选中。
仅当您有多个工作区的访问权限时才适用。
- 选择 规则 区域。
- 选择以下选项卡之一:
- 访问。
- 保护。
- 选择要删除的规则组。
这将打开包含规则组信息的窗口。
- 单击 删除。
删除一组流量处理规则的确认窗口将打开。
- 单击 是。
该组流量处理规则已删除。
配置默认保护策略
默认保护策略应用于不满足任何流量处理规则的筛选条件的 Web 资源。在策略设置中,对于每种类型的对象,都必须设置应用程序必须对这些对象执行的操作。
要配置默认保护策略:
- 在应用程序 web 界面窗口中,选择 设置 → 常规 → 保护设置 区域。
- 在 默认策略 设置组,选择应用程序必须对以下类型的对象执行的操作:
- 恶意软件:
- 阻止。
- 阻止,如果可能则清除。
- 跳过扫描。
- 被 KATA 检测到的对象:
- 阻止。
- 跳过扫描。
- 钓鱼:
- 阻止。
- 跳过扫描。
- 恶意链接:
- 阻止。
- 跳过扫描。
- 加密的对象:
- 阻止。
- 跳过扫描。
- 带宏的文件:
- 阻止。
- 跳过扫描。
默认设置 恶意软件 的值为 阻止,如果可能则清除。为所有其它类型的对象设置阻止值。
- 恶意软件:
- 单击 保存。
将配置默认保护策略。如果扫描未检测到任何威胁,将允许访问 web 资源。
页面顶端
处理用户的 Web 资源访问请求
如果用户相信 Web 资源访问被错误阻止,用户可以联系公司的 LAN 管理员。在此情况下需要找出是哪条流量处理规则阻止了访问。为此,您需要使用受影响的用户提供的条件在日志中查找事件。
要找出为什么 Web 资源访问被阻止,请执行以下操作:
- 在应用程序 web 界面窗口中,选择 事件。
- 选择 流量 选项卡(如果可用)。
- 单击 添加条件。
- 按受影响用户的名称配置筛选:
- 在左侧的下拉列表中选择 用户名。
- 在中间的下拉列表中选择 等于。
- 在右侧字段中输入用户名。
- 单击 添加条件。
- 按被阻止的 Web 资源的网址配置筛选:
- 在左侧的下拉列表中选择 URL。
- 在中间的下拉列表中选择 等于。
- 在右侧字段中输入被阻止的 Web 资源的网址。
- 单击 搜索。
系统将显示满足筛选条件的事件表。在规则名称列中,您可以查看阻止用户访问 Web 资源的流量处理规则。
页面顶端
收集网络资源访问统计数据
为了监控用户的网络活动,您可以需要收集具体 Web 资源的访问统计数据或具体用户的网络连接统计数据。要执行此操作,您可以筛选事件日志中的事件然后将结果导出到 CSV 文件。
要获取 Web 资源访问的统计数据:
- 在应用程序 web 界面窗口中,选择 事件。
- 选择 流量 选项卡(如果可用)。
- 单击 添加条件。
- 使用显示的下拉列表配置事件筛选器:
- 在左侧的下拉列表中,选择筛选条件。
- 在中间的下拉列表中,选择比较运算符。
每个筛选条件有自己的一组相关比较运算符。例如,如果选择 方向 条件,您将可以使用 等于 和 不等于 运算符。
- 根据所选择的筛选条件,执行下列操作之一:
- 在比较运算符右侧的文本框中,输入一个或多个您想要用来搜索事件的字符。
- 在右侧的下拉列表中,选择一个您想要用来搜索事件的条件选项。
例如,若要搜索用户名的精确匹配,请输入用户名。
- 单击 搜索。
系统将显示满足筛选条件的事件表。
- 单击 导出。
含已筛选事件的 CSV 文件将被保存在浏览器的下载文件夹中。
如果您要将收到的 CSV 文件转换为其他格式,请记住用分号当分隔符。
页面顶端
查看流量处理规则表
流量处理规则表显示在 规则 区域。如果您已切换到单个工作区的 web 界面,则表仅显示此工作区的流量处理规则。
流量处理规则表包含以下信息:
- 名称。流量处理规则名称。
- 操作。流量处理规则执行的操作。
以下操作将在旁路规则中可用:
- 允许不扫描。
- 阻止。
- 重定向。
访问规则可以有以下操作:
- 阻止。
- 允许。
- 下个群组。
- 重定向。
保护规则可以有以下操作:
- 阻止。
- 阻止,如果可能则清除。
- 跳过扫描。
- 状态。Web 资源扫描期间使用流量处理规则。
流量处理规则可以具有下列状态之一:
- 已禁用。
- 已启用。
- 注释。流量处理规则注释。
查看有关流量处理规则的信息
要查看有关流量处理规则的信息:
- 在应用程序 web 界面窗口中,选择以下区域之一:
- 对于具有单个工作区规则的操作,请在用于在工作区之间切换的区域中,选择此工作区的名称。
- 对于在所有工作区中应用的规则的操作,请在用于在工作区之间切换的区域中选择 未选中。
仅当您有多个工作区的访问权限时才适用。
- 选择 规则 区域。
- 选择以下选项卡之一:
- 旁路。
- 访问。
- 保护。
流量处理规则表将打开。
- 选择您想要查看其信息的流量处理规则。
这将打开包含规则信息的窗口。
该窗口包含以下选项卡:
- 常规设置。
流量处理规则的通用设置:
- 状态 – 指 Web 资源扫描期间使用流量处理规则。
- 操作 是流量处理规则执行的操作。
- 规则名称 是流量处理规则的名称。
- 注释 是流量处理规则的注释。
- 排除项。
有关流量处理规则中的每个排除的信息将显示在一组名为 排除项 的单独设置中:
- 发起者 是连接启动器。
- 流量筛选器 是流量筛选器。
- 计划。
流量处理规则计划。会显示规则的禁用日期以及规则处于活动状态时的每周的天数和期间。
管理工作区
工作区是一组适用于某组用户的设置和访问权限。例如,您可以为公司部门或管理组织创建工作区(如果您是服务提供商)。
工作区的使用提供以下功能:
- 区分不同管理员对每个工作区的访问权限。
- 创建仅适用于特定工作区的用户的流量处理规则。
- 配置单个阻止页面。
工作区配置方案
工作区配置包含以下阶段。
- 添加工作区
- 如有必要,添加工作区管理员角色
默认角色在应用程序中可用。您可以将这些角色中的某个分配给管理员账户。如果默认角色的权限集不能满足您的需求,可以添加一个新角色。
- 分配一个工作区管理员角色
将工作区管理员角色分配给用户后,用户可以登录到其域账户下的应用程序的 web 界面。用户将能够根据分配给该用户的访问权限来访问 web 界面区域。
您可以为一个工作区添加多个管理员,也可以使用所需的访问权限集创建其他角色。
- 为此工作区创建流量处理规则
- 如有必要,修改阻止页面
创建工作区后, 将向用户显示默认阻止页面。您可以配置仅向此工作区的用户显示的单个阻止页面。
查看工作区表
工作区表显示在应用程序 web 界面窗口的 工作区 区域。
工作区表包含以下信息:
- 名称 是工作区名称。
- 条件 是用来确定工作区流量的条件集。
- 已储备的授权许可 是分配给该工作区的授权许可数量。
- 注释 是工作区的注释。
查看有关工作区的信息
要查看有关工作区的信息:
- 在应用程序 web 界面窗口中,选择 工作区。
- 选择您想要查看其信息的工作区。
这将打开包含工作区信息的窗口。
它包含下列信息:
- 常规 选项卡:
- 名称 是工作区名称。
- 注释 是工作区的注释。
- 为工作区储备客户端授权许可 分配给该工作区的授权许可数量。
- 条件 是用来确定工作区流量的条件集。
- 阻止页面 选项卡包含工作区阻止页面的设置。
配置工作区表的显示
要配置工作区表的显示:
- 在应用程序 web 界面窗口中,选择 工作区。
工作区表将打开。
- 单击 打开工作区表显示菜单。
- 选择您想要在工作区表中显示的设置旁边的复选框。
必须至少选择一个复选框。
- 要更新工作区信息,请单击 刷新。
工作区信息已更新。
工作区表的显示已配置。
添加工作区
要添加工作区:
- 在应用程序 web 界面窗口中,选择 工作区。
- 单击 添加工作区。
用于添加工作区的窗口将打开。
- 在 名称 框中,请输入工作区的名称。
- 在 注释 框中,请输入工作区的注释。
可选设置。
- 要将部分客户端授权许可分配给该工作区:
- 选择 为工作区储备客户端授权许可 复选框。
- 输入您想要分配给该工作区的客户端授权许可数量。
- 添加工作区流量确定条件。要执行此操作:
- 在工作区流量条件组 条件 中,从下拉列表中选择以下选项之一:
- LDAP: group canonicalName。
- LDAP: user distinguishedName。
- IP 地址。
- 在下拉列表右侧的字段中,输入选定设置的值。
- 在工作区流量条件组 条件 中,从下拉列表中选择以下选项之一:
- 要添加新的工作区条件:
- 单击 。
- 重复步骤 6 的操作以添加工作区条件。
- 单击
- 如果您指定了数个工作区条件,请单击 条件 组右侧的链接来选择以下选项之一:
- 满足任一,如果您想要通过已添加的任何条件来确定工作区流量。
- 全部满足,如果您想要通过已添加的全部条件来确定工作区流量。
- 单击 添加。
工作区已添加。
修改工作区设置
要修改工作区设置:
- 在应用程序 web 界面窗口中,选择 工作区。
工作区表将打开。
- 选择您要编辑的工作区。
查看工作区 窗口将打开。
- 在窗口的右下角,单击 编辑。
编辑工作区 窗口将打开。
- 根据需要修改工作区设置。
- 单击 保存。
工作区设置已修改。
页面顶端
删除工作区
要删除工作区:
- 在应用程序 web 界面窗口中,选择 工作区。
工作区表将打开。
- 选择要删除的工作区。
这将打开包含工作区信息的窗口。
- 单击 删除。
工作区删除确认窗口将打开。
- 单击 是。
工作区已删除。
在应用程序的 web 界面中的工作区之间切换
本地管理员可以访问所有工作区。您还可以授予某个用户对多个工作区的访问权限。
在创建和配置工作区,以及随后在管理应用程序的问题时,用户可能需要在工作区之间切换。Web 界面树中工作区之间切换的部分的显示由下表中说明的算法确定。
显示应用程序 web 界面中的工作区的算法
工作区的可用性 |
工作区之外的权限 |
工作区设置的权限 |
在 web 界面中显示 |
|
|---|---|---|---|---|
对群集和应用程序设置执行操作的权限的可用性 |
对工作区、角色、规则、流量处理事件执行操作的权限的可用性,以及查看仪表板部分的操作权限的可用性 |
|||
否 |
不会影响切换部分的显示 |
不会影响切换部分的显示。 |
不可用。 |
不显示在工作区之间切换的部分。 |
是(Y) |
否 |
是(Y) |
否。 |
不显示在工作区之间切换的部分。 |
否 |
否 |
仅一个工作区中有权限。 |
切换部分显示工作区名称,但工作区列表不可用。 |
|
否 |
否 |
某些工作区中有权限。 |
切换部分仅提供对用户至少有一个权限的工作区的访问。不显示 未选中 部分。 |
|
否 |
是(Y) |
不会影响切换部分的显示。 |
切换部分提供对所有工作区列表的访问,但不显示 未选中 部分。 |
|
是(Y) |
是(Y) |
不会影响切换部分的显示。 |
切换部分提供对所有工作区列表和 未选中 部分的访问。 |
|
要在工作区之间切换:
- 在应用程序 web 界面中,如果您在工作区之外, 请选择 未选中 区域;或者,如果您在工作区的 web 界面中,则选择包含组织名称的区域。
- 在下拉窗格中,选择要继续的工作区的名称。
将显示所选工作区的 web 界面。在左侧的树中,您可以根据当前用户的访问权限访问 web 界面部分。
页面顶端
使用角色和用户账户
您可以根据其所需权限为应用程序用户账户创建不同的角色。角色表和拥有这些角色的用户账户将显示在应用程序 web 界面窗口的 用户 区域。
您可以为每个角色指定一组权限。此外,应用程序提供在应用程序安装期间创建的默认角色:
- 具有完整权利的超级用户。
- 仅有权查看应用程序 web 界面中的查看器的信息。
角色的删除和修改默认情况下不可用。
可以为一个工作区或工作区外部添加角色。
如果已为用户分配了工作区角色,此角色的权限仅适用于此特定工作区的设置。用户将无法使用其他工作区中的设置执行操作。
如果已为用户分配了工作区之外的角色,则此角色的权限将应用于所有工作区的设置。
基于角色的对应用程序功能访问的限制
根据分配的角色,用户将能够访问特定的 web 界面部分和应用程序设置的操作。
下表显示了根据分配的权限使用应用程序设置的允许的操作的说明。
分配权限时可用的操作
权限 |
工作区之外的可用功能 |
工作区中的可用功能 |
|
|---|---|---|---|
权限描述 |
能够在工作区之间切换 |
||
查看仪表板和报告 |
是(Y) |
查看 仪表板 区域中的有以下限制的信息:
|
|
查看流量事件 |
查看事件日志,以处理工作区和工作区之外的流量,并从 事件 区域导出流量处理事件。 |
是(Y) |
查看工作区处理流量的事件日志,并在 事件 区域导出流量处理事件。 |
查看系统事件 |
在 事件 区域查看应用程序的系统事件的日志,并导出应用程序的系统事件。 |
否 |
功能不可用。 |
创建/编辑规则 |
是(Y) |
||
查看规则 |
在 规则 区域查看工作区和工作区外部的流量处理规则表。 分配此权限后,用户将无法添加或删除规则或修改其设置。 |
是(Y) |
在 规则 区域查看当前工作区的流量处理规则表。 分配此权限后,用户将无法添加或删除规则或修改其设置。 |
删除规则 |
在 规则 区域为工作区和工作区之外删除流量处理规则。 |
是(Y) |
在 规则 区域为当前工作区删除流量处理规则。 |
创建/编辑工作区 |
是(Y) |
功能不可用。 |
|
查看工作区 |
在 工作区 区域查看工作区表。 分配此权限后,用户将无法添加或删除工作区,或修改其设置。 |
是(Y) |
功能不可用。 |
删除工作区 |
在 工作区 区域删除工作区。 |
是(Y) |
功能不可用。 |
创建/编辑/分配角色 |
是(Y) |
||
查看角色 |
在 用户 区域查看工作区和工作区之外的角色列表。 分配此权限后,用户将无法添加或删除角色,或修改其设置。 |
是(Y) |
在 用户 区域查看当前工作区的角色列表。 分配此权限后,用户将无法添加或删除角色,或修改其设置。 |
删除角色 |
在 用户 区域为工作区和工作区之外删除角色。 |
是(Y) |
在 用户 区域为当前工作区删除角色。 |
创建/编辑/删除节点 |
否 |
功能不可用。 |
|
获取诊断信息 |
此权限允许用户查看有关节点的信息,添加和删除节点,以及修改其设置。 |
否 |
功能不可用。 |
检查数据完整性 |
在集群节点上检查数据的完整性。 此权限允许用户查看有关节点的信息,添加和删除节点,以及修改其设置。 |
否 |
功能不可用。 |
查看节点信息 |
在 节点 区域查看有关节点的信息。 分配此权限后,用户将无法添加或删除节点,或修改其设置。 |
否 |
功能不可用。 |
编辑设置 |
在 设置 区域修改应用程序设置。 |
否 |
功能不可用。 |
查看设置 |
在 设置 区域查看应用程序设置。 分配此权限后,用户将无法修改应用程序设置。 |
否 |
功能不可用。 |
管理 SSH 访问 |
否 |
功能不可用。 |
|
创建/编辑阻止页面 |
功能不可用。 |
否 |
为当前工作区修改阻止页面。 |
查看阻止页面 |
功能不可用。 |
否 |
为当前工作区查看阻止页面。 |
下表显示了应用程序 web 界面的可用部分与分配给用户的权限之间的对应关系。
根据分配的权限访问 web 界面部分
应用程序的范围 |
权限 |
提供访问权限的 web 界面部分 |
|
|---|---|---|---|
工作区外部 |
在工作区 |
||
工作区外部 |
查看仪表板和报告 |
仪表板 |
仪表板 |
查看流量事件 |
事件 |
事件 |
|
查看系统事件 |
事件 |
不可用 |
|
创建/编辑规则 |
规则 |
规则 |
|
查看规则 |
|||
删除规则 |
|||
创建/编辑工作区 |
工作区 |
工作区设置 |
|
查看工作区 |
|||
删除工作区 |
|||
创建/编辑/分配角色 |
用户 |
用户 |
|
查看角色 |
|||
删除角色 |
|||
创建/编辑/删除节点 |
节点 |
不可用 |
|
获取诊断信息 |
|||
检查数据完整性 |
|||
查看节点信息 |
|||
编辑设置 |
设置 |
不可用 |
|
查看设置 |
|||
管理 SSH 访问 |
|||
在工作区 |
查看仪表板和报告 |
不可用 |
仪表板 |
查看流量事件 |
不可用 |
事件 |
|
创建/编辑规则 |
不可用 |
规则 |
|
查看规则 |
|||
删除规则 |
|||
创建/编辑角色 |
不可用 |
用户 |
|
查看角色 |
|||
删除角色 |
|||
创建/编辑阻止页面 |
不可用 |
工作区设置 |
|
查看阻止页面 |
|||
默认角色的权限集
应用程序安装后,用户 区域显示两个默认角色。此外, 还在每个工作区中创建默认角色。删除工作区时,也会删除在该工作区中创建的默认角色。
下表显示了工作区之外和工作区中默认角色的权限集。
默认角色的权限集
权限 |
工作区外部 |
在工作区 |
||
|---|---|---|---|---|
超级用户 |
查看器 |
超级用户 |
查看器 |
|
查看仪表板和报告 |
是(Y) |
是(Y) |
是(Y) |
是(Y) |
查看流量事件 |
是(Y) |
是(Y) |
是(Y) |
是(Y) |
查看系统事件 |
是(Y) |
是(Y) |
不可用 |
不可用 |
创建/编辑规则 |
是(Y) |
否 |
是(Y) |
否 |
查看规则 |
是(Y) |
是(Y) |
是(Y) |
是(Y) |
删除规则 |
是(Y) |
否 |
是(Y) |
否 |
创建/编辑工作区 |
是(Y) |
否 |
不可用 |
不可用 |
查看工作区 |
是(Y) |
是(Y) |
不可用 |
不可用 |
删除工作区 |
是(Y) |
否 |
不可用 |
不可用 |
创建/编辑/分配角色 |
是(Y) |
否 |
是(Y) |
否 |
查看角色 |
是(Y) |
是(Y) |
是(Y) |
是(Y) |
删除角色 |
是(Y) |
否 |
是(Y) |
否 |
创建/编辑/删除节点 |
是(Y) |
否 |
不可用 |
不可用 |
获取诊断信息 |
是(Y) |
否 |
不可用 |
不可用 |
检查数据完整性 |
是(Y) |
否 |
不可用 |
不可用 |
查看节点信息 |
是(Y) |
是(Y) |
不可用 |
不可用 |
编辑设置 |
是(Y) |
否 |
不可用 |
不可用 |
查看设置 |
是(Y) |
是(Y) |
不可用 |
不可用 |
管理 SSH 访问 |
是(Y) |
否 |
不可用 |
不可用 |
创建/编辑阻止页面 |
不可用 |
不可用 |
是(Y) |
否 |
查看阻止页面 |
不可用 |
不可用 |
是(Y) |
是(Y) |
添加角色
要添加角色:
- 在应用程序 web 界面的窗口中,在工作区之间切换的部分中选择以下选项之一:
- 工作区名称(如果要为一个工作区添加角色)。
- 未选中,如果要在工作区之外添加角色。
- 选择 用户 区域。
- 这将打开角色和用户账户的列表。
- 单击 添加。
添加角色窗口将打开。
- 在 名称 框中,请输入角色名称。
- 在 权限 列表中,选择角色必须有的权限旁边的复选框:
- 单击 添加。
角色被添加。
查看有关角色的信息
要查看有关角色的信息:
- 在应用程序 web 界面的窗口中,在工作区之间切换的部分中选择以下选项之一:
- 工作区名称(如果要查看有关特定工作区角色的信息)。
- 未选中,如果要查看有关工作区之外的角色的信息。
- 选择 用户 区域。
这将打开角色和用户账户的列表。
- 在窗口的左侧,选择要查看其信息的角色。
将显示以下信息:
页面顶端
修改角色设置
无法更改超级用户的角色。
您可以更改角色的设置,包括角色名称和分配给角色的权限集。
要修改角色设置:
- 在应用程序 web 界面中的工作区之间切换的部分中,选择以下选项之一:
- 工作区名称(如果要修改一个工作区的角色设置)。
- 未选中,如果要更改工作区之外的角色的设置。
- 选择 用户 区域。
这将打开角色和用户账户的列表。
- 在 角色 设置组中,选择您想要修改其设置的角色然后单击
按钮。 - 在下拉列表中,选择 编辑选项。
编辑角色 窗口将打开。
- 如有必要,在 名称 文本框中编辑角色名称。
- 必要时,修改分配给角色的权限集。为此,请清除或选择 权限 下面的复选框。
- 单击 保存。
角色设置已修改。
页面顶端
删除角色
超级用户角色无法删除。
要删除角色:
- 在应用程序 web 界面中的工作区之间切换的部分中,选择以下选项之一:
- 工作区名称(如果要删除一个工作区的角色)。
- 未选中,如果要删除工作区之外的角色。
- 选择 用户 区域。
这将打开角色和用户账户的列表。
- 在 角色 列表中,选择您想要删除的角色。
- 单击 。
- 在下拉列表中,选择 删除 选项。
角色删除确认窗口将打开。
- 单击 是。
角色被删除。
分配角色
要向用户账户分配角色:
- 在应用程序 web 界面中的工作区之间切换的部分中,选择以下选项之一:
- 工作区名称(如果要授予用户对一个工作区的设置权限)。
- 未选中,如果要授予用户所有工作区的设置权限。
- 选择 用户 区域。
这将打开角色和用户账户的列表。
- 在 角色 列表中,选择您想要分配给账户的角色。
- 单击 分配角色。
分配角色 窗口将打开。
- 在 账户(NTLM 的域\用户或 Kerberos 的 user@REALM;该值区分大小写) 字段中,输入您要对其分配角色的账户域名。
- 单击 保存。
角色将被分配给所选账户。
撤销角色
要撤销用户的角色:
- 在应用程序 web 界面中的工作区之间切换的部分中,选择以下选项之一:
- 工作区名称(如果要撤消用户对一个工作区设置的权限)。
- 未选中,如果要撤消用户对所有工作区设置的权限。
- 选择 用户 区域。
这将打开角色和用户账户的列表。
- 在窗口的左侧,选择要撤消的角色。
- 在 账户 选项卡,选中要撤消角色的用户旁边的复选框。
- 单击 撤销角色。
- 在确认窗口,单击 是。
该角色将从用户中撤消。用户将无法再根据该角色的权限对已可用的应用程序设置执行操作。
页面顶端
更改管理员账户密码
带有超级用户权限的管理员账户允许您使用外部服务登录系统。该用户账户的密码有效一年。密码到期后,当管理员尝试登录应用程序 Web 界面时,系统会提示管理员更改密码。只有在更改密码后,才能使用管理员账户进行身份验证。
要更改管理员账户密码:
- 在应用程序 web 界面窗口中,选择 设置 区域,应用程序访问 子区域。
- 转到 本地管理员 区域。
- 在 旧密码 字段中,输入当前管理员账户密码。
此密码在应用程序安装期间首次定义。
- 在 新密码 文本框中输入满足密码要求的新密码。
字段下方列出了密码要求。
您不能设置以前使用过的密码。Kaspersky Web Traffic Security 会将新密码与先前使用的最近 24 个密码进行比较。如果新密码与先前使用的一个密码匹配,将显示错误。
- 在 确认密码 字段中,再次输入新密码。
- 单击 保存。
密码将被更改。
页面顶端
管理集群
安装和初始配置完成后,您可以在应用程序的 web 界面配置设置。为此,必须将托管 Kaspersky Web Traffic Security 的所有节点合并到一个集群。您可以添加节点到集群和从集群移除节点。您可以分配带角色控制的节点给作为集群一部分的任何节点。集群中的其他服务器将收到带角色辅助的节点。无论其角色如何,所有集群节点都将处理流量。
应用程序 web 界面的 节点 区域显示集群节点表,以及以下有关节点的信息:
- KSN/KPSN 状态。
- 数据库状态。
- 授权许可。
创建新集群
应用程序安装后,您必须创建一个通过应用程序 web 资源管理节点的集群。此外,您可以创建多个集群,以便管理彼此相互独立的不同的服务器组。
要创建新集群:
- 在要分配带角色控制的节点的节点 web 界面中,单击 创建新集群 按钮。
- 几分钟后刷新浏览器页面。
带角色控制的节点的 web 界面将打开。
集群已创建。之后,您可以添加带角色辅助的节点到集群。
页面顶端
配置集群节点表的显示
要配置集群节点表的显示:
- 在应用程序 web 界面窗口中,选择 节点。
将打开集群节点表。
- 单击打开集群节点表显示菜单。
- 选择您想要在表中显示的设置旁边的复选框。
必须至少选择一个复选框。
现在已配置集群节点表的显示。
查看有关集群节点的信息
查看有关集群节点的信息:
- 在应用程序 web 界面窗口中,选择 节点。
- 选择要查看的节点信息。
包含节点信息的窗口将会打开。
根据服务器类型窗口会包含以下信息:
- 节点信息设置组:
- 证书指纹 是服务器的 。
- 虚拟化技术 是虚拟化平台的名称(仅当在虚拟机上部署了应用程序的 ISO 镜像才显示)。
可以使用以下值:
- ACRN
- bhyve (FreeBSD hypervisor)
- Bochs Emulator
- Linux KVM
- Microsoft Hyper-V
- 未使用 意味着应用程序安装在一天物理服务器上
- Oracle VM VirtualBox
- Parallels Desktop 或服务器
- QEMU
- QNX
- UML (user-mode Linux)
- VMware工作站或服务器
- Xen
- z/VM
Kaspersky Web Traffic Security 支持 Microsoft Hyper-V 和 VMware ESXi hypervisor,并支持将应用程序的 ISO 镜像部署在物理服务器上。使用其它 hypervisor 时无法保证应用程序性能。
- 注释 是有关节点的其他信息。可选设置。
- 当前节点角色 是集群中当前节点的角色。
- 流量处理 设置组:
- 扫描线程 是 ICAP 服务器的流量处理线程的同时数量。
- 授权许可到期日期。
- 授权许可 是授权许可信息和距离授权许可到期剩余的天数。
- 授权许可类型 是授权许可类型 (试用或商务)。
- 序列号 是授权许可序列号。
- KSN/KPSN 状态 是与 KSN/KPSN 服务连接的状态。
- 反病毒 是反病毒模块数据库的状态。
- 反钓鱼 是反钓鱼模块数据库的状态。
- 上传文件到 KATA – 将文件发送到 KATA 时存在或不存在错误(仅在 上传文件 模式被启用时显示)。
- 从 KATA 接收对象 – 当接收到 KATA 检测到的对象时存在或不存在错误(仅在 接收对象 模式被启用时显示)。
- 数据库更新 是应用程序数据库及其上次成功更新的结果和时间的状态。
- LDAP 缓存状态 设置组(仅在配置与 Active Directory 域的集成时显示):
- 连接 是最后一次成功连接到 Active Directory 域控制器时的日期和时间。
- 规则匹配的数据 是用于选择流量处理规则的用户账户的最后一次成功更新的日期和时间。
- 使用账户自动填充 是用于应用程序 web 界面中的用户名自动完成的数据的最后一次成功更新的日期和时间。
如果其中至少有一个步骤以错误结束,则集群节点表将显示一条错误消息。
- 设置 组:
- 对于带角色控制的节点:
- 已应用 指上次设置被成功应用到应用程序模块时。
- 时间 是 hypervisor 和 NTP 服务器之间进行时间同步的状态(仅当在虚拟机上部署了应用程序 ISO 镜像时才显示)。
- 对于带角色辅助的节点:
- 已同步 指上次成功从带角色控制的节点收到设置时。如果收到设置,您可以将控制角色分配给该带角色辅助的节点而不会丢失已定义的设置。
- 已应用 指上次设置被成功应用到应用程序模块时。
- 时间 是与以下内容进行时间同步的状态:
- 托管带角色控制的节点的服务器
- Hypervisor (仅当虚拟机上部署了应用程序的 ISO 镜像时才显示)
- NTP 服务器(仅当虚拟机上部署了应用程序的 ISO 镜像时才显示)
如果状态为 失败,您可以通过单击状态右侧的 复制 链接将错误信息复制到剪贴板。
- 对于带角色控制的节点:
添加节点到集群
要添加节点到集群:
- 在应用程序 web 界面窗口中,选择 节点。
- 单击 添加节点。
添加节点 窗口将打开。
- 在 IP 地址 和 端口 字段,键入托管要添加为集群节点的应用程序的服务器的 IP 地址和端口。
- 如有必要,在 注释 字段键入有关添加的服务器的额外信息。
- 在 扫描线程 字段,指定 ICAP 服务器可以同时处理的流量线程数。
有效值从 4 到 1024。推荐值:处理器内核数加 1。
- 单击 下一步。
- 对比 确认节点 窗口中的证书指纹和 nginx 服务器文件夹 (/etc/nginx/kwts/controlapi.crt) 中的证书文件中的证书指纹。如果证书指纹匹配,单击 确认。
通过运行以下命令可以获取证书指纹:
openssl x509 -noout -fingerprint -sha256 -inform pem -in /etc/nginx/kwts/controlapi.crt
节点将添加到集群并显示在 节点 页面上的节点表中。
页面顶端
修改节点设置
您无法更改已安装了应用程序的服务器的 IP 地址和端口。如有必要,从集群中移除一个节点并向集群添加一个具有所需地址的新节点。
要修改节点设置:
- 在应用程序 web 界面窗口中,选择 节点。
- 在集群节点表中,选择您要修改其设置的节点。
节点设置窗口将打开。
- 在窗口的右下角,单击 编辑。
编辑节点 窗口将打开。
- 在必要时,更改以下设置:
- 在 注释 字段中添加有关节点的任何额外信息。
- 在 扫描线程 字段中输入 ICAP 服务器的同时流量处理线程数量。
有效值从 4 到 1024。推荐值:处理器内核数加 1。
- 单击 保存。
如果修改 扫描线程 设置,代理服务器将被重启。重启完成前流量处理将被暂停。
节点设置将被修改。
页面顶端
从集群移除节点
无法移除带角色控制的节点。
当从一个集群移除某个节点时,将不会从服务器移除应用程序。您可以随时将节点添加回群集,并继续管理此节点的应用程序设置。
从集群移除节点:
- 在应用程序 web 界面窗口中,选择 节点。
- 在集群节点表中,选择您要从集群中移除的带角色辅助的节点。
节点设置窗口将打开。
- 在窗口的左下角,单击 删除。
这将打开一个窗口,用于确认从群集中删除节点。
- 单击 是。
节点将从集群中移除。有关节点的信息不会显示在集群节点表中。
页面顶端
更改集群中的节点角色
您可以将控制节点角色分配给任何一个集群节点。其他节点将带辅助节点的角色。例如,您可能需要更改角色,因为带角色控制的节点出现故障,或者必须从此服务器中移除应用程序。
要将带角色辅助的节点分配给带角色控制的节点:
- 在应用程序 web 界面窗口中,选择 节点。
- 在集群节点表中,选择带角色控制的节点。
节点设置窗口将打开。
- 单击 将角色更改为辅助节点。
带角色控制的节点将变为带角色辅助的节点。带角色辅助的节点的 web 界面将会打开。
要将带角色控制的节点分配给带角色辅助的节点:
- 在应用程序 web 界面窗口中,选择 节点。
- 在集群节点表中,选择带角色辅助的节点。
节点设置窗口将打开。
- 单击 前往管理节点。
授权页面将在新的浏览器窗口中打开。
- 输入应用程序管理员的名称和密码。
带角色辅助的节点的 web 界面将会打开。
- 单击 更改角色到控制节点。
- 在确认窗口,单击 是。
带角色辅助的节点将变为带角色控制的节点。
页面顶端
删除集群
仅当没有带角色辅助的节点时,才能删除集群。
要删除集群请执行以下操作:
- 在应用程序 web 界面窗口中,选择 节点。
- 在集群节点表中,选择带角色控制的节点。
节点设置窗口将打开。
- 在窗口的左下角,单击 删除集群。
这将打开一个窗口,用于确认从群集中删除节点。
- 单击 是。
集群被删除。您将看到承载不属于集群的应用程序的服务器的 web 界面。
页面顶端
检查数据完整性
为了确保应用程序组件安装正确,没有修改或损坏,您可以运行数据完整性检查。它会检查 Kaspersky Web Traffic Security 可执行文件的 MD5 哈希。
要检查数据完整性:
- 在应用程序 web 界面窗口中,选择 节点。
- 单击 打开 节点 区域菜单。
- 单击 检查数据完整性。
检查数据完整性的节点选择 窗口将打开。
- 在集群节点表中选择您想要为其运行完整性检查的节点旁边的复选框。
- 单击 启动。
检查完成后,系统将显示结果表。您可以下载未通过完整性检查的可执行文件的列表。
通过 SSH 协议连接到集群节点
Kaspersky Web Traffic Security 管理员可以通过 SSH 协议连接到任何集群节点,以便通过命令行在技术支持模式下使用应用程序。为此,必须生成 SSH 密钥,并通过应用程序 web 界面上传 SSH 公钥。将此密钥上传到托管带角色控制的节点的服务器后,将中继并保存在所有群集节点上。
为了防止未经授权访问系统,管理员必须使用令牌独立地确保 SSH 私钥的安全。
要通过应用程序 web 界面上传 SSH 公钥:
- 在应用程序 web 界面中,选择 设置 区域,SSH 公钥 子区域。
- 在 描述 字段,输入任何有关上传的 SSH 密钥的信息。
- 在 SSH 密钥 字段,复制之前生成的 SSH 公钥。
- 单击 添加。
SSH 公钥现已添加。如果有合适的 SSH 私钥可用,Kaspersky Web Traffic Security 管理员将能够连接到任何集群节点。如果要替换 SSH 密钥,必须删除之前添加的密钥,并在其位置添加新的密钥。
要删除 SSH 公钥:
- 在应用程序 web 界面中,选择 设置 区域,SSH 密钥 子区域。
- 单击 删除。
- 在确认窗口,单击 是。
SSH 公钥现已删除。您将能添加一个新密钥。
页面顶端
重启集群节点
通过网页界面重启只对应用程序 ISO 镜像可用。如果应用程序是从 RPM 或 DEB 包安装的,重启将通过使用操作系统工具执行。
可能需要重启节点的操作系统以应用某些更新,比如 OpenSSL 库更新。在此情况下,集群节点表会显示 需要重启操作系统 通知。
要通过应用程序网页界面重启带角色控制的节点,请执行以下操作:
- 在应用程序 web 界面中,选择 节点 区域。
- 在集群节点表中,选择带角色控制的节点。
包含节点信息的窗口将会打开。
- 单击 重启。
- 在确认窗口,单击 是。
操作系统将被重启。这可能会花一些时间。几分钟后重新加载浏览器页面。重启完成后,您会看到连接到应用程序网页界面的页面。
重启完成前流量处理将被停止。
要通过应用程序网页界面重启带角色辅助的节点,请执行以下操作:
- 在应用程序 web 界面中,选择 节点 区域。
- 在集群节点表中,选择您要重启的带角色辅助的节点。
包含节点信息的窗口将会打开。
- 单击 前往管理节点 链接转至带角色辅助的节点的网页界面。
用来连接到网页界面的页面将在浏览器的新选项卡中打开。
- 输入账户凭证,连接到带角色辅助的节点。
- 单击 重启。
- 在确认窗口,单击 是。
操作系统将被重启。这可能会花一些时间。几分钟后重新加载浏览器页面。重启完成后,您会看到用来连接到带角色辅助的节点的网页界面的页面。
重启完成前流量处理将被停止。
页面顶端
紧急模式下的应用程序操作
如果系统有两个或多个带角色控制的节点,Kaspersky Web Traffic Security 会切换到紧急模式。例如,带角色控制的节点变得不可用 ,并且此角色被分配给集群中的另一个节点。最终,第一个带角色控制的节点再次可用,使系统具有两个带角色控制的节点。
紧急模式不影响网络流量处理。在应用程序切换到紧急模式之前,所有节点都继续使用从带角色控制的节点接收到的最新设置来处理网络流量。
带角色控制的节点
在带角色控制的节点上的紧急模式窗口会显示以下信息:
- 当前节点的 IP 地址。
- 当前节点的角色。
- 集群内的节点表。
节点表包含以下列:
- IP 地址: 端口 是连接到节点的 IP 地址和端口。
- 角色 是应用程序中当前节点的角色。
- 控制节点 是带角色控制的节点的 IP 地址。
仅对带角色辅助的节点可用。
- 已同步 设置值上次同步的时间。
- 控制节点连接状态 是通过网络的带角色控制的节点的可用性。
表中一行中的
图标表示此节点遇到问题。例如,带角色辅助的节点已错误地成为带角色控制的节点,或者服务器在网络上不可用。
如果要把应用程序控制权转移给另一个节点,您可以单击 分配辅助节点角色 把带角色辅助的节点分配给当前的带角色控制的节点。
带角色辅助的节点
带角色辅助的节点上的紧急模式窗口会显示以下信息:
- 当前节点的 IP 地址。
- 当前节点的角色。
- IP 地址和带角色控制的节点的可用性。
- 设置值上次设置同步的日期和时间。
- 集群内的节点表。
节点表包含以下列:
- IP 地址: 端口 是连接到节点的 IP 地址和端口。
- 角色 是节点在应用程序中的角色。
如果要管理此节点上的应用程序设置,您可以单击 更改角色到控制节点 将带角色辅助的节点分配给它。
页面顶端
关于保护流量抵御具体的合法应用程序
合法应用程序为可以在用户的计算机上安装和使用、目的是执行用户任务的应用程序。不过,某些类型的合法应用程序可能被黑客利用来危害用户的计算机或企业网络。如果黑客获得这些应用程序的权限,或者如果他们将其种植在用户的计算机上,它们的有些功能可以被用来破坏用户计算机或企业网络的安全。
这些应用程序包括 IRC 客户端、自动拨号程序、文件下载程序、计算机系统活动监控器、密码管理实用程序、和 FTP、HTTP、或 Telnet 服务的网页服务器。
以下表格中说明了此类应用程序。
合法应用程序
类型 |
名称 |
说明 |
|---|---|---|
客户端 IRC |
在线聊天客户端 |
用户安装这些应用程序和其他人在互联网中继聊天 (Internet Relay Chats) 中交流。黑客用它们传播恶意软件。 |
拨号程序 |
自动拨号程序 |
它们可以通过调制解调器建立隐藏的电话连接。 |
下载程序 |
下载程序 |
它们可以秘密从网页下载文件。 |
监控器 |
监控程序 |
它们允许监控所安装的计算机上的活动(查看哪些应用程序处于活跃状态及其如何与安装在其他计算机上的应用程序交换数据)。 |
PSWTool |
密码恢复工具 |
它们允许查看和恢复被忘记的密码。黑客秘密地把它们种植在计算机上为了同样的目的。 |
RemoteAdmin |
远程管理程序 |
它们被系统管理员广泛使用。这些程序允许人获取远程计算机的访问权限以对其进行监控和管理。黑客秘密地把它们种植在计算机上为了同样的目的:监控和控制计算机。 合法的远程管理应用程序与用于远程管理的后门型木马不同。木马可以独立潜入系统进行自我安装,而合法的应用程序不可以这样做。 |
服务器-FTP |
FTP 服务器 |
它们执行 FTP 服务器功能。黑客将其种植在计算机上以便通过 FTP 协议获得对计算机的远程访问权限。 |
服务器-代理 |
代理服务器 |
他们执行代理服务器功能。黑客将其种植在计算机上,以便从它们发送垃圾邮件。 |
服务器-Telnet |
Telnet 服务器 |
他们执行 Telnet 服务器功能。黑客将其种植在计算机上以便通过 Telnet 协议获得对计算机的远程访问权限。 |
服务器-Web |
Web 服务器 |
他们执行 Web 服务器功能。黑客将其种植在计算机上以便通过 HTTP 协议获得对计算机的远程访问权限。 |
RiskTool |
用于管理虚拟机的工具 |
它们为用户提供管理计算机的额外能力。这些工具允许用户隐藏活跃应用程序的文件或窗口并终止活跃进程。 |
NetTool |
网络工具 |
它们为所安装计算机的用户提供了与网络上的其他计算机进行交互的额外能力。这些工具让用户可以重启它们、检测开放端口、启动安装在计算机上的应用程序。 |
客户程序-P2P |
P2P 网络客户端 |
它们可以启用点对点 (P2P) 网络上的运行。它们可以被黑客用来传播恶意软件。 |
客户端 SMTP |
SMTP 客户端 |
它们会在用户不知情的情况下发送电子邮件消息。黑客将其种植在计算机上,以便从它们发送垃圾邮件。 |
WebToolbar |
Web 工具栏 |
它们可以把工具栏添加到其他应用程序的界面以使用搜索引擎。 |
FraudTool |
虚假程序 |
它们把自己伪装成其他程序。例如,有虚假反病毒程序显示有关恶意软件检测的消息。但是,实际上它们不会查找或清除任何东西。 |
配置反病毒模块设置
要配置反病毒模块设置:
- 在应用程序 web 界面窗口中,选择 设置 → 常规 → 保护设置 区域。
- 在 反病毒 设置组,使用 使用启发式分析 切换开关在网络流量的病毒扫描中启用或禁用启发式分析。
- 如果您要启用启发式分析,请在 启发式分析级别 列表中选择以下启发式分析级别之一:
- 轻度 – 最快速的启发式分析。
- 中度 – 以适中的速度和深度进行启发式分析。
- 深度 – 最深的启发式分析。
默认选择 中度 启发式分析级别。
- 使用 阻止有扫描错误的对象 开关切换启用或禁用阻止被扫描时产生错误的对象。
- 在 最长扫描时间(秒) 字段中,指定扫描网络流量中对象的时间限制 (秒)。
默认设置为 120。
- 在 压缩文件的最高扫描级别 字段中,指定被扫描压缩文件的最大嵌套级别。
默认设置为 32。
- 必要时选择 如果超过嵌套级别,则阻止压缩文件 复选框。
如果清除复选框,压缩文档将会被跳过而不执行病毒扫描。不完整的扫描 状态将会被写入该对象的事件日志。
- 使用 检测某些合法应用程序 切换开关启用或禁用特定合法应用程序的检测。
此类合法应用程序包括,例如,商业远程管理实用程序,IRC 客户端,拨号程序,文件下载程序,计算机系统活动监控器,和密码管理实用程序。
如果启用切换开关且检测到此类应用程序,它们将根据感染对象规则进行处理。
- 单击 保存。
将配置反病毒模块设置。
页面顶端
配置反钓鱼模块设置
要配置反钓鱼模块设置:
- 在应用程序 web 界面窗口中,选择 设置 → 常规 → 保护设置 区域。
- 在 反钓鱼 设置组,使用 使用启发式分析 切换开关启用或禁用在扫描网络流量以寻找网络钓鱼迹象时使用启发式分析。
- 使用 将某广告软件的链接标记为恶意链接 切换开关启用或禁用广告软件链接的检测。
广告软件的功能是向用户显示广告信息。它们在其他应用程序的界面中显示横幅广告,并将搜索查询重定向到广告网页。一些种类的广告软件收集有关用户的营销信息,并将其发送给开发人员。此营销信息可能包括用户访问的网站的名称或用户搜索查询的内容。与木马程序不同,广告软件程序在用户许可的情况下将此信息发送给开发人员。
如果启用了切换开关,应用程序将这些链接标记为恶意,并根据为恶意链接定义的设置处理它们。
- 使用 将某些合法应用程序相关的链接标记为恶意链接 切换开关启用或禁用与特定合法应用程序关联的链接的检测。
合法应用程序可能会被黑客可利用来损害用户的计算机或数据。尽管它们没有任何具体的恶意功能,但这些应用程序可用作恶意软件中的辅助组件。
如果启用了切换开关,应用程序将这些链接标记为恶意,并根据为恶意链接定义的设置处理它们。
- 在 最长扫描时间(秒) 字段中,指定扫描要检测钓鱼的网络流量中对象的时间限制 (秒)。
默认设置为 120。
- 单击 保存。
将配置反钓鱼模块设置。
页面顶端
配置压缩文件处理
当扫描查找病毒、钓鱼和一些可能被攻击者和其他威胁程序利用的合法程序时,默认情况下 Kaspersky Web Traffic Security 将压缩文件解压缩到 /tmp/kwtstmp 临时目录。您可以更改解压缩后的已扫描压缩文件所在的目录。
要配置压缩文件解压缩目录:
- 在集群节点上的文本编辑器中打开 /var/opt/kaspersky/apps/2022 文件。
- 在
[路径]区域,将目录路径指定为tmp参数的值。示例:
tmp=</path/to/tmp/for/archives>确保目录存在。您需要将目录访问权限提供给用户集群和组集群。
- 重启 Kaspersky Web Traffic Security
压缩文件将被解压缩到指定目录中。
页面顶端
ICAP 服务器设置
若要扫描流量和控制网络用户访问网页资源的方式,必须过滤和修改 HTTP 消息的数据(HTTP 请求和 HTTP 响应)。为此,您需要通过 ICAP 协议配置代理服务器和 Kaspersky Web Traffic Security 的集成:
- 用 Kaspersky Web Traffic Security 配置 的设置。
- 配置您的代理服务器通过 ICAP 协议将数据发送到 Kaspersky Web Traffic Security。
在该集成中,Kaspersky Web Traffic Security 是 ICAP 服务器,您的代理服务器是 ICAP 客户端。
在您的代理服务器上配置的设置必须与 Kaspersky Web Traffic Security 的设置相匹配。
配置 LDAP 服务器连接设置
如果使用单独的代理服务器,您必须配置 Kaspersky Web Traffic Security 连接 ICAP 服务器的设置。
如果您使用单独的代理服务器,则默认 Kaspersky Web Traffic Security 不对 ICAP 流量进行加密或对 ICAP 客户端进行身份验证。应用程序管理员必须通过使用流量隧道或 iptables 单独确保您的代理服务器和 Kaspersky Web Traffic Security 之间的网络连接安全。
要配置 LDAP 服务器连接设置:
- 在应用程序 web 界面窗口中,选择 设置 → 常规 → ICAP 服务器 区域。
- 在 ICAP 服务器地址 列表中,选择以下值之一:
- 127.0.0.1(IPv4 地址),如果代理服务器和 Kaspersky Web Traffic Security 安装在同一台服务器上。应用程序仅处理来自当前服务器的流量。
- 0.0.0.0 (IPv4 address),如果您使用单独的代理服务器。应用程序将处理来自任何服务器的流量。
- ::1(IPv6 地址,模拟 127.0.0.1 地址),如果代理服务器和 Kaspersky Web Traffic Security 安装在同一台服务器上。应用程序仅处理来自当前服务器的流量。
- :: (Ipv6 地址,模拟 0.0.0.0 地址),如果您使用单独的代理服务器。应用程序将处理来自任何服务器的流量。
- 输入 ICAP 服务器连接端口。
可能的值为 1 到 65535,端口 22、80、443、705 和 9045 除外。
- 在 ICAP 协议上的最大连接 框中设置同时连接到 ICAP 服务器的限制。
您可以指定一个介于 1000 到 10000 之间的值。默认设置为 5000。
- 单击 保存。
已配置 ICAP 服务器连接设置。
页面顶端
配置 ICAP 服务器上的流量处理设置。
ICAP 服务器上的流量处理设置会应用到所有已安装应用程序的服务器。
要配置 ICAP 服务器流量处理设置:
- 在应用程序 web 界面窗口中,选择 设置 → 常规 → ICAP 服务器 区域。
- 在 带客户端 IP 地址的标头 框中,输入代理服务器用来发送代理服务器用户的 IP 地址的标头。
默认设置为
X-Client-IP。如果此框中的标头与代理服务器上的标头不同,应用程序在检查流量处理规则时将无法正确识别用户。
- 在 含用户名的标头 框中,输入代理服务器用来发送代理服务器用户的名称的标头。
默认设置为
X-Client-Username。如果此框中的标头与代理服务器上的标头不同,应用程序在检查流量处理规则时将无法正确识别用户。
- 如果代理服务器用 Base64 编码发送用户名,请选择 用 Base64 编码的用户名 复选框。
- 在 请求修改服务的路径 框中指定处理出站流量的请求修改 (REQMOD) 服务的地址。
- 在 响应修改服务的路径 框中指定处理入站流量的响应修改 (RESPMOD) 服务的地址。
- 如果要防止用户的浏览器在加载大型对象时终止带有超时错误的连接:
- 设置 扫描完成前开始传输 HTTP 消息 切换开关到 已启用。
如果启用此参数,并且扫描对象需要很长时间,Kaspersky Web Traffic Security 将对象的一部分发送到浏览器,而无需等待扫描完成。同时,Kaspersky Web Traffic Security 会根据流量处理规则继续扫描对象。如果扫描结束时允许访问对象,对象将被整个发送至浏览器。如果拒绝访问对象,浏览器会话将终止,对象的剩余部分将不会传递。在此情况下将终止加载被禁止的对象而不提供原因。用户不会得到拒绝消息,不会被重定向到其他页面。
- 在 比特率(KB/s) 字段中,指定每秒传输到浏览器的字节数,直到应用程序完成扫描 HTTP 消息。
您可以指定一个介于 1 到 1024 之间的整数。
- 在 发送延迟(秒) 字段中,指定延迟时间(以秒数为单位)。应用程序将在指定的秒数后开始将对象发送到浏览器。
您可以指定一个介于 1 到 3600 之间的整数。
- 设置 扫描完成前开始传输 HTTP 消息 切换开关到 已启用。
- 单击 保存。
ICAP 服务器的流量处理设置已配置。
页面顶端
阻止页面
如果根据流量处理规则检查 web 资源会导致拒绝访问,则会向用户显示阻止页面。
您可以使用以下阻止页面模板:
阻止页面选择算法如下图所示。
阻止页面选择算法
如果根据具有已配置阻止页面的流量处理规则来阻止 web 资源,用户将看到该规则的阻止页面上指定的文本。如果尚未为规则配置阻止页面,应用程序将检查工作区是否有阻止页面。如果已为工作区配置了阻止页面,则应用程序将使用它。如果未配置阻止页面,则将使用默认阻止页面。
受支持的宏的列表
您可以在阻止页面文本中使用以下宏:
- %DATE%—事件的日期和时间。
- %APPLICATION%—应用程序的名称。
- %BUILD%—应用程序版本号。
- %SERVER_NAME%—在其上处理 HTTP 请求的计算机的名称。
- %TYPE%—HTTP 消息的类型(请求或相应)。
- %METHOD%—HTTP 消息方法。
- %RULE_NAME%—导致 web 资源被阻止的流量处理规则的名称。
- %THREAT%—已检测到的恶意对象的名称。
- %CURED_LIST%—已清除的威胁列表。
- %SCAN_RESULT%—在特定对象中检测到的所有威胁中,构成最大威胁的检测到的威胁类型。
例如,如果在对象中检测到病毒和钓鱼链接 (
av_status="detected" and ap_status="detected"),病毒将指示为宏的值。 - %CATEGORY%—基于内容主题的已处理 web 资源的类别。
- %PROCESSING_TIME%—HTTP 消息处理的持续时间。
- %WORKSPACE_NAME%—与已处理流量相关联的工作区名称。
- %USER_NAME%—作为 HTTP 请求源的用户账户的名称。
- %USER_AGENT%—启动 HTTP 请求(用户代理)的用户计算机上的应用程序。
- %CLIENT_IP%—从其发送 HTTP 请求的计算机的 IP 地址。
- %URL%—禁止网站的网址。
- %MIME_TYPE%—HTTP 消息的 MIME 类型及其部件。
- %FILE_NAME%—被阻止文件的名称。
- %FILE_TYPE%—被阻止文件的类型。
配置默认阻止页面
要配置默认阻止页面:
- 在应用程序 web 界面窗口中,选择 设置 → 常规 → 默认阻止页面 区域。
- 如有必要,更改 %TEXT% 宏 字段中的页面文本和/或 HTML 代码 字段中的页面标记。
- 如果您想要添加宏到消息文本,请从 插入宏 下拉列表选择一个受支持的宏。
您还可以使用宏 %TEXT%,其是 %TEXT% 宏 字段的内容(仅适用于 HTML 代码 字段)。
如果一个宏中有多个值,则这些值将用逗号分隔。
- 单击 预览 验证修改。
- 单击 保存。
已配置默认阻止页面。如果尚未为工作区或触发的流量处理规则配置阻止页面,则将显示此页面。
页面顶端
为工作区配置阻止页面
工作区的阻止页面的配置可在常规 web 界面和工作区的 web 界面中使用。
要为工作区配置阻止页面:
- 转到常规 web 界面和工作区的 web 界面中的阻止页面配置部分。要执行此操作:
- 选择 创建自定义阻止页面。
- 如果要复制在常规设置中定义的默认阻止页面的文本和标记,单击窗口右下角的 从默认阻止页面复制 链接。
- 更改 %TEXT% 宏 字段中的页面文本和/或 HTML 代码 字段中的页面标记。
- 如果您想要添加宏到消息文本,请从 插入宏 下拉列表选择一个受支持的宏。
您还可以使用宏 %TEXT%,其是 %TEXT% 宏 字段的内容(仅适用于 HTML 代码 字段)。
如果一个宏中有多个值,则这些值将用逗号分隔。
- 单击 预览 验证修改。
- 单击 保存。
已配置工作区的阻止页面。定义的文本将显示在此工作区中的用户。默认阻止页面将显示给所有其他用户。
如果触发了具有已配置阻止页面的规则,将使用规则的阻止页面,而不是工作区页面或默认页面。
页面顶端
为流量处理规则配置一个阻止页面
您仅能修改单个流量处理规则的阻止页面的文本。页面标记由默认阻止页面的设置决定。
要为修改流量处理规则的阻止页面的文本:
- 在应用程序 web 界面窗口中,选择以下区域之一:
- 对于具有单个工作区规则的操作,请在用于在工作区之间切换的区域中,选择此工作区的名称。
- 对于在所有工作区中应用的规则的操作,请在用于在工作区之间切换的区域中选择 未选中。
仅当您有多个工作区的访问权限时才适用。
- 选择 规则 区域。
- 选择以下选项卡之一:
- 旁路。
- 访问。
- 保护。
流量处理规则表将打开。
- 选择您想要为其配置阻止页面的流量处理规则。
这将打开包含规则信息的窗口。
- 在窗口的右下角,单击 编辑。
编辑规则 窗口将打开。
- 选择 指定要在阻止页面中显示的文本 复选框。
- 输入消息文本。
- 如果您想要添加宏到消息文本,请从 插入宏 下拉列表选择一个受支持的宏。
如果一个宏中有多个值,则这些值将用逗号分隔。
- 单击 保存。
流量处理规则的阻止页面已配置。
页面顶端
导出和导入设置
仅当用户有 编辑设置 权限时,此功能可用。
Kaspersky Web Traffic Security 可以导出或导入用于以下目的:
- 应用程序设置备份。
如果带角色控制的节点失败,您可以在重新安装应用程序后导入之前导出的设置。
- 在新服务器上部署应用程序。
您可以在一台服务器上配置设置,然后将其导出,并在所有服务器上创建相同的应用程序配置。
- 应用程序迁移到新版本。
升级应用程序之前,您可以从旧版本导出设置然后将其导入新版本。
不支持将新版本迁移到旧版本。
导出设置时会生成一个含以下信息的配置文件:
- 应用程序版本
- 与工作区不相关的应用程序设置:
- 没有与工作区关联的保护规则和访问规则
- 用户角色和权限
- 角色在工作区外的用户账户
- 阻止页面
- 保护设置
- 工作区设置:
- 工作区流量分配条件
- 作为工作区一部分创建的保护和访问规则
- 与所有工作区相关的用户角色和权限
生成的配置文件本地保存在带角色控制的节点上。
导入配置文件时您可以选择必须要应用的设置。
- 工作区外的个别应用程序设置
- 将为其应用所有设置的工作区
当将保护规则从版本6.0导入6.1时,将为恶意链接对象类型设置 阻止操作。
导入完成后,其他设置的值不变。
导出 Kaspersky Web Traffic Security 设置
要导出 Kaspersky Web Traffic Security 设置:
- 在应用程序 web 界面窗口中,选择 设置 → 常规 → 导出/导入 区域。
- 选择 导出 选项卡。
- 单击 导出。
导出操作的当前状态显示在 上次配置导出 组中。操作成功完成后将显示含日期和时间的字符串。
- 单击相关行中的 图标。
带有导出设置的配置文件将保存在浏览器的下载文件夹中。
页面顶端
导入 Kaspersky Web Traffic Security 设置
不建议同时导入多个配置文件。在此情况下仅应用一个文件的设置。
要导入 Kaspersky Web Traffic Security 设置:
- 在应用程序 web 界面窗口中,选择 设置 → 常规 → 导出/导入 区域。
- 选择 导入 选项卡。
- 单击 上传。
文件选择窗口将打开。
- 选择含之前导入的设置的文件。
选择要导入的设置 窗口将打开。
- 选择您想要导入的设置旁边的复选框。
- 选择设置表下面的复选框确认导入。
- 单击 导入。
系统将显示有关导入操作结果的消息。
页面顶端
配置导出文件储存
您可以限制储存在服务器上的导出设置文件的数目。如果超出限制,之前导出的文件将被删除。
要配置导出文件储存:
- 在应用程序 web 界面窗口中,选择 设置 → 常规 → 导出/导入 区域。
- 选择 导出 选项卡。
- 在 最大导出的配置文件 框中,指定服务器上要存储的导出文件的最大数量。
导出文件的数量限定为输入的值。
页面顶端
将应用程序从版本6.0升级到版本6.1
标准升级过程目前对 Kaspersky Web Traffic Security 不可用。
要在一个服务器上升级应用程序,您必须移除应用程序版本6.0然后安装应用程序版本6.1。
要将装有应用程序版本6.0(简称为“集群6.0”)的集群升级到装有应用程序版本6.1(简称为“集群6.1”)的集群,您必须完成以下方案:
- 从集群6.0移除第一个服务器
推荐开始升级集群时先移除辅助主服务器。然后您可以在此服务器上安装集群6.1的带角色控制的节点。
- 移除应用程序版本6.0
- 应用程序版本6.1的安装和初始配置。
您可以从 RPM 或 DEB 包 或 从 ISO 文件安装应用程序。
- 创建集群6.1
如果创建了一个新集群,控制节点角色将被分配给服务器。
- 导出集群6.0的设置
- 导入集群6.1的设置
导入配置文件后,带角色控制的节点将把新设置传递到所有集群节点。
配置文件未指出的设置将保持不变。
- 将工作服务器迁移到集群6.1
您必须为每个工作服务器完成以下步骤:
- 将流量处理分配给集群的另一个服务器。
为了保证升级过程中流量处理不被打断,推荐将流量处理提前切换到另一个机群服务器。如果负载平衡器正在机群中使用,您需要打开它的配置文件并删除包含正在升级的工作服务器的设置的条目。
- 从集群6.0移除工作服务器。
- 从工作服务器移除应用程序6.0。
- 应用程序版本6.1的安装和初始配置。
您可以从 RPM 或 DEB 包 或 从 ISO 文件安装应用程序。
- 添加节点到集群6.1。
一个节点被添加到集群6.1后,辅助节点角色将被分配给节点。它将自动接收来自带角色控制的节点的最新设置。
- 配置流量处理。
如果负载平衡器正在机群中使用,您需要打开它的配置文件并添加一个包含新建带角色辅助的节点的设置的条目。
- 将流量处理分配给集群的另一个服务器。
- 从集群6.0移除主服务器。
将工作服务器迁移到集群6.1后,只有主服务器将留在集群6.0中。您可以将该服务器从操作中退出或将其作为带角色辅助的节点添加到集群6.1(参见步骤7.3–7.6)。
安装更新包
功能只有在部署了应用程序 ISO 镜像时才可用。
卡巴斯基可能会发布 Kaspersky Web Traffic Security 的更新包。例如,它可能会发布修复漏洞和错误的紧急更新包,或者添加新功能或改进应用程序现有功能的计划更新。
Kaspersky Web Traffic Security 服务可以在安装更新期间被停止。更新过程可能需要花几分钟。启动后,不要中断更新过程或关闭服务器。您可以需要在更新后重启应用程序。
要在带角色控制的节点上启动系统更新,请执行以下操作:
- 使用管理员账户登录控制节点的 Web 界面。
- 选择 设置 → 常规 → 系统升级 区域。
- 单击条目字段右侧的 浏览 按钮。
文件选择窗口将打开。
- 选择包含更新包的压缩文档,然后单击“打开”。
所选压缩文档的名称将显示在条目字段中。
- 单击 上传文件 按钮。
更新包安装向导将启动。
- 按照向导的说明执行操作。
如果安装更新包需要重新启动节点,请等待重新启动完成。
要在带角色辅助的节点上启动系统更新,请执行以下操作:
- 使用管理员账户登录辅助节点的 Web 界面。
- 在右上角单击 安装补丁 按钮。
- 在 安装补丁 页面,单击文本框右侧的 浏览。
文件选择窗口将打开。
- 选择包含更新包的压缩文档,然后单击 打开。
所选压缩文档的名称将显示在条目字段中。
- 单击 上传文件 按钮。
更新包安装向导将启动。
- 按照向导的说明执行操作。
如果安装更新包需要重新启动节点,请等待重新启动完成。
页面顶端
安装 kwts_upgrade_6.1.0.4762_os_security_november_2024 更新包
功能只有在部署了应用程序 ISO 镜像时才可用。
本帮助部分包含有关安装 Kaspersky Web Traffic Security 6.1 版的 kwts_upgrade_6.1.0.4762_os_security_november_2024 更新包的说明。无论之前的更新包是否安装,您都可以安装此更新包。
安装此更新包后,应用程序组件的版本将更新。
请联系技术支持获取更新包。
安装之前,请配置对群集节点的 SSH 访问。
Kaspersky Web Traffic Security 服务可以在安装更新期间被停止。更新过程可能需要花几分钟。启动后,不要中断更新过程或关闭服务器。您可以需要在更新后重启应用程序。
如果集群由单个节点组成,安装这样的包将暂时中断应用程序的运行。
要在多个节点的群集上更新应用程序,请执行以下操作:
- 确保所有群集节点都可用并且没有错误。
要执行此操作,请在控制节点的 Web 界面中,转到 节点 部分。如果群集节点不可访问或有错误,请在开始更新之前解决所有问题。
- 在每个辅助节点上按顺序安装更新包。
- 在控制节点上安装更新包。
在带角色辅助的节点上安装 kwts_upgrade_6.1.0.4762_os_security_november_2024 更新包
在带角色辅助的节点上安装更新包:
- 从流量处理中排除正在更新的节点,并将负载分配给其他群集节点。
关闭节点的流量,然后将其重新打开的方法取决于正在使用的负载平衡方法。例如,您可以编辑负载平衡器的配置文件或修改 DNS 记录。
- 使用管理员账户登录辅助节点的 Web 界面。
- 在右上角单击 安装补丁 按钮。
- 在 安装补丁 页面,单击文本框右侧的 浏览。
文件选择窗口将打开。
- 选择包含更新包的压缩文档,然后单击 打开。
所选压缩文档的名称将显示在条目字段中。
- 单击 上传文件 按钮。
更新包安装向导将启动。
- 按照向导的说明执行操作。
如果安装更新包需要重新启动节点,请等待重新启动完成。
- 请确保更新包已成功安装:
- 登录控制节点的 Web 界面。请确保已更新节点的状态已更改为“已同步”。
- 通过 SSH 登录到更新的节点,然后运行以下命令:
rpm -qa openssh-server squid nginx命令的输出必须按如下所示:
openssh-server-7.4p1-23.el7_9.x86_64squid-6.12-14.kwts.el7.x86_64nginx-1.26.1-2.el7.ngx.x86_64 - 运行以下命令:
tail /var/log/kaspersky/kwts/patch.log日志中的最后一行必须如下所示:
Upgrade finished, automatic system reboot initiated
- 将流量恢复到更新的节点。
更新包安装在群集的辅助节点上。
页面顶端
在带角色控制的节点上安装 kwts_upgrade_6.1.0.4762_os_security_november_2024 更新包
要在控制节点上安装系统更新:
- 从流量处理中排除控制节点,并将负载分配给其他群集节点。
关闭节点的流量,然后将其重新打开的方法取决于正在使用的负载平衡方法。例如,您可以编辑负载平衡器的配置文件或修改 DNS 记录。
- 使用管理员账户登录控制节点的 Web 界面。
- 选择 设置 → 常规 → 系统升级 区域。
- 单击条目字段右侧的 浏览 按钮。
文件选择窗口将打开。
- 选择包含更新包的压缩文档,然后单击“打开”。
所选压缩文档的名称将显示在条目字段中。
- 单击 上传文件 按钮。
更新包安装向导将启动。
- 按照向导的说明执行操作。
如果安装更新包需要重新启动节点,请等待重新启动完成。
- 请确保更新已成功安装:
- 登录控制节点的 Web 界面。请确保已更新节点的状态已更改为“已同步”。
- 通过 SSH 登录到更新的节点,然后运行以下命令:
rpm -qa openssh-server squid nginx命令的输出必须按如下所示:
openssh-server-7.4p1-23.el7_9.x86_64squid-6.12-14.kwts.el7.x86_64nginx-1.26.1-2.el7.ngx.x86_64 - 运行以下命令:
tail /var/log/kaspersky/kwts/patch.log日志中的最后一行必须如下所示:
Upgrade finished, automatic system reboot initiated
- 将流量恢复到更新的节点。
更新包安装在群集的控制节点上。
页面顶端
配置服务器时间
该功能只有在部署应用程序 ISO 镜像时可用。
您可以在应用程序设置中配置使用的服务器时间。将基于设定的时间,应用为其定义计划的数据库更新和流量处理规则。
要配置服务器时间:
- 在应用程序 web 界面窗口中,选择 设置 → 常规 → 服务器时间 区域。
- 在 时区 设置组中:
- 在 国家/地区 下拉列表中,选择必要时区的国家/地区。
- 在 时区 下拉列表中,选择时区。
所选时区将在下拉列表中的地图上突出显示。
- 在 时间同步 设置组,使用 与 NTP 服务器同步 切换开关启用或禁用与 NTP 服务器的同步。
如果您在 VMware 虚拟机上部署了应用程序 ISO 镜像,则如果启用与 NTP 服务器的同步,将自动禁用与 hypervisor 的时间同步。如果您使用其他的 hypervisor,必须在 hypervisor 设置中独立禁用同步。
- 如果您启用与 NTP 服务器的同步,在 NTP 服务器 字段中,输入 IPv4 或 IPv6 格式的 NTP 服务器的完全限定域名 (FQDN) 或 IP 地址。
- 如果要添加其他 NTP 服务器用于同步,单击按钮并在打开的字段中指定其地址。
- 单击 保存。
将配置服务器时间。输入的更改将会保存在带角色控制的节点上并分配给所有集群节点。时间同步状态将显示在有关每个集群节点的信息中。
页面顶端
配置代理服务器连接设置
配置的代理服务器设置将用于更新数据库和激活应用程序,以及外部服务的操作。
要配置代理服务器连接设置:
- 在应用程序 web 界面窗口中,选择 设置 → 外部服务 → 代理服务器连接 区域。
- 开启 使用代理服务器 参数旁边的切换开关。
- 在 代理服务器地址 设置组,输入代理服务器地址和端口。
- 如果不想对组织的内部地址使用代理服务器,请选择 对本地地址不使用代理 复选框。
- 当连接到代理服务器时如果想使用身份验证,请在 用户名(可选) 和 密码(可选) 字段输入用户名和密码以连接到代理服务器。
- 单击 保存。
更新 Kaspersky Web Traffic Security 数据库
反病毒模块和反钓鱼模块的数据库(也被简称为“数据库”)是包含在扫描对象中检测恶意代码的记录的文件。这些记录包含有关恶意代码控制部分以及用于清除包含此类威胁的对象的算法的信息。
卡巴斯基的病毒分析师每天检测到上百种新威胁,创建记录对其进行识别,并将其纳入数据库更新包(或更新包)中。更新包由一个或多个包含记录的文件组成,可以识别自上一个更新包发布以来检测到的威胁。为了最大限度降低受保护的服务器被感染的风险,建议定期获取更新包。
授权许可期内,您可以通过从卡巴斯基网站下载更新包的方式接收更新包。
安装期间,Kaspersky Web Traffic Security 将从卡巴斯基更新服务器之一下载最新的数据库。这些是特殊的互联网站点,包含所有卡巴斯基应用程序的数据库和应用程序模块的更新。如果您通过代理服务器连接互联网,需要配置代理服务器连接设置。
要降低 web 流量,需要选择一个自定义更新源。用户定义的 HTTP- 或 FTP 服务器或您的计算机上的本地文件夹可以作为您的自定义更新源。
选择数据库更新源
要选择数据库更新源:
- 在应用程序 web 界面窗口中,选择 设置 → 外部服务 → 数据库更新 区域。
- 在 源 下拉列表中,选择以下更新源之一:
- Kaspersky 服务器(安全连接)。
- Kaspersky 服务器(不安全的连接)。
- 自定义。
- 如果您在之前的步骤中已选择 自定义,则在 自定义源 字段中指定您想要从中接收更新包的自定义源的 URL。
如果要在自定义更新源不可用时从卡巴斯基更新服务器接收更新包,也可以选中 如果无法访问,请使用 Kaspersky 服务器 复选框。
- 单击 保存。
配置数据库更新计划和设置
应用程序将数据库更新从选中的更新源下载到集群的所有节点。
要配置数据库更新计划和设置:
- 在应用程序 web 界面窗口中,选择 设置 → 外部服务 → 数据库更新 区域。
- 在 计划 设置组中的下拉列表中,选择其中一个选项并执行以下操作:
- 手动。
- 一次。在打开的字段中,指定开始数据库更新的日期和时间。
- 每天。在打开的字段中,指定每日数据库更新的开始时间。
- 每周。在打开的字段中,指定每周几开始数据库更新及开始时间。
- 每月。在打开的字段中,指定开始数据库更新的月份日期和时间。
- 运行间隔。在打开的字段中,指定开始数据库更新的频率(分钟、小时或天)。
保存更改后,将立即启动第一个数据库更新。
- 在 随机化间隔(分钟) 字段中,指定偏离计划时间的间隔(以分钟为单位)。应用程序不会在所有节点上同时开始数据库更新,但是会在定义的间隔期间随机开始数据库更新。集群中有大量节点时,建议使用此选项在网络上分配负载。
- 在 最长持续时间(分钟) 字段中,指定数据库更新的最长持续时间(分钟),之后应停止数据库更新。
- 如果要在应用程序下一次开启时运行已跳过的数据库更新任务,将 运行跳过的任务 切换开关设置为 已启用。
如果已禁用运行跳过的任务,应用程序下一次开启时将不会运行已跳过的数据库更新任务。将根据计划开始下一次数据库更新。
- 单击 保存。
手动更新数据库
要手动开始数据库更新:
- 在应用程序 web 界面窗口中,选择 设置 → 外部服务 → 数据库更新 区域。
- 在 设置 窗口的上部,单击 更新数据库 按钮。
将出现有关数据库更新开始的消息。
加入卡巴斯基安全网络并使用卡巴斯基专有安全网络
为了更有效地保护用户的计算机,Kaspersky Web Traffic Security 使用了从全球用户接收到的数据。卡巴斯基安全网络旨在收集此类数据。
卡巴斯基安全网络(以下简称 KSN)是一个云服务基础架构,提供对卡巴斯基在线知识库的访问,知识库包含文件、网页资源和软件的信誉信息。使用卡巴斯基安全网络的数据可确保 Kaspersky Web Traffic Security 对尚未列入反病毒应用程序数据库中的对象作出更快的响应,提高一些保护组件的性能,并减少误报的可能性。
参与卡巴斯基安全网络可让卡巴斯基快速获取尚未列入反病毒应用程序数据库中的对象的类型和来源,开发中和此类对象的方法,并减少误报数量。
当您参与卡巴斯基安全网络时,Kaspersky Web Traffic Security 运行时收集的某些统计数据将被自动发送到卡巴斯基。可能被侵入者利用来危害计算机或数据的文件或其部分也可以发送到卡巴斯基进行额外检查。
程序不会收集、处理或存储任何个人数据。Kaspersky Web Traffic Security 发送到卡巴斯基安全网络的数据类型在 KSN 声明中进行了说明。
参与卡巴斯基安全网络出于自愿。是否参与卡巴斯基安全网络的决定在安装 Kaspersky Web Traffic Security,的过程中做出,可以随时更改。
如果您不想参与 KSN, 您可以使用卡巴斯基私人安全网络 (以下简称为 KPSN)。KPSN 解决方案允许用户访问卡巴斯基安全网络的信誉数据库和其他统计数据而无需实际上将其计算机的数据发送到卡巴斯基安全网络。
如果您想购买卡巴斯基私人安全网络,请联系所在地区的卡巴斯基合作伙伴。
设置参与卡巴斯基安全网络
要配置参与卡巴斯基安全网络:
- 在应用程序 web 界面窗口中,选择 设置 → 外部服务 → KSN/KPSN 区域。
- 选择以下选项之一:
- 不使用 KSN/KPSN,如果您不想参与 卡巴斯基安全网络或使用 卡巴斯基私人安全网络。
- 卡巴斯基安全网络(KSN),如果您想参与卡巴斯基安全网络。
- 如果您选择参与卡巴斯基安全网络,请在 KSN 声明 区域 查看卡巴斯基安全网络声明并选择以下选项之一:
- 如果您接受条款和条件,请选择 我同意参与 KSN 复选框。
- 如果您不接受条款和条件,请清除 我同意参与 KSN 复选框。
- 如果您想参与卡巴斯基安全网络并同意将您使用卡巴斯基安全网络的统计数据提交给卡巴斯基,请选择 发送 KSN 统计数据以提高威胁检测率 复选框。
- 如果您选择参与卡巴斯基安全网络并同意将您使用卡巴斯基安全网络的统计数据提交给卡巴斯基,请在 附加 KSN 声明 区域中阅读卡巴斯基安全网络补充声明并执行以下操作:
- 如果您接受条款和条件,请选择 我同意发送 KSN 统计数据 复选框。
- 如果您不接受条款和条件,请清除 我同意发送 KSN 统计数据 复选框。
- 单击 保存。
已配置参与卡巴斯基安全网络。
设置使用卡巴斯基私人安全网络
要配置使用卡巴斯基私人安全网络:
- 在应用程序 web 界面窗口中,选择 设置 → 外部服务 → KSN/KPSN 区域。
- 选择以下选项之一:
- 不使用 KSN/KPSN,如果您不想参与 卡巴斯基安全网络或使用 卡巴斯基私人安全网络。
- KPSN,如果您想要使用卡巴斯基私人安全网络。
- 如果您选择使用卡巴斯基私人安全网络,请在 KPSN 配置文件 区域中加载 KPSN 配置文件。要执行此操作:
- 单击 上传。
文件选择窗口将打开。
- 选择您想要添加的 KPSN 配置文件。
要获取配置文件,您必须在 KPSN 中启用附加服务组件,然后向卡巴斯基发送请求。更多详细信息,请参阅卡巴斯基专有安全网络管理员手册。
KPSN 配置文件必须为 ZIP 压缩文件格式。
- 单击 上传。
- 单击打开。
文件选择窗口将关闭。
- 单击 保存。
已配置使用卡巴斯基私人安全网络。
连接到 LDAP 服务器
Kaspersky Web Traffic Security 可以让您
连接到使用在您的组织中的外部的服务器。通过 LDAP 协议连接到外部目录服务可让 Kaspersky Web Traffic Security 管理员执行以下操作:
创建 keytab 文件
使用域管理员账户,在域控制器服务器或属于该域的 Windows Server 计算机上创建 keytab 文件。
要创建 keytab 文件:
- 在“Active Directory 用户和计算机”管理单元中,创建一个单独的用户账户,该账户将用于将应用程序连接到 LDAP 服务器(例如,名为
kwts-ldap的账户)。创建密码时,必须选择“密码永不过期”选项。
- 要使用 AES256-SHA1 加密算法,请使用 Active Directory 用户和计算机管理单元打开“账户”选项卡上已创建的用户账户的属性,然后选中“此账户支持 Kerberos AES 256 位加密”复选框。
- 使用 ktpass 实用程序为
kwts-ldap用户创建 keytab 文件。为此,请在命令行运行以下命令:C:\Windows\system32\ktpass.exe -princ kwts-ldap@<大写领域 Active Directory 域名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <kwts-ldap 用户密码> -out <文件路径>\<文件名>.keytab您可以使用 * 字符作为 -pass 参数的值,以避免在命令文本中指示密码。在这种情况下,当您运行命令时,实用程序会提示您输入密码。
示例:
C:\Windows\system32\ktpass.exe -princ kwts-ldap@COMPANY.COM -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out C:\Keytabs\kwts-ldap.keytab
将创建 keytab 文件。如果更改用户账户密码,则必须生成新的 keytab 文件。
页面顶端
添加 LDAP 服务器连接
您可以添加一个或数个 LDAP 服务器连接。
如果您要用名称包含根域名 .local 的域来配置集成,您必须完成以下步骤以便 操作系统准备 成功连接 LDAP 服务器。
要添加 LDAP 服务器连接:
- 在应用程序 web 界面窗口中,选择 设置 → 外部服务 → LDAP 服务器连接 区域。
- 单击 添加。
添加连接 窗口将打开。
- 在 名称 文本框中,输入将在 Kaspersky Web Traffic Security 的 web 界面中显示的 LDAP 服务器的名称。
- 在 Keytab 文件 设置块中,单击 上传 加载 。
文件选择窗口将打开。
- 选择 keytab 文件并单击 打开。
- 在 搜索库(Base DN) 文本框中,输入被 Kaspersky Web Traffic Security 用作记录查询起始点的目录对象的 DN(可分辨名称)。
按以下格式输入目录后缀:
ou=<部门名称>(如适用), dc=<域名>, dc=<父级域名>。例如,您可以输入
ou=people, dc=example, dc=com。在此处,
people是目录架构中的级别,Kaspersky Web Traffic Security 从中查找记录(搜索范围在级别people及其以下。该级别以上的对象将被排除在搜索之外),example是 Kaspersky Web Traffic Security 在其中查找记录的目录的域名,com是目录所在的父级域名。 - 单击 添加。
已添加 LDAP 服务器连接。
删除 LDAP 服务器连接
要删除 LDAP 服务器连接:
- 在应用程序 web 界面窗口中,选择 设置 → 外部服务 → LDAP 服务器连接 区域。
- 选择要删除的 LDAP 服务器。
查看连接设置 窗口将打开。
- 单击 删除。
确认窗口将打开。
- 单击 确定。
已删除 LDAP 服务器连接。
更改 LDAP 服务器连接设置
要更改 LDAP 服务器连接的连接设置,请:
- 在应用程序 web 界面窗口中,选择 设置 → 外部服务 → LDAP 服务器连接 区域。
- 选择您想要更改连接设置的 LDAP 服务器。
查看连接设置 窗口将打开。
- 单击 编辑。
- 在必要时,更改以下设置:
- 显示在应用程序 web 界面中的 LDAP 服务器名称,在 名称 文本框中。
- Keytab 文件,通过单击 替换。
- 记录搜索起始目录,在 搜索库(Base DN) 文本框中。
- 单击 保存。
LDAP 服务器连接设置被更改。
手动启动与 Active Directory 域控制器的同步
应用程序每 30 分钟自动与 Active Directory 域控制器同步一次数据。如果你需要立即更新用户账户数据(例如,在添加新用户时),您可以手动运行同步。
要手动运行与 Active Directory 域控制器的同步,请执行以下操作:
- 在应用程序 web 界面窗口中,选择 设置 → 外部服务 → LDAP 服务器连接 区域。
- 单击 现在同步。
将开启与域控制器的数据同步。这将更新用于选择规则和在应用程序 web 界面中自动完成用户名的用户账户数据。
与 Active Directory 同步的最新状态将会显示在节点 部分 当查看有关集群节点的信息时。
页面顶端
配置与 Kaspersky Anti Targeted Attack Platform 的集成
只有当用户有 编辑设置 的权限时,用户才能配置与 Kaspersky Anti Targeted Attack Platform(以下简称 "KATA")的集成。
Kaspersky Anti Targeted Attack Platform 是一种解决方案,旨在保护企业 IT 基础架构并及时检测威胁,如零日攻击、目标攻击和复杂的目标攻击(称为高级持续威胁)。
KATA 可以与其他卡巴斯基的应用程序集成,用于接收并处理这些应用程序扫描的对象。Kaspersky Web Traffic Security 是一个可以担任此角色的应用程序。
Kaspersky Web Traffic Security 管理员必须在带角色控制的节点上配置 KATA 集成。完成此操作后,集成设置将发送作为集群一部分的带角色辅助的所有节点。然后,每个集群节点独立于其他节点与 KATA 服务器进行交互。
与 KATA 集成时有两个模式可用:将文件传输到 KATA 服务器,以及接收 KATA 检测到的对象。
发送文件到 KATA 服务器
Kaspersky Web Traffic Security 将未经流量处理规则或默认保护策略阻止的对象发送到 KATA 服务器。然而,应用程序不会等到 KATA 服务器发送这些对象的扫描结果。
处理每个文件时,应用程序将检查是否需要将该文件发送到 KATA 服务器。基于结果,扫描状态将被写入应用程序事件日志。以下状态可用:
- 不适用。没有要检查的文件。 – HTTP 消息不包含要扫描的文件。
- 根据应用程序设置已禁用 – 发送文件到 KATA 服务器的模式在应用程序设置中禁用。
- 根据规则操作已跳过 – HTTP 消息被应用程序阻止(应用 阻止 或 重定向 操作)或依据旁路规则无需扫描即跳过。
- 被 KATA 筛选器拒绝 – 文件未满足发送到 KATA 服务器的条件。
- 计划 – 文件传输已计划。
- 失败 – 文件传输无法计划。
对于具有 计划 和 失败 状态的文件,还会记录有关文件传输结果的详细信息。
与传输文件到 KATA 服务器相关的所有事件记录在通过 Syslog 协议的操作系统。
接收 KATA 检测到的对象
Kaspersky Web Traffic Security 从 KATA 服务器接收有关使用沙箱和 YARA 技术的 KATA 检测到的对象的信息。有关处理外部系统请求的详细信息,请参阅Kaspersky Anti Targeted Attack Platform 帮助指南。
有关接收的信息保存在 KATA 缓存中。每个集群节点会储存其各自的 KATA 缓存,并接受 KATA 检测到的对象,独立于其他节点。当存储期限到期时,有关对象的信息将从缓存中删除。应用保护规则和默认保护策略时,不再考虑这些对象。
在保护规则和默认保护策略中,您可以配置操作,以对从 KATA 服务器中接收信息的对象执行操作。在用户流量中检测到此对象时,Kaspersky Web Traffic Security 将依据规则中定义的设置处理这些对象。其允许您阻止潜在的有害对象,直到这些对象的相关信息添加到 KSN 信誉数据库和本地应用程序数据库中为止。
每个对象的扫描结果写入事件日志。以下扫描状态可用:
- 未检测到 – 未在 KATA 缓存中检测到匹配项。
- 已检测 – 检测到威胁。
- 未扫描 – 未根据应用程序设置执行扫描。
- 扫描错误 – 扫描以错误结束。
与扫描流量以匹配 KATA 对象相关的所有事件都记录到通过 Syslog 协议的操作系统日志中。
配置与 KATA 集成的方案
配置 Kaspersky Web Traffic Security 与 KATA 的集成由以下步骤组成。
- 添加 KATA 服务器
添加 KATA 服务器时,您必须将 KTWS 和 KATA 的 web 界面中显示的证书指纹进行对比。如果证书指纹匹配,管理员会确认添加服务器。然后,带角色控制的节点发送 KATA 服务器的地址和证书到所有集群节点,而无需等待身份验证确认。
- 选择集成模式
Kaspersky Web Traffic Security 提供了两种与 KATA 集成的模式。您可以发送文件到 KATA,以便扫描这些文件(这种情况下,KWTS 用作 KATA 的外部系统)和/或接收 KATA 检测到的对象的信息。这些模式彼此独立工作。
- 配置 KATA 缓存设置
应用保护规则和默认策略时,Kaspersky Web Traffic Security 会考虑到信息已存储在 KATA 缓存中的那些对象。您可以配置在缓存中存储它们的时间段。此时间段到期后,处理流量时将不会考虑这些对象。
- 在 KATA web 界面中的 Kaspersky Web Traffic Security 的授权
添加 KATA 服务器时,将发送一个请求用于外部系统的身份验证。KATA 管理员必须在 KATA web 界面中确认此请求。有关处理外部系统请求的详细信息,请参阅Kaspersky Anti Targeted Attack Platform 帮助指南。
添加 KATA 服务器
您仅可以配置与一台 KATA 服务器的集成。
要添加 KATA 服务器:
- 在应用程序 web 界面中,选择 设置 → 外部服务 → KATA 集成区域。
- 在 KATA 服务器 设置组,单击 添加。
添加 KATA 服务器 窗口将打开。
- 在 IP 地址 字段中,输入安装中央节点组件的 KATA 服务器的完全限定域名 (FQDN) 或 IPv4/IPv6 地址。
- 在 端口 字段中,输入 KATA 服务器连接端口。
默认值是 443。
- 单击 下一步。
确认 KATA 服务器 窗口将打开。
- 检查输入的数据并确保在 web 界面中显示的证书指纹与 KATA 服务器的证书指纹匹配。如果指纹匹配,单击 确认。
将添加 KATA 服务器。有关服务器的信息显示在 KATA 集成 部分,在 KATA 服务器 设置组中。
页面顶端
更改 KATA 服务器
该应用程序仅提供与一个 KATA 服务器集成的功能。如果要配置与其他服务器的集成,可以更改 KATA 服务器。
要更改 KATA 服务器:
- 在应用程序 web 界面中,选择 设置 → 外部服务 → KATA 集成区域。
- 在 KATA 服务器 设置组,单击 更改。
编辑 KATA 服务器 窗口将打开。
- 在 IP 地址 字段中,输入安装中央节点组件的 KATA 服务器的完全限定域名 (FQDN) 或 IPv4/IPv6 地址。
- 单击 下一步。
确认 KATA 服务器 窗口将打开。
- 检查输入的数据并确保在 web 界面中显示的证书指纹与 KATA 服务器的证书指纹匹配。如果指纹匹配,单击 确认。
将更改 KATA 服务器。
页面顶端
删除 KATA 服务器
要删除 KATA 服务器:
- 在应用程序 web 界面中,选择 设置 → 外部服务 → KATA 集成区域。
- 在 KATA 服务器 设置组,单击 删除。
- 在确认窗口,单击 是。
KATA 服务器将被删除。仪表板 和 节点 区域中关于与 KATA 集成的信息窗格将不再显示。不会删除有关应用程序事件日志和 Syslog 中以前处理的对象的记录。
页面顶端
选择集成模式
仅当添加了 KATA 服务器时,才能选择集成模式。
要选择与 KATA 集成的模式:
- 在应用程序 web 界面中,选择 设置 → 外部服务 → KATA 集成区域。
- 在 KATA 集成模式 设置组,使用以下切换开关启用必要的集成模式:
- 接收对象。
Kaspersky Web Traffic Security 将接收 KATA 检测到的对象并在保护规则和默认保护策略中使用有关这些对象的信息。
- 上传文件。
Kaspersky Web Traffic Security 将在 KATA 中被授权为外部系统。来自符合定义条件的已扫描用户流量的文件将被发送到 KATA。Kaspersky Web Traffic Security 将不会等待扫描已发送文件的结果。
这些模式彼此独立工作。您可以启用其中一种模式或同时启用两种模式。
- 接收对象。
- 单击 保存。
将选择与 KATA 集成的模式。根据所选模式,节点 区域显示有关集成状态的信息窗格。
页面顶端
重新创建一个 KWTS 证书
如果 Kaspersky Web Traffic Security 证书被破坏,KATA 管理员可以取消 KWTS 作为外部系统的授权。如果是这种情况,您必须在 KWTS web 界面中创建一个新的证书并在 KATA 中在此完成授权。
要在 KATA 中重新创建 KWTS 授权的证书:
- 在应用程序 web 界面中,选择 设置 → 外部服务 → KATA 集成区域。
- 在 KWTS 凭据 设置组,单击 生成新证书。
- 在确认窗口,单击 是。
将创建新的 KWTS 证书。KWTS 凭据 设置组显示新证书的 SensorID 和指纹。
页面顶端
配置 KATA 缓存设置
如果启用 接收对象 模式,Kaspersky Web Traffic Security 会将 KATA 检测到的对象的相关信息保存在 KATA 缓存中的所有集群节点上。应用保护规则和默认策略时,应用程序会考虑到信息已存储在 KATA 缓存中的那些对象。
要配置 KATA 缓存设置:
- 在应用程序 web 界面中,选择 设置 → 外部服务 → KATA 集成区域。
- 在 KATA 缓存 设置组,在 缓存存储期(小时) 字段中,输入 KATA 检测到的对象的信息的时间量(小时)。
有效值从 1 到 48。默认设置为 48。
- 如果要清除 KATA 缓存,单击 重置缓存 按钮并单击确认窗口中的 是。
此操作的信息写入应用程序事件日志和通过 Syslog 协议的操作系统日志。
KATA 缓存设置现已配置。
页面顶端
KATA 集成仪表板
要检查 Kaspersky Web Traffic Security 与 KATA 的集成状态:
- 在应用程序 web 界面中,选择 节点 区域。
这将打开包含集群节点信息的窗格。页面显示有关与 KATA 集成的以下信息窗格:
- 上传文件到 KATA。具有文件传输到 KATA 服务器状态的群集节点数:
- 无错误。所有文件已成功发送到 KATA 服务器。
- 已禁用。上传文件 集成模式被禁用。
- 错误。最后一刻上传文件到 KATA 服务器时发生错误。
- 从 KATA 接收对象。具有接收 KATA 检测到对象的状态的群集节点数:
- 无错误。已成功接收所有 KATA 检测到的对象。
- 已禁用。接收对象 集成模式被禁用。
- 错误。接收 KATA 检测到的对象时出错。
- 上传文件到 KATA。具有文件传输到 KATA 服务器状态的群集节点数:
- 单击其中一个有关与 KATA 集成的信息窗格中的 查看详情 链接。
KATA 集成 页面将打开。
- 在右上角的下拉列表中,选择数据显示时间段和您要查看的集群节点。
KATA 集成 页面显示以下信息:
页面顶端
Syslog 事件日志
您可以配置通过
协议(以下也简称为”Syslog 事件日志”)将 流量处理事件、应用程序的系统事件 和 KATA 服务器文件传输事件 记录到事件日志。有关事件的信息记录在日志的单独类别中,该类别在 Syslog 设置中指定。有关每个事件的信息将作为单独的 syslog 消息发送。syslog 消息的文本对应于应用程序 web 界面的 事件 区域中显示的事件信息。
建议使用 TCP 协议通过 Syslog 协议远程记录事件。Syslog 服务器使用的网络端口必须开启。
配置 Syslog 参数
当配置 Kaspersky Web Traffic Security 设置时,建议您考虑到操作系统中配置的 Syslog 的设置。
要配置 Syslog 设置:
- 在应用程序 web 界面窗口中,选择 设置 → 日志和事件 → Syslog 区域。
- 在 Syslog 工具 下拉列表中,选择您想要记录事件信息的日志类别。
默认值是 Local1。
如果部署了应用程序 ISO 镜像,则该参数无法更改。
- 在 事件级别 下拉列表中,选择您想要通过 Syslog 协议记录的事件的严重级别。
- 错误 应用程序运行时间错误消息。
流量处理事件不会被记录在 Syslog 事件日志中。
- 信息 – 有关应用程序运行时间错误和流量处理事件的消息。
- 错误 应用程序运行时间错误消息。
- 如果技术支持工作人员要求您启用记录应用程序在 Syslog 事件日志中处理的流量流的容量和参数信息,请将 记录有关流量配置文件的信息 切换开关设为 已启用。
启用该选项会提高对安装了应用程序的服务器的磁盘空间要求并影响应用程序性能。不建议在没有技术支持工作人员要求的情况下启用该选项。
已配置通过 Syslog 协议记录事件。
页面顶端
有关流量处理事件的 syslog 消息的内容
每个 syslog 日志消息都包含由操作系统中的 Syslog 协议参数定义的以下字段:
- 事件的日期和事件;
- 发生事件的主机名称;
- 应用程序的名称(值始终是
KWTS)。
有关流量处理事件的 syslog 消息的字段,由应用程序选项定义,具有 <密钥>="<值>”格式。如果密钥具有多个值,则这些值将用逗号分隔。冒号用作密钥之间的分隔符。
示例:
|
下表中显示了这些密钥及其包含在消息中的值。
有关 syslog 消息中的流量处理事件的信息
密钥 |
说明和可能的值 |
|---|---|
|
HTTP 消息的类型。其值可能为 |
|
HTTP 请求方法。 |
|
对检测到的对象执行的操作。它可以采用以下值之一:
|
|
导致 web 资源被阻止的流量处理规则的名称。 其将用以下格式显示:
|
|
导致用户重定向到指定 URL 的流量处理规则的名称。 其将用以下格式显示:
|
|
HTTP 消息处理持续时间(毫秒)。 计算时间为从 HTTP 消息标头处理开始到完成的扫描记录保存在应用程序事件日志和 Syslog 事件日志中为止。 |
|
HTTP 消息扫描结果。 如果检测到多个威胁,系统将显示优先级最高的威胁。 如果威胁已被清除或未被检测到,优先级最高的扫描结果将显示在 (已清除, 未检测到, 未扫描) 中。 |
|
与流量处理事件相关联的工作区名称。如果没有工作区,则显示一个破折号。 |
|
初始化 HTTP 请求的用户账户名称。 |
|
发起了 HTTP 请求的客户端应用程序。 |
|
从其发送 HTTP 请求的计算机的 IP 地址。 |
|
用户请求了的 web 资源的 URL。 |
|
从 URL 扫描结果以检查它们是否与 KATA 检测到的对象匹配。 可以使用以下值:
|
对于多部分 MIME 类型对象,提供给所有组成部分的信息。对于每个组成部分, 例如, |
|
|
扫描对象的名称。 如果 HTTP 消息不包含任何对象,则指示 |
|
扫描对象的大小。 如果 HTTP 消息不包含对象或应用规则不需要文件大小,将指示 |
|
多部分对象组成部分的 MIME 类型。使用 Content-Type 标头。 如果 HTTP 消息不包含对象或应用规则不需要 MIME 类型定义,将指示 |
|
检查对象是否必须发送到 KATA 服务器的结果。 可以使用以下值:
|
|
应用程序分配给对象的 ID。 当检查对象是否必须被发送到 KATA 服务器时,只有当分配给以下一个状态时才会传输 ID:
对于其它状态,系统将发送空白值的“ |
|
以下格式的触发流量处理规则的名称:
如果规则未与工作区关联,则会显示一个破折号,而不是工作区名称。 如果规则不是一组规则的一部分,则会显示一个破折号,而不是组名称。 如果没有应用流量处理规则,将应用默认保护策略。将显示 |
|
由反病毒模块扫描 web 资源的结果。 可以使用以下值:
|
|
反钓鱼模块扫描 web 资源的结果。 可以使用以下值:
|
|
扫描链接查找恶意对象的结果。 可以使用以下值:
|
|
有关扫描对象的加密的信息。 可以使用以下值:
|
|
有关扫描对象中是否存在宏的信息。 可以使用以下值:
|
|
扫描包含在 HTTP 消息或组成部分(对于多部分对象)中的文件以检查它们是否与 KATA 检测到的对象匹配的结果。 可以使用以下值:
|
有关应用程序的系统事件的 syslog 消息的内容
应用程序的系统事件包含有关集群节点的状态、应用程序模块和授权许可的信息。
所有类型事件的每个 syslog 消息都包含由操作系统中的 Syslog 协议参数定义的以下字段:
- 事件的日期和事件;
- 发生事件的主机名称;
- 应用程序的名称(值始终是
KWTS)。
示例:
|
下表列出了与每种类型的系统事件相对应的 syslog 消息的内容。
与系统事件类型相对应的 syslog 消息的内容
事件类型 |
事件说明 |
消息 |
|---|---|---|
应用程序已开启/已停止 |
应用程序已开启 |
|
应用程序已停止 |
|
|
反病毒模块数据库更新 |
数据库加载错误 |
|
数据库更新错误 |
|
|
数据库已成功加载 |
|
|
数据库已成功更新 |
|
|
反钓鱼模块数据库更新 |
数据库加载错误 |
|
数据库更新错误 |
|
|
数据库已成功加载 |
|
|
数据库已成功更新 |
|
|
授权许可 |
授权许可已到期。 |
|
授权许可错误 |
|
|
授权许可密钥被列入黑名单 |
|
|
应用程序激活前阻止激活码 |
|
|
授权许可丢失 |
|
|
激活码已成功添加 |
|
|
授权许可密钥状态已成功更新 |
|
|
激活码已成功删除 |
|
|
授权许可即将到期 |
|
|
授权许可宽限期有效 |
|
|
授权许可有效 |
|
|
进程 |
应用程序进程已崩溃(在多次崩溃的情况下,消息指定崩溃的次数和发生的时间段) |
|
重启应用程序进程(在进程多次重启的情况下,消息指定重启的次数和发生的时间段) |
|
有关文件传输到 KATA 服务器的事件的 syslog 消息的内容
关于文件计划进行 KATA 上传以及上传文件到 KATA 的结果信息会通过 Syslog 协议写入操作系统日志。
每个 syslog 日志消息都包含由操作系统中的 Syslog 协议参数定义的以下字段:
- 事件的日期和事件;
- 发生事件的主机名称;
- 应用程序的名称(值始终是
KWTS)。
请输入 KATA 上传计划 字段,否则 KATA 上传 字段将根据事件类型进行传输。Syslog 消息字段由应用程序设置定义,格式为 <key>="<value>"。如果密钥具有多个值,则这些值将用逗号分隔。冒号用作密钥之间的分隔符。
示例:
|
下表中显示了这些密钥及其包含在消息中的值。
有关系统日志消息中文件上传到 KATA 服务器的事件信息
密钥 |
说明和可能的值 |
|---|---|
|
计划文件上传或上传文件的结果。 可以使用以下值:
|
|
HTTP 消息的类型。 可以使用以下值:
|
|
用来用文件执行操作的用户账户。 |
|
从其发送文件的计算机的 IP 地址。 |
|
用户请求了的 web 资源的 URL。 |
|
应用程序分配给文件的 ID。 |
|
被发送文件的名称。 |
|
被发送文件的类型。 |
通过 SNMP 协议管理应用程序
SNMP (简单网络管理协议) 是一种网络设备管理协议。
对于通过 SNMP 协议进行的操作,Kaspersky Web Traffic Security 使用跟踪有关应用程序操作的信息。Kaspersky Web Traffic Security 可以将此信息作为,有关应用程序事件的通知发送。
对于通过 SNMP 协议执行的操作,必须在操作系统中预配置 snmpd 服务。
The SNMP 协议允许您访问有关应用程序的以下信息:
- 通用信息:
- 从安装之时起 的 Kaspersky Web Traffic Security 的统计数据
- 应用程序的有关运行事件的信息。
对信息的访问权限是只读。
通过 SNMP 协议发送的有关 SNMP 陷阱的信息存储在 MIB 数据库。
在操作系统中配置 snmpd 服务
要配置 snmpd 服务:
- 将以下字符串添加到文件 /etc/snmp/snmpd.conf 用于通过 UNIX 套件进行连接:
master agentxagentXSocket unix:/var/run/agentx-master.socketagentXPerms 770 770 kluser klusers - 充启 snmpd 服务。为此,请执行命令:
service snmpd restart
将配置 snmpd 服务。若要使应用程序能够通过 SNMP 协议运行,必须在应用程序 web 界面中启用其使用。
如果 snmpd 服务是在安装 Kaspersky Web Traffic Security 之前配置的,则应用程序数据可能会通过 SNMPD 协议错误传输。在这种情况下,必须再次重启 snmpd 服务。
页面顶端
在应用程序中启用和禁用 SNMP
要在应用程序中启用和禁用 SNMP:
- 在应用程序 web 界面窗口中,选择 设置 → 日志和事件 → SNMP 区域。
- 执行以下操作之一:
- 如果想要启用 SNMP,请选择 使用 SNMP 设置组名称旁边的复选框。
- 如果想要禁用 SNMP,请清除 使用 SNMP 设置组名称旁边的复选框。
- 单击 保存。
配置 SNMP 服务器连接设置
要配置 SNMP 服务器连接设置,请:
- 在应用程序 web 界面窗口中,选择 设置 → 日志和事件 → SNMP 区域。
- 在 接口类型 下拉列表中,选择连接 SNMP 服务器的接口。
建议选择 UNIX 以保证通信安全。
- 如果您选择 UNIX, 请在 UNIX 接口路径 框中输入接口文件的路径。
- 如果您在 SNMP 服务器地址 设置组中选择 TCP,请输入 SNMP 服务器的 IP 地址或主机名称以及 SNMP 服务器连接端口。
- 在 服务器超时(秒) 框中,输入 SNMP 服务器最长响应等候时间(秒)。可以输入从 1 到 255 秒之间的值。
默认设置为 15 秒。
- 单击 保存。
已配置 SNMP 服务器连接。
启用和禁用 SNMP 陷阱发送
要启用或禁用发送应用程序事件的 SNMP 陷阱:
- 在应用程序 web 界面窗口中,选择 设置 → 日志和事件 → SNMP 区域。
- 如果被清除,请选择 使用 SNMP 组名称旁边的复选框。
- 执行以下操作之一:
- 如果想要启用发送 SNMP 陷阱,请选择 发送 SNMP 陷阱 复选框。
- 如果想要禁用发送 SNMP 陷阱,请清除 发送 SNMP 陷阱 复选框。
- 单击 保存。
已配置 SNMP 陷阱发送。
配置 SNMP 连接的加密
第三方程序可以访问通过 SNMP 发送的数据或用自己的数据替代那些数据。为了确保通过 SNMP 的通信安全,我们建议您配置 SNMP 连接的加密。
在配置之前,请确保在安装了 Kaspersky Web Traffic Security 的所有服务器上安装 snmpd 和 snmptrapd 服务。
要配置 SNMP 连接的加密:
- 添加以下行到 /etc/snmp/snmpd.conf 文件:
view systemview included .1 - 接收 EngineID,这是处理 SNMP 陷阱所必需的。为此,在主服务器上运行该命令:
snmpget -v2c -cpublic localhost SNMP-FRAMEWORK-MIB::snmpEngineID.0 2>/dev/null | sed -ne 's/ //g; s/.*:/0x/p' - 在作为集群一部分的每台服务器上配置 snmpd 服务。要执行此操作:
- 停止 snmpd 服务。为此,请执行命令:
service snmpd stop - 创建一个新用户。为此,请执行命令:
net-snmp-create-v3-user -ro -a SHA -A <密码> -x <密码> -X AES kwts-snmp-user - 创建含以下内容的 /etc/snmp/snmpd.conf 配置文件:
# 通过 unix 接口接受 KWTS 统计数据agentXSocket unix:/var/run/agentx-master.socketagentXPerms 770 770 kluser klusersmaster agentx# 通过 UDP 和 TCP 接受入站 SNMP 请求agentAddress udp:localhost:161,tcp:localhost:161rouser kwts-snmp-user priv .1.3.6.1#如果您不需要通过 SNMPv3 连接转发 SNMP 陷阱,请注释以下行trapsess -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <密码> -x AES -X <密码> udp:localhost:162 - 将以下字符串添加到配置文件/etc/snmp/snmpn. conf:
mibdirs +/opt/kaspersky/kwts/share/snmp-mibs/mibs all - 启动 snmpd 服务。为此,请执行命令:
service snmpd start - 检查 SNMP 连接。为此,请运行以下命令:
snmpwalk -mALL -v3 -l authPriv -u kwts-snmp-user -a SHA -A <密码> -x AES -X <密码> udp:localhost:161 .1.3.6.1.4.1.23668snmpget -v3 -l authPriv -u kwts-snmp-user -a SHA -A <密码> -x AES -X <密码> udp:localhost:161 .1.3.6.1.4.1.23668.2022.2.8.1.0
- 停止 snmpd 服务。为此,请执行命令:
- 在想要接收 SNMP 陷阱的服务器上配置 snmptrapd 服务。要执行此操作:
- 停止 snmptrapd 服务。为此,请执行命令:
service snmptrapd stop - 根据您的操作系统,打开以下配置文件进行编辑:
- Ubuntu 或 Debian。
/var/lib/snmpd/snmptrapd.conf
- CentOS、SUSE Linux Enterprise Server、ALT Server 或 Red Hat Enterprise Linux。
/var/lib/net-snmp/snmptrapd.conf
如果指定目录中不存在配置文件,请创建。
- Ubuntu 或 Debian。
- 将下列行添加到配置文件:
createUser -e <EngineID> kwts-snmp-user SHA “<密码>” AES “<密码>” - 创建含以下内容的 /etc/snmp/snmptrapd.conf 配置文件:
snmpTrapdAddr udp:<IP-地址>:162,tcp:127.0.0.1:162authUser log kwts-snmp-user privdisableAuthorization no作为
<IP-地址>,指定 snmptrapd 服务用来接收网络连接的 IP 地址。 - 启动 snmptrapd 服务。为此,请执行命令:
service snmptrapd start - 使用以下命令检查 SNMP 连接:
snmptrap -e <EngineID> -v3 -l authPriv -u kwts-snmp-user -a SHA -A <密码> -x AES -X <密码> udp:localhost:162 0 .1.3.6.1.4.1.23668.2022.1.411
- 停止 snmptrapd 服务。为此,请执行命令:
已配置 SNMP 连接加密。
页面顶端
Kaspersky Web Traffic Security 的 MIB 对象的说明
以下表格提供有关 Kaspersky Web Traffic Security 的
对象的信息。集群管理事件
集群管理事件
对象识别符(OID) |
符号名称 |
说明 |
参数 |
|---|---|---|---|
.1.3.6.1.4.1.23668.2022.1.1600 |
clusterConsistencyErrorEvent |
服务器状态错误。例如,没有带角色控制的节点的服务器。 |
|
.1.3.6.1.4.1.23668.2022.1.1610 |
clusterEmergencyStateEvent |
应用程序已切换到紧急模式。 |
|
.1.3.6.1.4.1.23668.2022.1.1620 |
settingsSynchronizationErrorEvent |
在带角色控制的节点和带角色辅助的节点之间同步设置时出错。 |
|
流量处理事件
流量处理事件
对象识别符(OID) |
符号名称 |
说明 |
参数 |
|---|---|---|---|
.1.3.6.1.4.1.23668.2022.1.420 |
productStartEvent |
应用程序已开启。Kaspersky Web Traffic Security 操作所需的所有服务都已启动后,将发生此事件。 |
无参数。 |
.1.3.6.1.4.1.23668.2022.1.400 |
taskCrashEvent |
应用程序进程崩溃。 |
二进制文件的完整路径。 |
.1.3.6.1.4.1.23668.2022.1.410 |
taskRestartEvent |
应用程序进程已重启。 |
二进制文件的完整路径。 |
.1.3.6.1.4.1.23668.2022.1.300 |
licenseInstalledEvent |
激活码已添加。 |
授权许可序列号。 |
.1.3.6.1.4.1.23668.2022.1.360 |
licenseUpdatedEvent |
授权许可密钥状态已更改。 |
|
.1.3.6.1.4.1.23668.2022.1.310 |
licenseRevokedEvent |
激活码已删除。 |
授权许可序列号。 |
.1.3.6.1.4.1.23668.2022.1.330 |
licenseExpiredEvent |
授权许可已到期。 |
|
.1.3.6.1.4.1.23668.2022.1.320 |
licenseExpiresSoonEvent |
授权许可即将到期。 |
|
.1.3.6.1.4.1.23668.2022.1.340 |
licenseTrialPeriodIsOverEvent |
试用授权许可已到期。 |
|
.1.3.6.1.4.1.23668.2022.1.380 |
gracePeriodEvent |
授权许可宽限期已开始。 |
|
.1.3.6.1.4.1.23668.2022.1.10 |
updateErrorEvent |
应用程序数据库更新以错误结束。 |
错误原因。 |
.1.3.6.1.4.1.23668.2022.1.100 |
avBasesOutdatedEvent |
反病毒模块数据库已过期。 |
无参数。 |
.1.3.6.1.4.1.23668.2022.1.120 |
avBasesObsoletedEvent |
反病毒模块数据库已严重过期。 |
无参数。 |
.1.3.6.1.4.1.23668.2022.1.150 |
apBasesOutdatedEvent |
反钓鱼模块数据库已过期。 |
无参数。 |
.1.3.6.1.4.1.23668.2022.1.160 |
apBasesObsoletedEvent |
反钓鱼模块数据库已严重过期。 |
无参数。 |
其他应用程序事件
其他应用程序事件
对象识别符(OID) |
符号名称 |
说明 |
参数 |
|---|---|---|---|
.1.3.6.1.4.1.23668.2022.1.700 |
KsnConnectionStatusEvent |
更改与 KSN 服务的连接状态。 |
新连接状态:
|
.1.3.6.1.4.1.23668.2022.1.910 |
LdapCacheUpdateEvent |
使用 Active Directory 启动数据同步。 |
|
应用程序统计
应用程序统计
对象识别符(OID) |
符号名称 |
说明 |
|---|---|---|
.1.3.6.1.4.1.23668.2022.2.8.1 |
productName |
应用程序名称。 |
.1.3.6.1.4.1.23668.2022.2.8.2 |
productVersion |
应用程序版本 |
.1.3.6.1.4.1.23668.2022.2.8.3 |
installDate |
应用程序安装日期。 |
.1.3.6.1.4.1.23668.2022.2.8.4 |
licenseExpireDate |
授权许可到期日期。 |
.1.3.6.1.4.1.23668.2022.2.8.5 |
licenseStatus |
激活码状态。 |
反病毒模块统计。
反病毒模块统计。
对象识别符(OID) |
符号名称 |
说明 |
|---|---|---|
.1.3.6.1.4.1.23668.2022.2.8.5 |
cleanObjects |
未检测到威胁的对象数量。 |
.1.3.6.1.4.1.23668.2022.2.2.2 |
infectedObjects |
受感染对象的数量。 |
.1.3.6.1.4.1.23668.2022.2.2.3 |
passwordProtectedObjects |
受密码保护的对象的数量。 |
.1.3.6.1.4.1.23668.2022.2.2.4 |
docsWithMacro |
包含宏的文件数量。 |
.1.3.6.1.4.1.23668.2022.2.2.5 |
scanErrors |
只要超过最长扫描时间就发生的错误数量。 |
.1.3.6.1.4.1.23668.2022.2.2.6 |
notScannedSettingsObjects |
未根据流量处理规则的设置进行扫描的对象数。 |
.1.3.6.1.4.1.23668.2022.2.2.7 |
notScannedDueToNestingLevel |
由于超出了允许的存档扫描深度而未扫描的对象数。 |
单点登录授权
启用单点登录后,用户无需输入其凭证即可连接到 Web 界面。使用域用户账户执行身份验证。
推荐使用 Kerberos 身份验证,因为它更安全。如果使用 NTLM 身份验证,黑客可以通过拦截网络流量来访问用户密码哈希。
创建 keytab 文件
您可以使用相同的用户账户在集群的所有节点上进行身份验证。为此,您必须为这些节点中的每一个创建一个包含 的 keytab 文件。创建 keytab 文件时,必须使用属性生成salt(哈希函数修饰符)。
生成的盐必须使用您选择的方法进行保存,以便随后将新的 SPN 添加到 keytab 文件中。
您还可以为要为其配置 Kerberos 身份验证的每个集群节点创建单独的 Active Directory 用户账户。
在您创建 keytab 文件之前
在创建 keytab 文件之前,对于每个 SPN,请确保它未在 Active Directory 中注册。您可以通过运行以下命令来执行此操作:setspn -Q <SPN>,其中 <SPN> 具有以下结构:HTTP/<集群节点的完全限定域名 (FQDN)>@<Active Directory 域的领域名称(大写)>。
该命令应返回“未找到这样的 SPN”,这意味着所讨论的 SPN 未注册。如果 SPN 已注册,则在创建 keytab 文件之前,您需要从账户中取消分配 SPN 或在分配了此 SPN 的 Active Directory 中删除账户本身。
检查一个控制节点和辅助节点的 SPN 的示例: setspn -Q HTTP/control-01.test.local@TEST.LOCAL setspn -Q HTTP/secondary-01.test.local@TEST.LOCAL setspn -Q HTTP/secondary-02.test.local@TEST.LOCAL |
创建 keytab 文件
使用域管理员账户,在域控制器服务器或属于该域的 Windows Server 计算机上创建 keytab 文件。
要使用单个用户账户创建 keytab 文件:
- 在“Active Directory 用户和计算机”管理单元中,创建一个用户账户,例如
control-user。 - 要使用 AES256-SHA1 加密算法,请在 Active Directory 用户和计算机管理单元中执行以下操作:
- 打开创建的账户的属性。
- 在账户选项卡中,选择此账户支持 Kerberos AES 256 位加密复选框。
- 使用 ktpass 实用程序为
control-user创建 keytab 文件。为此,请在命令行运行以下命令:C:\Windows\system32\ktpass.exe -princ HTTP/<控制节点的完全限定域名 (FQDN)>@<大写领域 Active Directory 域名> -mapuser control-user@<大写领域 Active Directory 域名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <文件路径>\<文件名>.keytab运行该命令时,实用程序将提示您输入
control-user密码。带角色控制的节点的 SPN 将被添加到创建的 keytab 文件中。将显示生成的盐:
带有盐“<哈希值>”的哈希密码。 - 对于集群的每个节点,将 SPN 条目添加到 keytab 文件中。为此,请运行以下命令:
C:\Windows\system32\ktpass.exe -princ HTTP/<节点的完全限定域名 (FQDN)>@<大写领域 Active Directory 域名> -mapuser control-user@<大写领域 Active Directory 域名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <先前创建的文件的路径和名称>.keytab -out <路径和新名称>.keytab -setupn -setpass -rawsalt "<在第 3 步创建 keytab 文件时获得的 salt 的哈希值>"运行该命令时,实用程序将提示您输入
control-user密码。
将创建 keytab 文件。此文件将包含集群节点的所有已添加的 SPN。
示例: 例如,您需要创建包含以下 3 个节点的 SPN 的 keytab 文件: 要在 C:\keytabs\ 文件夹中创建包含控制节点 SPN 的
假定您获得了盐 要再添加一个 SPN,必须运行以下命令:
要添加第三个 SPN,您必须运行以下命令:
这将导致创建一个名为 |
要针对每个节点使用单独的用户账户创建 keytab 文件:
- 在“Active Directory 用户和计算机”管理单元中,为每个集群节点创建一个单独的用户账户(例如,名称为
control-user、secondary1-user、secondary2-user等的用户账户)。 - 要使用 AES256-SHA1 加密算法,请在 Active Directory 用户和计算机管理单元中执行以下操作:
- 打开创建的账户的属性。
- 在账户选项卡中,选择此账户支持 Kerberos AES 256 位加密复选框。
- 使用 ktpass 实用程序为
control-user创建 keytab 文件。为此,请在命令行运行以下命令:C:\Windows\system32\ktpass.exe -princ HTTP/<控制节点的完全限定域名 (FQDN)>@<大写领域 Active Directory 域名> -mapuser control-user@<大写领域 Active Directory 域名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out <文件路径>\<文件名>.keytab运行该命令时,实用程序将提示您输入
control-user密码。带角色控制的节点的 SPN 将被添加到创建的 keytab 文件中。
- 对于集群的每个节点,将 SPN 条目添加到 keytab 文件中。为此,请运行以下命令:
C:\Windows\system32\ktpass.exe -princ HTTP/<节点的完全限定域名 (FQDN)>@<大写领域 Active Directory 域名> -mapuser secondary1-user@<大写领域 Active Directory 域名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <先前创建的文件的路径和名称>.keytab -out <路径和新名称>.keytab运行该命令时,实用程序将提示您输入
secondary1-user密码。
将创建 keytab 文件。此文件将包含集群节点的所有已添加的 SPN。
示例: 例如,您需要创建包含以下 3 个节点的 SPN 的 keytab 文件: 要在 C:\keytabs\ 文件夹中创建包含控制节点 SPN 的
要再添加一个 SPN,必须运行以下命令:
要添加第三个 SPN,您必须运行以下命令:
这将导致创建一个名为 |
在您创建 keytab 文件之后
在创建 keytab 文件之后,对于每个 SPN,确保它已注册并分配给相关账户。您可以通过运行以下命令来执行此操作:setspn -Q <SPN>,其中 <SPN> 具有以下结构:HTTP/<集群节点的完全限定域名 (FQDN)>@<Active Directory 域的领域名称(大写)>。
该命令必须返回“找到现有的 SPN”以及分配了 SPN 的账户。
此外,创建 keytab 文件后,您可以检查分配给相关账户的 SPN 列表。为此,您可以运行以下命令:setspn -L <账户>,其中<账户>具有以下结构:<用户名>@<Active Directory 域的领域名称(大写)>。
如果使用一个账户创建了 keytab 文件,则该命令应返回为其创建 keytab 文件的所有 SPN 的列表。如果为每个节点创建了单独账户的 keytab 文件,则该命令应返回一个分配给特定账户的 SPN。
针对一个账户的示例命令: setspn -L control-user@TEST.LOCAL 每个节点单独账户的示例命令: setspn -L control-user@TEST.LOCAL setspn -L secondary1-user@TEST.LOCAL setspn -L secondary2-user@TEST.LOCAL |
配置 Kerberos 身份验证
要使用 Kerberos 身份验证,确保
存在 DNS 系统的在每个群集节点的完全限定域名(FQDN) 和 URL 的反向查找区域中(如果 URL 与 FQDN 不同)。如果您要用名称包含根域名 .local 的域来配置身份验证,您必须完成以下步骤以便操作系统准备进行正确的 Kerberos 身份验证。
要配置
:- 在应用程序 web 界面窗口中,选择 设置 → 应用程序访问 → 单点登录登录名 区域。
- 在 Kerberos 身份验证 设置区域,将 使用 Kerberos 切换开关设置为 已启用。
- 单击 上传 按钮可上传 以前创建的 keytab 文件。
Keytab 文件必须包含带角色控制的节点和带角色辅助的节点的 SPN。
文件选择窗口将打开。
- 选择 keytab 文件并单击 打开。
- 单击 保存。
如果带角色控制的节点的 SPN 和带角色辅助的节点的 SPN 未在 keytab 文件中找到,在 节点 区域将显示此节点的 Kerberos 单点登录没有 SPN 状态。如果任何节点的 SPN 未在 keytab 文件中找到,则 保存 按钮不可用。
将配置 kerberos 身份验证。在 Active Directory 中完成身份验证的用户将能够使用单点登录授权连接到应用程序 web 界面。对应用程序功能的访问将由应用程序账户的权限决定。
Kerberos 身份验证被禁用时,之前已上传的 keytab 文件将会删除。
页面顶端
配置 NTLM 身份验证
要配置
:- 在应用程序 web 界面窗口中,选择 设置 → 应用程序访问 → 单点登录登录名 区域。
- 在 NTLM 身份验证 设置组,将 使用 NTLM 切换开关设置为 已启用。
- 在 域控制器 IP 地址/域名 字段中,指定将用于身份验证的域控制器的 IP 地址或域名。
您可以指定两个域控制器。要添加第二个控制器,请按
按钮。 - 在 端口 字段中,指定要连接到域控制器的端口。
默认端口号是445。
- 单击 保存。
将配置 NTLM 身份验证。在 Active Directory 中完成身份验证的用户将能够使用单点登录授权连接到应用程序 web 界面。对应用程序功能的访问将由应用程序账户的权限决定。
从不属于域的计算机进行连接时,用户必须指定其域账户凭据。
页面顶端
在应用程序的 web 界面管理内置代理服务器设置
当部署 Kaspersky Web Traffic Security ISO 镜像时,您可以通过应用程序 web 界面管理内置代理服务器设置。
在应用程序 web 界面中,您可以配置以下设置:
- 用于连接用户计算机到代理服务器的端口。
- 筛选应用程序的连接。
应用程序将不会仅处理从指定的 IP 地址接收的流量。
- 负载平衡器。
如果在多个服务器上安装了应用程序,则可以使用负载平衡器优化资源分配。
- 身份验证机制。
- 访问日志格式。
更改代理服务器连接端口
Port 3128 是用于连接用户计算机和代理服务器的默认端口。您可以更改此端口。
要更改代理服务器连接端口:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → 通用 区域。
- 在 连接设置 组,在 端口 字段中,指定用户计算机用于连接到代理服务器的端口。
可能的值为 1 到 65535,端口 22、80、443、705 和 9045 除外。
- 单击 保存。
代理服务器将被重启。重启完成前流量处理将被暂停。
代理服务器连接端口将被更改。
页面顶端
配置访问筛选器
如果希望通过 ISO 镜像部署的应用程序仅处理来自特定计算机的请求,则可以在访问筛选器中指定这些计算机的 IP 地址。
要配置访问筛选器:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → 通用 区域。
- 在 访问筛选器 设置组,将切换开关设置为 已启用。
- 在 允许的本地 IP 地址 字段,单击右下角的 编辑所有 链接。
IP 地址 窗口将打开。
- 在条目字段中,指定将由应用程序处理其收到的请求的计算机的 IP 地址。
指定多个地址时,将其用分号隔开。
您可以指定以下格式之一的 IP 地址:
- IPv4 地址(例如,
172.16.5.6)。 - 在 CIDR 标记中带掩码的 IPv4 地址(例如,
192.168.1.0/24)。 - IPv6 地址(例如,
2001:0db8:85a3:0000:0000:8a2e:0370:7334)。 - 在 CIDR 标记中带掩码的 IPv6 地址(例如,
fc00::/7)。
- IPv4 地址(例如,
- 单击 添加。
如果 IP 地址是有效格式,
图标将显示在其左侧。您可以使用行右侧的按钮删除此地址,并在验证已输入该地址后再次添加该地址。 - 单击 保存。
将配置访问筛选器。应用程序仅处理来自具有指定 IP 地址的计算机的请求。
页面顶端
配置负载平衡器
要配置负载平衡:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → 通用 区域。
- 在 负载平衡 设置组,将切换开关设置为 已启用。
- 根据负载平衡器支持的协议选择以下模式之一:
- 代理协议标头。
- HTTP 转发标头。
- 在 受信任的负载平衡器 字段,输入将由应用程序处理其流量的负载平衡器的 IP 地址。
确保指定的负载平衡器正在中继连接源的实际 IP 地址。将在选择流量处理规则时使用这些 IP 地址。
指定多个地址时,将其用分号隔开。
您可以指定以下格式之一的 IP 地址:
- IPv4 地址(例如,
172.16.5.6)。 - 在 CIDR 标记中带掩码的 IPv4 地址(例如,
192.168.1.0/24)。 - IPv6 地址(例如,
2001:0db8:85a3:0000:0000:8a2e:0370:7334)。 - 在 CIDR 标记中带掩码的 IPv6 地址(例如,
fc00::/7)。
- IPv4 地址(例如,
- 单击 保存。
如果您更改了 负载平衡 切换开关的位置或平衡模式,代理服务器将在保存更改时重启。重启完成前流量处理将被暂停。
现已配置负载平衡。
页面顶端
用户身份验证
应用程序支持 Kerberos- 和 NTLM 身份验证的配置。使用 NTLM 身份验证时,您可以配置域名扫描。这将有助于正确处理 NTLM 协议支持的不同用户域名格式。
推荐使用 Kerberos 身份验证,因为它是最可靠的机制。NTLM 身份验证允许黑客通过拦截网络流量来访问用户密码。
Microsoft 更新发布后(请参见ADV190023 LDAP Channel Binding 和 LDAP Signing了解详情),在 Kaspersky Web Traffic Security 中进行 NTLM 用户身份验证将不再有效。
对于两种身份验证,您都可以创建排除项,这可以让用户不用身份验证就访问 Web 资源。
配置 Kerberos 身份验证
您可以创建一个 keytab 文件并将已安装应用程序的所有服务器的 SPN 添加到其中。这将使用户能够在所有集群节点上使用自己的域账户完成身份验证。
要在代理服务器上配置 Kerberos 身份验证:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → 身份验证 区域。
- 在 Kerberos 字段,单击 设置 链接。
Kerberos 身份验证设置 窗口将打开。
- 设置切换开关到 已启用。
- 单击上传上传 keytab 文件。
如果之前已上传了 keytab 文件,要提换它,您必须单击 替换。
文件选择窗口将打开。
- 选择文件并单击 打开。
将上传 keytab 文件。
- 如果您要检查重复项的身份验证请求,请打开 使用重播缓存 切换开关。提供了更可靠的保护,但是会降低应用程序的性能。
- 单击 保存。
如果您更改了 已启用 或 使用重播缓存 切换开关的位置,代理服务器将在保存更改时重启。重启完成前流量处理将被暂停。
将配置 kerberos 身份验证。代理服务器仅处理来自完成了身份验证流程的用户的请求。
页面顶端
创建 keytab 文件
如果您已经为单点登录身份验证创建了 keytab 文件,您可以使用此文件在代理服务器上配置 Kerberos 身份验证。
您可以使用相同的用户账户在集群的所有节点上进行身份验证。为此,您必须为这些节点中的每一个创建一个包含服务主体名称 (SPN) 的 keytab 文件。创建 keytab 文件时,必须使用属性生成salt(哈希函数修饰符)。
生成的盐必须使用您选择的方法进行保存,以便随后将新的 SPN 添加到 keytab 文件中。
您还可以为要为其配置 Kerberos 身份验证的每个集群节点创建单独的 Active Directory 用户账户。
在您创建 keytab 文件之前
在创建 keytab 文件之前,对于每个 SPN,请确保它未在 Active Directory 中注册。您可以通过运行以下命令来执行此操作:setspn -Q <SPN>,其中 <SPN> 具有以下结构:HTTP/<集群节点的完全限定域名 (FQDN)>@<Active Directory 域的领域名称(大写)>。
该命令应返回“未找到这样的 SPN”,这意味着所讨论的 SPN 未注册。如果 SPN 已注册,则在创建 keytab 文件之前,您需要从账户中取消分配 SPN 或在分配了此 SPN 的 Active Directory 中删除账户本身。
检查一个控制节点和辅助节点的 SPN 的示例: setspn -Q HTTP/control-01.test.local@TEST.LOCAL setspn -Q HTTP/secondary-01.test.local@TEST.LOCAL setspn -Q HTTP/secondary-02.test.local@TEST.LOCAL |
创建 keytab 文件
使用域管理员账户,在域控制器服务器或属于该域的 Windows Server 计算机上创建 keytab 文件。
要使用单个用户账户创建 keytab 文件:
- 在“Active Directory 用户和计算机”管理单元中,创建一个用户账户,例如
control-user。 - 要使用 AES256-SHA1 加密算法,请在 Active Directory 用户和计算机管理单元中执行以下操作:
- 打开创建的账户的属性。
- 在账户选项卡中,选择此账户支持 Kerberos AES 256 位加密复选框。
- 使用 ktpass 实用程序为
control-user创建 keytab 文件。为此,请在命令行运行以下命令:C:\Windows\system32\ktpass.exe -princ HTTP/<控制节点的完全限定域名 (FQDN)>@<大写领域 Active Directory 域名> -mapuser control-user@<大写领域 Active Directory 域名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <文件路径>\<文件名>.keytab运行该命令时,实用程序将提示您输入
control-user密码。带角色控制的节点的 SPN 将被添加到创建的 keytab 文件中。将显示生成的盐:
带有盐“<哈希值>”的哈希密码。 - 对于集群的每个节点,将 SPN 条目添加到 keytab 文件中。为此,请运行以下命令:
C:\Windows\system32\ktpass.exe -princ HTTP/<节点的完全限定域名 (FQDN)>@<大写领域 Active Directory 域名> -mapuser control-user@<大写领域 Active Directory 域名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <先前创建的文件的路径和名称>.keytab -out <路径和新名称>.keytab -setupn -setpass -rawsalt "<在第 3 步创建 keytab 文件时获得的 salt 的哈希值>"运行该命令时,实用程序将提示您输入
control-user密码。
将创建 keytab 文件。此文件将包含集群节点的所有已添加的 SPN。
示例: 例如,您需要创建包含以下 3 个节点的 SPN 的 keytab 文件: 要在 C:\keytabs\ 文件夹中创建包含控制节点 SPN 的
假定您获得了盐 要再添加一个 SPN,必须运行以下命令:
要添加第三个 SPN,您必须运行以下命令:
这将导致创建一个名为 |
要针对每个节点使用单独的用户账户创建 keytab 文件:
- 在“Active Directory 用户和计算机”管理单元中,为每个集群节点创建一个单独的用户账户(例如,名称为
control-user、secondary1-user、secondary2-user等的用户账户)。 - 要使用 AES256-SHA1 加密算法,请在 Active Directory 用户和计算机管理单元中执行以下操作:
- 打开创建的账户的属性。
- 在账户选项卡中,选择此账户支持 Kerberos AES 256 位加密复选框。
- 使用 ktpass 实用程序为
control-user创建 keytab 文件。为此,请在命令行运行以下命令:C:\Windows\system32\ktpass.exe -princ HTTP/<控制节点的完全限定域名 (FQDN)>@<大写领域 Active Directory 域名> -mapuser control-user@<大写领域 Active Directory 域名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out <文件路径>\<文件名>.keytab运行该命令时,实用程序将提示您输入
control-user密码。带角色控制的节点的 SPN 将被添加到创建的 keytab 文件中。
- 对于集群的每个节点,将 SPN 条目添加到 keytab 文件中。为此,请运行以下命令:
C:\Windows\system32\ktpass.exe -princ HTTP/<节点的完全限定域名 (FQDN)>@<大写领域 Active Directory 域名> -mapuser secondary1-user@<大写领域 Active Directory 域名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <先前创建的文件的路径和名称>.keytab -out <路径和新名称>.keytab运行该命令时,实用程序将提示您输入
secondary1-user密码。
将创建 keytab 文件。此文件将包含集群节点的所有已添加的 SPN。
示例: 例如,您需要创建包含以下 3 个节点的 SPN 的 keytab 文件: 要在 C:\keytabs\ 文件夹中创建包含控制节点 SPN 的
要再添加一个 SPN,必须运行以下命令:
要添加第三个 SPN,您必须运行以下命令:
这将导致创建一个名为 |
在您创建 keytab 文件之后
在创建 keytab 文件之后,对于每个 SPN,确保它已注册并分配给相关账户。您可以通过运行以下命令来执行此操作:setspn -Q <SPN>,其中 <SPN> 具有以下结构:HTTP/<集群节点的完全限定域名 (FQDN)>@<Active Directory 域的领域名称(大写)>。
该命令必须返回“找到现有的 SPN”以及分配了 SPN 的账户。
此外,创建 keytab 文件后,您可以检查分配给相关账户的 SPN 列表。为此,您可以运行以下命令:setspn -L <账户>,其中<账户>具有以下结构:<用户名>@<Active Directory 域的领域名称(大写)>。
如果使用一个账户创建了 keytab 文件,则该命令应返回为其创建 keytab 文件的所有 SPN 的列表。如果为每个节点创建了单独账户的 keytab 文件,则该命令应返回一个分配给特定账户的 SPN。
针对一个账户的示例命令: setspn -L control-user@TEST.LOCAL 每个节点单独账户的示例命令: setspn -L control-user@TEST.LOCAL setspn -L secondary1-user@TEST.LOCAL setspn -L secondary2-user@TEST.LOCAL |
配置 NTLM 身份验证
推荐使用 Kerberos 身份验证,因为它是最可靠的机制。NTLM 身份验证允许黑客通过拦截网络流量来访问用户密码。
Microsoft 更新发布后(请参见ADV190023 LDAP Channel Binding 和 LDAP Signing了解详情),在 Kaspersky Web Traffic Security 中进行 NTLM 用户身份验证将不再有效。
要在代理服务器上配置 NTLM 身份验证:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → 身份验证 区域。
- 在 NTLM 字段,单击 设置 链接。
NTLM 身份验证设置 窗口将打开。
- 设置切换开关到 已启用。
- 在 域名 字段中,输入想要为其配置身份验证的域的名称。
SRV 记录 用于搜索域控制器。
- 如果您想要基于定义的设置测试域控制器连接,请单击 测试连接 按钮。
测试结果显示在按钮的右侧。
- 单击 保存。
代理服务器将被重启。重启完成前流量处理将被暂停。
将配置 NTLM 身份验证。代理服务器仅处理来自完成了身份验证流程的用户的请求。
页面顶端
配置域名扫描
建议启用域名扫描以确保正确操作流量处理规则和用户隶属工作区的条件的正确应用。如果您所在的组织在浏览器设置中用空白域部分或以应用程序不支持的格式保存了用户的域名,您可以禁用域名扫描。
域名的不同格式取自以下用户账户元素的组合:
- NETBIOS 名称 – 由一个16字节地址组成的唯一域名,用于局域网中的识别。
- DNS 名称 – 域名,包括所有被用点分开的 DNS 层级的父级域的名称。
- sAMAccountName – Windows 2000格式之前的用户账户名称。
- UPN 名称(用户主名称) – 用户账户名称,由用字符 @ 分开的 UPN 前缀(输入名称)和 UPN 后缀(域名)组成。
DNS 名称被默认用作 UPN 后缀。您可以指定其它 UPN 后缀,并在账户属性而不是 DNS 名称中进行选择。
在 Active Directory 管理元件中,这些元素对应以下示例中呈现的字段,其中:
name– UPN 前缀test.local– DNS 名称TEST– NETBIOS 名称lastname– sAMAccountNametest.com– 另外的 UPN 后缀
Active Directory 管理单元中的域和用户账户属性
如果域名扫描被禁用,用户身份验证将根据下表执行。
域名扫描被禁用时的身份验证
域名格式 |
示例 |
身份验证 |
|---|---|---|
DNS-Name\sAMAccountName |
test.local\lastname |
已执行 |
NETBIOS-Name\sAMAccountName |
test\lastname |
已执行 |
UPN-Suffix\sAMAccountName |
test.com\lastname |
已执行 |
| \sAMAccountName | <any value>\lastname |
已执行 |
DNS-Name\UPN-Prefix |
test.local\name |
未执行。 |
NETBIOS-Name\UPN-Prefix |
test\name |
未执行。 |
UPN-Suffix\UPN-Prefix |
test.com\name |
未执行。 |
UPN-Prefix@DNS-Name |
name@test.local |
已执行,如果域的 DNS 名称被用作用户 UPN 前缀。 |
UPN-Prefix@NETBIOS-Name |
name@test |
未执行。 |
UPN-Prefix@UPN-Suffix |
name@test.com |
已执行,如果指定的 UPN 后缀被用作用户的 UPN 后缀。 |
sAMAccountName@DNS-Name |
lastname@test.local |
已执行 |
sAMAccountName@NETBIOS-Name |
lastname@test |
已执行 |
sAMAccountName@UPN-Suffix |
lastname@test.com |
未执行。 |
如果启用了域名扫描,只有当域名是用受支持的格式指定时,应用程序才会允许用户身份验证。在此情况下,应用程序将可以正确识别用户并应用所定义的流量处理规则和工作区设置。
受目前版本和6.0版本应用程序支持的域名格式请参见下表。
域名支持的格式
格式 |
示例 |
Support in version 6.0 |
|---|---|---|
NETBIOS\sAMAccountName |
TEST\lastname |
是(Y) |
sAMAccountName@NETBIOS |
lastname@TEST |
否 |
sAMAccountName@DNS-Name |
lastname@test.local |
是(Y) |
DNS-Name\sAMAccountName |
test.local\lastname |
否 |
UPN-Prefix@UPN-Suffix |
name@test.com |
否 |
要配置域名扫描:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → 身份验证 区域。
- 在 NTLM 字段,单击 设置 链接。
NTLM 身份验证设置 窗口将打开。
- 设置 检查域名 切换开关到 已启用。
- 在允许的 DNS/NETBIOS 域名字段中,指定被允许的域名。
- 如果您想要添加多个名称,请点击 图标并在出现的输入字段中指定名称。
- 单击 保存。
代理服务器将被重启。重启完成前流量处理将被暂停。
将配置域名扫描。如果尝试用未被指定为允许域名的域名进行身份验证,代理服务器将不会把身份验证中继到 Active Directory 服务器。用户必须重新输入账户凭证。
页面顶端
添加身份验证排除项
您可以将用户计算机或网页资源添加到身份验证排除项。如果请求发送自排除项列表上的计算机,或如果请求的是来自排除项列表的网页资源,用户将不必完成身份验证以连接到代理服务器。
排除项将应用于 Kerberos 身份验证和 NTLM 身份验证。
要添加身份验证排除项:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → 身份验证 区域。
- 如果您想要允许指定计算机未经在代理服务器上进行身份验证就访问所有的网页资源,请在 源 设置组中输入其 IP 地址。
- 在 IP 地址 字段,单击 编辑所有 链接。
IP 地址 窗口将打开。
- 输入一个或多个 IP 地址。
您可以指定以下格式之一的 IP 地址:
- IPv4 地址(例如,
172.16.5.6)。 - 在 CIDR 标记中带掩码的 Ipv4 子网地址(例如,
192.168.1.0/24)。 - IPv6 地址(例如,
2001:0db8:85a3:0000:0000:8a2e:0370:7334)。 - 在 CIDR 标记中带掩码的 IPv6 子网地址(例如,
fc00::/7)。
指定多个 IP 地址时,用分号或新行将其隔开。
- IPv4 地址(例如,
- 单击 添加。
添加的 IP 地址显示在条目字段下方的表中。如果输入有效格式的值,
图标将显示在其左侧。您可以使用行右侧的 
按钮修改此地址。 - 单击 保存。
- 在 IP 地址 字段,单击 编辑所有 链接。
- 如果您想要允许所有计算机连接到定义的网页资源而无需在代理服务器上进行身份验证,请在 目标 设置组中指定以下设置之一:
- IP 地址。
- 在 IP 地址 字段,单击 编辑所有 链接。
IP 地址 窗口将打开。
- 输入一个或多个 IP 地址。
您可以指定以下格式之一的 IP 地址:
- IPv4 地址(例如,
172.16.5.6)。 - 在 CIDR 标记中带掩码的 Ipv4 子网地址(例如,
192.168.1.0/24)。 - IPv6 地址(例如,
2001:0db8:85a3:0000:0000:8a2e:0370:7334)。 - 在 CIDR 标记中带掩码的 IPv6 子网地址(例如,
fc00::/7)。
指定多个 IP 地址时,用分号或新行将其隔开。
- IPv4 地址(例如,
- 单击 添加。
添加的 IP 地址显示在条目字段下方的表中。如果输入有效格式的值,
图标将显示在其左侧。您可以使用行右侧的 按钮修改此地址。 - 单击 保存。
- 在 IP 地址 字段,单击 编辑所有 链接。
- 主机名称。
- IP 地址。
- 单击 保存。
将添加身份验证排除项。
页面顶端
配置访问日志格式
有关 Squid 服务处理的所有 web 资源请求的信息保存在名为 access.log 的文件中。此文件称为访问日志。您可以更改有关请求的条目将保存在访问日志中的格式。
要配置访问日志格式:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → 日志 区域。
- 将切换开关设置为已启用。
- 选择以下访问日志格式之一:
- 默认。
这是 Squid 服务默认使用的访问日志格式。选择此选项时,以下字符串将添加到配置文件 squid.conf 中:
logformat kl_format %6tr %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mtaccess_log syslog:local2.info kl_format访问日志记录请求的时间和状态,连接源地址,和 web 资源的 HTTP 标头有关的信息。
- 自定义。
您可以更改 Squid 服务在访问日志中保存的数据的内容和格式。例如,这可能是必需的,以便需要特定格式的第三方应用程序可以处理日志。
选择此选项时,以下字符串将添加到配置文件 squid.conf 中:
logformat custom_format <格式规格 字段中的值>access_log syslog:local2.info custom_format
- 默认。
- 如果您选择了 自定义 选项,在 格式规格 字段键入格式代码。
您可以通过使用条目字段下的链接来使用预定义的格式 Squid,通用,联合,引用站点 和 Useragent。
更多有关访问日志格式的详细信息,请参考网站 www.squid-cache.org。
- 单击 保存。
代理服务器将被重启。重启完成前流量处理将被暂停。
现已配置访问日志格式。有关 Squid 服务处理的 web 资源请求的信息将以指定的格式保存在 access.log 文件中。
页面顶端
恢复默认设置
要将内置代理服务器的设置恢复到默认值,请执行以下操作:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → 通用 区域。
- 在右下角,单击 设置所有代理服务器设置为默认值 链接。
- 在确认窗口,单击 是。
所有代理服务器设置将被更改为默认值,包括身份验证、访问日志和 SSL 连接管理的设置。所有 SSL Bumping 证书、SSL 规则和受信任证书的指纹将被删除。
页面顶端
解密 TLS/SSL 连接
此功能仅在从 ISO 镜像部署的应用程序中可用。当应用程序安装自 RPM 或 DEB 包时,管理员必须 使用代理服务器的资源配置解密 TLS/SSL 连接。
用户计算机可以使用未加密或加密的连接连接到网页资源。Kaspersky Web Traffic Security 可以扫描两种类型的流量。未加密连接的扫描使用标准 流量处理规则。要处理加密流量,必须配置解密 SSL 连接。如果未配置解密,应用程序将无法应用访问规则的所有设置,或在保护规则范围内使用反病毒和防钓鱼模块执行扫描。
在文档和应用程序的网页界面中,术语 “SSL” 被用作加密约定俗成的同义词 (SSL 连接,SSL 规则)。然而,要建立加密连接,建议使用 TLS 版本 1.2 协议,因为 SSL 协议已过时且不安全。
解密 SSL 连接包括以下步骤。
- 读取加密连接处理的特殊考虑
要理解应用程序工作方式并正确配置设置,建议首先读取 处理 CONNECT 请求的特殊功能 和 建立 TLS 连接。
- 添加用于拦截 SSL 连接的证书
添加一个或多个证书后,必须将活动状态分配给其中一个证书。如果没有活动状态的证书,无法启用解密 SSL 连接。
- 启用解密 SSL 连接
- 选择 SSL 连接的默认操作
默认操作将应用于不满足任何 SSL 规则条件的 SSL 连接。
- 创建和配置 SSL 规则
使用 SSL 规则,您可以定义根据连接源和目标定义应用程序对 SSL 连接执行的操作。
- 添加受信任证书
代理服务器将为应用Bump操作的 web 资源的安全证书分配受信任状态。
处理 CONNECT 请求
在处理 HTTPS 流量期间,应用 阻止 和 重定向 操作的结果与将这些操作应用于 HTTP 流量的结果不同。用户将不会看到阻止页面,不会被重定向到指定的 URL。相反,连接被终止。
这样做的原因是,为了建立加密的 HTTPS 连接,用户的计算机请求从代理服务器连接到 Web 服务器使用包含 CONNECT 方法的 HTTP 消息(以下简称“CONNECT 请求”)。代理服务器处理 CONNECT 请求并回复这些请求的能力在 HTTP 协议级别上是有限的。代理服务器可以通知用户连接成功,也可以终止连接。
为了正确应用 阻止 和 重定向, 您需要启用 TLS/SSL 连接的解密并将 CONNECT 方法添加到排除项中,或为其创建旁路规则。如果没有允许 CONNECT 请求的流量处理规则,连接将被终止。
允许 CONNECT 请求可能会降低公司 IT 基础架构的安全性。建议仅在显示阻止页面或重定向对其关键的流量处理规则中将 CONNECT 方法添加到排除项。
本文还介绍了使用标准 HTTP 消息传输的 HTTP 流量处理与使用 CONNECT 请求建立加密连接时 HTTP 流量处理之间的特性和差异。
处理标准 HTTP 消息
大部分 HTTP 方法(例如,GET, POST, DELETE, HEAD, OPTIONS, PATCH, PUT 和TRACE)是用来在客户端(用户计算机)和存储所请求 web 资源的 web 服务器之间交换消息。Kaspersky Web Traffic Security 可以扫描此类 HTTP 消息和将所有可用操作应用到这些消息。下图说明了 Kaspersky Web Traffic Security 中的 HTTP 消息处理原则。
HTTP 消息处理原则
图中的数字对应于标准 HTTP 消息处理的以下阶段:
- 用户请求访问网络资源。该请求将被中继给代理服务器。
- 应用程序检查请求的 web 资源是否满足访问规则的条件。
- 如果访问规则的应用程序导致 阻止 操作,则用户将看到阻止页面。如果应用 重定向 操作,则用户将重定向到指定的 URL。
- 如果访问规则的应用程序导致 允许 操作,则应用程序将继续使用保护规则或默认保护策略扫描流量。如果未检测到任何威胁,则用户请求将重定向到 web 服务器。
- 保护模块还会扫描从 web 服务器接收到的响应,以查找病毒或其他威胁。当检测到威胁时,应用程序会阻止流量。如果未检测到任何威胁,应用程序会将响应从 web 服务器中继到用户计算机。
- 在未经授权的访问尝试期间,入侵者可能会拦截数据,因为流量以未加密的形式进行传输。
处理连接请求的详情
当尝试通过 HTTPS 协议访问 web 资源时,用户计算机会向代理服务器发送 CONNECT 请求,请求连接到 web 服务器。由于加密设置和安全证书的交换,在用户计算机和 web 服务器之间通过 TLS 协议建立了隧道安全连接。在隧道内,客户端和 web 服务器使用标准 HTTP 方法(GET, POST 等)交换消息。默认情况下,代理服务器不能分析加密连接的内容或干预隧道内的消息交换。下图说明了处理默认加密连接的机制。
默认加密连接的处理机制
图中的数字对应于默认加密连接处理的以下阶段:
- 用户计算机向代理服务器发送 CONNECT 请求,请求使用 web 服务器进行加密的数据通道。
- 应用程序检查请求的 web 资源是否满足访问规则的条件。
- 如果规则的应用导致 阻止 或 重定向 操作,则连接将终止。用户将不会看到阻止页面,不会被重定向到指定的 URL。
- 如果访问规则的应用导致 允许 操作,则应用程序将发送一个 CONNECT 请求,供保护模块进一步处理。
- 在保护模块成功扫描 CONNECT 请求后,代理服务器在用户计算机和 web 服务器之间建立加密的数据通道。
- 用户的计算机与加密数据通道内的 web 服务器交换标准 HTTP 消息。代理服务器无法访问此类邮件,并且保护模块会对其进行扫描,因为传输的数据是加密的。
- 来自 web 服务器的响应也会直接中继到用户计算机,而不会被保护模块固定。这降低了企业 IT 基础架构的保护级别,因为用户计算机可以接收包含威胁的流量。
- 在未经授权的访问尝试期间,入侵者无法拦截数据,因为流量是在加密通道内传输的。
要使应用程序能够使用保护模块扫描在加密数据通道内传输的流量,您需要配置 TLS/SSL 连接的解密。下图说明了通过启用 TLS/SSL 连接解密来处理加密连接的机制。
启用 TLS/SSL 连接解密处理加密连接的机制
图中的数字对应于启用 TLS/SSL 连接解密的加密连接处理的以下阶段:
- 用户计算机向代理服务器发送 CONNECT 请求,请求使用 web 服务器进行加密的数据通道。
- 应用程序检查请求的 web 资源是否满足访问规则的条件。
- 如果访问规则的应用程序导致 阻止 或 重定向 操作,则连接将终止。用户将不会看到阻止页面,不会被重定向到指定的 URL。
- 如果访问规则的应用导致 允许 操作,则应用程序将发送一个 CONNECT 请求,供保护模块进一步处理。
- 保护模块成功扫描 CONNECT 请求后,则在用户的计算机和代理服务器之间以及代理服务器和 Web 服务器之间将被建立加密的数据通道。
- 用户计算机与加密数据通道内的 web 服务器交换标准 HTTP 请求。应用程序被授予对正在传输的所有数据的访问权限,并可以对其应用保护规则。
- 应用程序检查请求的 web 资源是否满足访问规则的条件。
- 如果访问规则的应用程序导致 阻止 操作,则用户将看到阻止页面。如果应用 重定向 操作,则用户将重定向到指定的 URL。
- 如果访问规则的应用程序导致 允许 操作,则应用程序将继续使用保护规则或默认保护策略扫描流量。如果未检测到任何威胁,则用户请求将重定向到 web 服务器。
- 保护模块还会扫描从 web 服务器接收到的响应,以查找病毒或其他威胁。当检测到威胁时,应用程序会阻止流量。如果未检测到任何威胁,应用程序将通过加密数据通道将响应从 web 服务器中继到用户计算机。
- 在未经授权的访问尝试期间,入侵者无法拦截数据,因为流量是在加密的数据通道内传输的。
配置流量处理规则中的排除项
在为 CONNECT 请求创建排除项之前,请确保 已启用解密 TLS/SSL 连接。否则,加密连接将不会被反病毒和防钓鱼模块扫描。这可能会导致用户的计算机被感染。
要为流量处理规则中的 CONNECT 请求配置排除项,请执行以下操作:
- 在应用程序 web 界面中,选择 规则 区域。
- 选择 访问 选项卡。
- 选择需要正确显示阻止页面或重新指向用户的规则。
查看规则 页面将打开。
- 单击 编辑。
编辑规则 页面将打开。
- 选择 排除项 选项卡。
- 单击 +添加排除项。
- 如果想要为满足定义条件的用户添加排除项,请在 发起者 设置组中单击 +规则条件,然后指定所需条件。
如果未定义条件,排除项将被应用到所有用户。
- 在 流量筛选器 设置组,单击 +规则条件。
- 在出现在左侧的下拉列表中选择 HTTP 方法。
- 在右侧的下拉列表中选择 连接。
- 单击 保存。
排除项现在得到了配置。应用程序将不扫描包含 CONNECT 方法的 HTTP 消息。
页面顶端
创建一个旁路规则
在创建旁路规则之前,请确保 已启用解密 TLS/SSL 连接。如果未配置解密 TLS/SSL 连接,包含 CONNECT 方法的 HTTP 消息将不会被反病毒模块和反钓鱼模块扫描。这可能会导致用户的计算机被感染。
要为 CONNECT 请求创建一个旁路规则,请执行以下操作:
- 在应用程序 web 界面中,选择 规则 区域。
- 选择 旁路 选项卡。
- 单击 添加规则。
添加规则 窗口将打开。
- 在 操作 下拉列表中,选择 允许不扫描。
- 如果想要为满足定义条件的用户添加规则,请在 发起者 设置组中单击 +规则条件,然后指定所需条件。
如果未定义条件,规则将被应用到所有用户。
- 在 流量筛选器 设置组,单击 +规则条件。
- 在出现在左侧的下拉列表中选择 HTTP 方法。
- 在右侧的下拉列表中选择 连接。
- 在 规则名称 字段中,请键入规则名称。
- 如有必要,在 注释 字段中提供有关规则的任何其它信息。
- 设置 状态 切换开关到 已启用。
- 单击 添加。
旁路规则将创建并显示在规则表中。应用程序将跳过(不扫描)包含 CONNECT 方法的所有 HTTP 消息。
页面顶端
关于 TLS 连接
如果用户想要通过 HTTPS 协议连接到网页资源,您必须在用户计算机和托管所需网页资源的 Web 服务器 之间建立安全加密连接。建立基本 TCP/IP 连接后,客户端和服务器将交换安全证书和加密设置。因此,使用 TLS(传输层安全)协议创建加密数据通道。为此原因,加密连接也被称为 TLS 连接。在此渠道内,数据通过应用程序层协议,比如 HTTP,进行传输。
如果在应用程序中禁用 TLS/SSL 连接的解密,代理服务器将在客户端和服务器之间中继消息,而无需干预加密的连接建立过程。在这种情况下,Kaspersky Web Traffic Security(反病毒和反网络钓鱼)的保护模块无法扫描在加密数据通道内传输的数据。这降低了企业 IT 基础架构的保护级别。因此,建议启用 TLS/SSL 连接的解密。
如果在应用程序设置中启用了解密 TLS/SSL 连接,代理服务器会收到干预连接建立过程的能力。在此情况下,如果被扫描流量不符合任何 SSL 规则的条件,应用程序可以将 SSL 规则中定义的操作或默认操作应用到流量。
应用程序可提供以下加密连接处理操作:
- Tunnel。
- Tunnel with SNI check。
- Bump。
- Terminate。
为了保证最高级别的安全,建议选择 Bump 操作。建议仅对不支持涉及解密传输流量的操作(例如银行应用程序)的 web 资源或应用程序使用 Tunnel 和 Tunnel with SNI check 操作。
应用 Tunnel、Tunnel with SNI check 或 Terminate 操作
下图说明了在应用 Tunnel、Tunnel with SNI check 或 Terminate 操作后建立加密连接的原则。
Tunnel、Tunnel with SNI check 或 Terminate 操作后建立加密连接的原则
建立加密连接包括以下步骤:
- 客户端请求
客户端会发送一个 CONNECT 请求到代理服务器和 Web 服务器 进行连接。请求包含托管所需网页资源的 Web 服务器的完全限定域名 (FQDN) 或 IP 地址。
- 请求重定向到服务器
代理服务器生成并向 web 服务器发送连接请求,从它接收响应,并将此响应中继到客户端。
- 将客户端的 SNI 和其他加密设置传输到代理服务器
客户端向代理服务器发送其支持的加密设置和
字段,该字段指示相关 web 资源(网站)的完全限定域名(FQDN)。 - 检查连接是否应中断
如果根据 SSL 规则或默认操作中指定的操作对请求应用 Terminate 操作,则连接将终止。阻止页面不向用户显示。
- 将客户端的 SNI 和其他加密设置传输到 web 服务器
如果 Terminate 操作尚未应用于请求,代理服务器将代表客户端将 SNI 字段和其他加密设置中继到 web 服务器。
- 将 web 资源的证书传输到代理服务器
web 服务器返回到代理服务器其自己支持的加密设置集,以及用户基于 SNI 字段请求访问的 web 资源的证书。
- 将 web 资源的证书传输到客户端
代理服务器将从 web 服务器接收的证书和加密设置中继到客户端。
- 建立安全连接
客户端和服务器会协调其它连接细节。然后创建安全数据通道,客户端和服务器可以在此通道内交换数据。
应用 Terminate 和 Bump 操作
下图说明了在应用 Terminate 和 Bump 操作后处理加密连接的原则。在这种情况下,步骤 5 和 7 不同于建立加密连接的基本机制。在步骤 5 中,代理服务器代表其自身而不是代表客户端传输 SNI 字段和其他加密设置。代理服务器从 web 服务器接收请求的 web 资源的证书,在其基础上生成其自己的(替换)证书,并将此替换证书中继到客户端。
应用 Terminate 和 Bump 操作后处理加密连接的原则
下表说明了应用程序根据指定的操作处理加密连接的方式之间的差异。
根据定义的操作处理加密连接
不涉及代理服务器 |
Tunnel |
Tunnel with SNI check |
Bump |
Terminate |
|---|---|---|---|---|
客户端请求。 |
客户端请求。 代理服务器允许根据 Web 服务器的 IP 地址或完全限定域名(FQDN)创建安全渠道。 |
客户端请求。 |
客户端请求。 |
客户端请求。 |
服务器相应。 |
服务器相应。 |
服务器相应。 |
服务器相应。 |
服务器相应。 |
传输 SNI 和客户端的其它加密设置。 |
传输 SNI 和客户端的其它加密设置。 |
传输 SNI 和客户端的其它加密设置。 代理服务器允许根据所需网页资源的 SNI 创建安全渠道。 |
传输 SNI 和客户端的其它加密设置。 代理服务器会将该数据发送到 Web 服务器,就好像该数据来自代理服务器而不是客户端。 |
连接被终止。阻止页面不向用户显示。 |
传输所请求网页资源的证书。 |
传输所请求网页资源的证书。 |
传输所请求网页资源的证书。 |
传输所请求网页资源的证书。 代理服务器拦截 web 服务器发送的证书,并在此基础上生成其自己的替换证书。 |
– |
建立安全连接。 |
建立安全连接。 应用程序无法使用反病毒和防钓鱼模块扫描传输的数据。 |
建立安全连接。 应用程序无法使用反病毒和防钓鱼模块扫描传输的数据。 |
建立安全连接。 建立了两个连接:一个在客户端和代理服务器之间,另一个在代理服务器和 Web 服务器之间。应用程序可以分析加密渠道的内容并将流量处理规则应用到在渠道内传输的数据。 |
– |
管理用于拦截 SSL 连接的证书
要解密 SSL 连接,您必须添加一个或多个证书,然后将活动状态分配给添加的证书之一。其他证书将显示为未激活状态。您可以在任何时候将活动状态分配给其他证书。
您可以使用以下证书的类型:
下表列出了应用程序支持的证书类型的比较特征。
支持的证书类型的比较特征
特征 |
自签名 |
基于 CSR |
基于 PFX |
|---|---|---|---|
使用您自己的证书颁发机构的要求 |
否 |
是(Y) |
是(Y) |
将证书分发到公司 LAN 计算机的要求 |
是(Y) |
||
集群外部的私有证书密钥的存储 |
否 |
否 |
是(Y) |
手动配置证书设置的功能手动配置证书设置的功能 |
仅填充特定字段。 |
仅填充特定字段。 |
是(Y) |
添加自签名的证书
要添加自签名的证书:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → SSL 区域。
- 单击 添加证书。
创建证书 窗口将打开。
- 选择 自签名 选项。
- 在 组织 字段中,输入组织的名称。
- 在 通用名称 字段中,输入为其生成证书的服务器的域名。
- 单击 添加。
证书将被添加并显示在用于拦截 SSL 连接的证书表中。
页面顶端
添加基于 CSR 的证书
添加基于 CSR 的证书包括以下步骤。
- 在应用程序的 web 界面中创建请求文件
- 基于证书颁发机构的请求文件生成证书
- 在应用程序的 web 界面中上传生成的证书
该应用程序允许您以具有 PEM、DER、CER 或 CRT 扩展名的文件以及包含证书链的 P7B 扩展名的 PKCS#7 容器文件的形式上传个人证书。
创建请求文件
要创建请求文件:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → SSL 区域。
- 单击 添加证书。
创建证书 窗口将打开。
- 选择 CSR 请求文件 选项。
- 在 组织 字段中,输入组织的名称。
- 在 通用名称 字段中,输入为其生成证书的服务器的完全限定域名 (FQDN)。
- 单击 添加。
CSR 条目将显示在用于拦截 SSL 连接的证书表中。
- 选择创建的 CSR 条目。
查看证书 窗口将打开。
- 单击 生成请求文件。
请求文件将会保存到浏览器的下载文件夹中。使用此请求文件在证书颁发机构生成证书。
页面顶端
在证书颁发机构生成证书
这些说明适用于部署在 Windows Server 2016 上的 Microsoft Enterprise 证书颁发机构。
推荐使用 Internet Explorer 浏览器。其他浏览器可能会错误地显示 Microsoft Enterprise 证书颁发机构的某些页面。
要生成基于 CSR 的证书:
- 在任何文本编辑器中打开以前创建的请求文件,并将其内容复制到剪贴板。
- 在浏览器中打开您的证书颁发机构的页面:
https://<server address>/certsrv。 - 选择请求证书。
将打开请求证书页面。
- 选择高级证书请求。
将打开高级证书请求页面。
- 选择使用 base-64 编码的 CMC 或 PKCS #10 文件提交证书请求,或使用 base-64 编码的 PKCS #7 文件提交续费请求。
将打开提交证书请求或续订请求页面。
- 在 Base-64 编码证书请求(CMC 或 PKCS #10 或 PKCS #7)字段中,粘贴在步骤 1 中复制的请求文件的内容。
- 在证书模板下拉列表中,选择下属证书颁发机构。
- 单击提交。
将打开证书已发布页面。
- 进行以下操作:
- 选择证书文件编码。
应用程序支持使用 DER 和 Base64 编码中的证书操作。
- 选择证书格式:
- 如果要下载带 CER 扩展名(扩展名不包含中间证书)的终端证书文件,请选择下载证书。
- 如果要使用 P7B 扩展名以 PKCS#7-容器格式下载完整的证书链,请选择下载证书链。
建议下载完整的证书链以避免与验证中间证书颁发机构相关的问题。
- 选择证书文件编码。
证书将生成并保存在您的计算机上的浏览器下载文件夹中。
页面顶端
在应用程序的 web 界面中上传证书
要在应用程序的 web 界面中上传基于 CSR 的证书:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → SSL 区域。
- 在用于拦截 SSL 连接的证书表中,选择有关为其生成请求文件的证书的条目。
查看证书 窗口将打开。
- 单击 上传证书。
文件选择窗口将打开。
- 选择在证书颁发机构生成的证书文件并单击打开。
查看证书 窗口将显示证书指纹和到期日期。
将会上传证书。在用于拦截 SSL 连接的证书表中,证书类型从 CSR 请求文件 更改为 基于-CSR。
页面顶端
添加基于 PFX 的证书
添加基于 PFX 的证书包括以下步骤。
- 在证书颁发机构生成证书
具有私钥的证书以 PKCS#12-容器格式生成,并保存在当前用户的证书存储中。
- 导出证书到文件
生成证书后,必须将其与私钥一起导出到具有 P12 或 PFX 扩展的文件。
- 在应用程序的 web 界面中上传证书
在证书颁发机构生成证书
这些说明适用于部署在 Windows Server 2016 上的 Microsoft 证书颁发机构。
推荐使用 Internet Explorer 浏览器。其他浏览器可能会错误地显示 Microsoft 证书颁发机构的某些页面。
要生成带私钥的 PFX 证书:
- 在浏览器中打开您的证书颁发机构的页面:
https://<server address>/certsrv。 - 选择请求证书。
将打开请求证书页面。
- 选择高级证书请求。
将打开高级证书请求页面。
- 选择创建并提交请求给此 CA。
将打开高级证书请求页面。
- 在证书模板下拉列表中,选择下属证书颁发机构。
- 在识别脱机模板信息设置组中,填写公司信息。
要求填写名称字段。
- 在密钥选项设置组:
- 选择Create new key set选项。
- 在密钥大小字段中,输入值 2048。
- 选择自动密钥容器名称选项。
- 选择将密钥记为可导出复选框。
- 在附加选项设置组中,确保清除保存请求复选框。
- 单击提交。
将打开证书已发布页面。
- 选择安装此证书。
带私钥的证书将生成并保存在您的用户账户中的证书存储中。
页面顶端
导出证书到文件
导出带私钥的证书到文件:
- 打开 Microsoft 管理控制台。
- 选择文件 → 添加/移除单元。
将打开添加或移除单元窗口。
- 选择证书单元并单击添加。
将打开证书单元窗口。
- 选择我的用户账户并单击完成。
- 在添加/移除单元窗口,单击确定。
- 在控制台树中,选择证书 – 当前用户 → 个人 → 证书。
- 在工作区中,选择您之前生成的证书,然后双击它以打开其属性。
- 选择 Details 选项卡。
- 单击复制到文件。
将开启证书导出向导。
- 在导出私钥窗口,选择是,导出私钥选项。
- 在导出文件格式窗口:
- 选择个人信息交换 – PKCS #12 (.PFX)选项。
- 选择如果可能,在证书路径中包含所有证书复选框。
- 在安全窗口:
- 选择 Password 复选框。
- 在复选框下方的条目字段中,设置一个密码以确保证书安全。
- 在确认密码字段中,再次键入密码。
- 在要导出的文件窗口:
- 单击Browse。
- 将打开另存为窗口。
- 在您的计算机上选择用于保存证书文件的路径。
- 输入文件名称并单击保存。
- 在完成证书导出向导窗口中,单击完成。
带私钥的证书将导出到文件。该文件将保存在计算机中的指定路径。
页面顶端
在应用程序的 web 界面中上传证书
要在应用程序的 web 界面中上传带私钥的证书:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → SSL 区域。
- 单击 添加证书。
创建证书 窗口将打开。
- 选择 基于-PFX 选项。
- 单击 上传。
文件选择窗口将打开。
- 选择将包含私钥的证书导出到的文件,然后单击打开。
- 证书文件名称显示在 上传 按钮的左侧。
- 在 密码 字段中,输入证书导出向导中设置的证书安全密码。
- 单击 添加。
证书将被添加并显示在用于拦截 SSL 连接的证书表中。
页面顶端
查看证书信息
要查看证书信息:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → SSL 区域。
- 在用于拦截 SSL 连接的证书表中,选择要查看其信息的证书。
查看证书 窗口将打开。
窗口包含以下证书信息:
- 状态 是证书使用状态。
- 类型 是以下证书类型之一:
- 自签名。
- CSR 请求文件。
- 基于-PFX。
- 到期日期 是证书到期日期和时间。
- SHA-256 指纹 是 SHA256 证书指纹。
- 主题 是常用名 (CN) 和证书所有者的组织的名称 (O)。
将活动状态分配给证书
要分配活动状态给证书:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → SSL 区域。
- 在用于拦截 SSL 连接的证书表中,选择要为其分配活动状态的证书。
查看证书 窗口将打开。
- 单击 设置为激活。
将为证书分配活动状态。
图标将显示在证书旁边的表中。
下载证书
要下载证书:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → SSL 区域。
- 在用于拦截 SSL 连接的证书表中,选择要下载的证书。
查看证书 窗口将打开。
- 根据所需证书格式单击以下按钮之一:
- P7B 链 是 P7B 格式的证书链。
- CRT 是 CRT 格式的结束证书。
证书或证书链将保存在浏览器的下载文件夹中。
页面顶端
删除证书
要删除证书:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → SSL 区域。
- 在用于拦截 SSL 连接的证书表中,选择要删除的证书。
查看证书 窗口将打开。
SSL 连接的管理启用时,您无法删除活动证书。
- 单击 删除。
- 在确认窗口,单击 是。
证书将被删除。
页面顶端
将证书导入用户计算机
添加 SSL Bumping 证书后,您必须使此证书对用户计算机上的浏览器可信任。为此,需要将其导入 Windows 操作系统的受信任证书的系统存储。
Mozilla Firefox 浏览器使用其自己的证书存储。要了解如何将证书导入 Mozilla Firefox 存储的详情,请参见以下操作说明。
可以使用 Windows 组策略同时将证书导入属于域的所有计算机。有关组策略的更多信息,请参阅操作系统文档。
如果无法使用 Windows 组策略分发证书,则必须手动将证书导入公司 LAN 的每台计算机。
要将证书手动导入 Windows 的受信任证书存储中:
- 复制之前下载的证书到用户计算机。
- 通过双击打开证书文件。
- 在打开的窗口中,单击常规选项卡中的安装证书。
将开启证书导入向导。
- 在向导的欢迎窗口中,选择以下之一的证书导入选项:
- 当前用户。
只有在当前用户的账户下连接时,证书才可用。
- 本地机器。
该证书将可供此计算机的所有用户使用。
要选择此选项,必须有操作系统的本地管理员权限。
证书商店窗口将打开。
- 当前用户。
- 选择将所有证书放在以下存储选项中,然后单击浏览。
选择证书商店窗口将打开。
- 选择受信任根证书颁发机构存储并单击确定。
证书存储窗口显示所选择的存储的名称。
- 点击“Next”(下一步)。
- 在向导的完成窗口中,单击完成。
- 在证书成功导入消息中,单击确定。
证书将导入受信任证书的 Windows 系统存储。
要将证书手动导入 Mozilla Firefox 浏览器存储:
- 复制之前下载的证书到用户计算机。
- 在 Mozilla Firefox 浏览器菜单中,选择选项。
- 在打开的窗口中,选择安全性与隐私选项卡。
浏览器隐私窗格将打开。
- 在安全性设置组,在证书区域,单击查看证书。
证书管理器窗口将打开。
- 在权限选项卡,单击导入。
文件选择窗口将打开。
- 选择证书文件并单击打开。
下载证书窗口将打开。
- 选择信任此 CA 以识别网站复选框并单击确定。
证书将显示在证书管理器窗口中的证书列表中。
- 单击 OK。
证书将被导入 Mozilla Firefox 浏览器的存储中。
页面顶端
启用和禁用 SSL 连接解密
要启用或禁用 SSL 连接解密:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → SSL 区域。
- 将 解密 TLS/SSL-连接 切换开关移动到 已启用 或 已禁用。
仅当有用于拦截 SSL 连接的活动证书时,切换开关才可用。
- 单击 保存。
代理服务器将被重启。重启完成前流量处理将被暂停。
将启用或禁用 SSL 连接解密。
页面顶端
选择 SSL 连接的默认操作
如果包含 CONNECT 请求的 SSL 连接不符合任何 SSL 规则的条件,则应用默认操作。
要选择对 SSL 连接执行的默认操作,请执行以下操作:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → SSL 区域。
- 在 默认操作 下拉列表中选择以下选项之一:
- Tunnel with SNI check。
应用程序不会拦截未为其定义 SSL 连接处理规则的 CONNECT 请求。这些请求不会在 仪表板 区域中有关处理的流量的统计信息中考虑。它还可能无法应用保护规则和以下访问规则条件:HTTP 消息的 MIME 类型、HTTP 消息部分的 MIME 类型、文件大小、HTTP 方法。
- Bump。
应用程序将拦截 CONNECT 请求并分析未为其定义 SSL 连接处理规则的加密连接的内容。对于不支持拦截 CONNECT 请求的服务,必须使用 Tunnel 操作创建 SSL 连接处理规则。如果此类规则不存在,则 SSL 连接可能会由于拦截错误而被阻止。
- Terminate。
应用程序将阻止未为其定义 SSL 连接处理规则的 CONNECT 请求。
- Tunnel with SNI check。
- 单击 保存。
现已配置 SSL 连接的默认操作。
页面顶端
管理 SSL 规则
您可以使用SSL 规则配置加密连接的处理。
SSL 规则允许您根据以下条件选择应用程序对 SSL 连接执行的操作:
- 连接源(IP 地址或用户代理)
- 连接目标(IP 地址或主机名)
- 连接目标端口
您可以在一个 SSL 规则中使用一个或多个条件,且与逻辑运算符 AND/OR 结合使用。
所有 SSL 规则显示在 SSL 规则 表中。按其在表中的位置顺序从上到下进行检查。如果不满足规则中定义的条件,应用程序将执行下一个规则。一旦规则中指定的条件得到满足,该规则中指定的处理参数将被应用到 SSL 连接,并进一步停止条件匹配。您可以通过在 SSL 规则 表中移动 SSL 规则来修改 SSL 规则的应用顺序。
创建 SSL 规则
要创建 SSL 规则:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → SSL 规则 区域。
- 单击 添加规则。
添加规则 窗口将打开。
- 在 操作 下拉列表中,选择应用程序将在 SSL 连接上执行的操作:
- Tunnel。
应用程序不会拦截满足定义条件的 CONNECT 请求。这些请求不会在 仪表板 区域中有关处理的流量的统计信息中考虑。
它还可能无法在访问规则中应用保护规则和以下筛选条件:HTTP 消息的 MIME 类型、HTTP 消息部分的 MIME 类型、File size、HTTP 方法。
- Tunnel with SNI check。
应用程序不会拦截满足定义的条件并为其执行 SNI 检查的 CONNECT 请求。这些请求不会在 仪表板 区域中有关处理的流量的统计信息中考虑。
它还可能无法在访问规则中应用保护规则和以下筛选条件:HTTP 消息的 MIME 类型、HTTP 消息部分的 MIME 类型、File size、HTTP 方法。
- Bump。
应用程序将拦截满足定义条件的 CONNECT 请求,并分析加密连接的内容。
- Terminate。
应用程序将阻止满足定义条件的 CONNECT 请求。
对于不支持拦截 CONNECT 请求的服务,建议选择 Tunnel 操作。应用 Bump 和 Tunnel with SNI check 操作时,SSL 连接可能会由于截取错误而被阻止。
默认情况下定义定义的 Tunnel 操作。
- Tunnel。
- 在 源 设置组,单击 添加。
- 在出现的下拉列表中,选择连接源的筛选条件:
- IP 地址。
如果您选择 IP 地址 作为筛选条件:
- 在下拉列表右侧的字段中,单击条目区域。
IP 地址 窗口将打开。
- 输入一个或多个 IP 地址。
您可以指定以下格式之一的 IP 地址:
- IPv4 地址(例如,
172.16.5.6)。 - 在 CIDR 标记中带掩码的 Ipv4 子网地址(例如,
192.168.1.0/24)。 - IPv6 地址(例如,
2001:0db8:85a3:0000:0000:8a2e:0370:7334)。 - 在 CIDR 标记中带掩码的 IPv6 子网地址(例如,
fc00::/7)。
指定多个 IP 地址时,用分号或新行将其隔开。
- IPv4 地址(例如,
- 单击 添加。
添加的 IP 地址显示在条目字段下方的表中。如果输入有效格式的值,
图标将显示在其左侧。您可以使用行右侧的 按钮修改此地址。 - 单击 保存。
- 在下拉列表右侧的字段中,单击条目区域。
- User agent。
- IP 地址。
- 在 目标 设置组,单击 添加。
- 在出现的下拉列表中,选择连接目标的筛选条件:
- IP 地址。
如果您选择 IP 地址 作为筛选条件:
- 在下拉列表右侧的字段中,单击条目区域。
IP 地址 窗口将打开。
- 输入一个或多个 IP 地址。
您可以指定以下格式之一的 IP 地址:
- IPv4 地址(例如,
172.16.5.6)。 - 在 CIDR 标记中带掩码的 Ipv4 子网地址(例如,
192.168.1.0/24)。 - IPv6 地址(例如,
2001:0db8:85a3:0000:0000:8a2e:0370:7334)。 - 在 CIDR 标记中带掩码的 IPv6 子网地址(例如,
fc00::/7)。
指定多个 IP 地址时,用分号或新行将其隔开。
- IPv4 地址(例如,
- 单击 添加。
添加的 IP 地址显示在条目字段下方的表中。如果输入有效格式的值,
图标将显示在其左侧。您可以使用行右侧的 按钮修改此地址。 - 单击 保存。
- 在下拉列表右侧的字段中,单击条目区域。
- 主机名。
- IP 地址。
- 在 端口 字段中,输入一个或多个目标端口。
该规则将仅应用于使用已定义端口的连接。
- 在 名称 框中,输入规则名称。
- 如有必要,在 注释 字段中提供有关工作的其他信息。
- 通过使用 状态 切换开关启用或禁用规则的使用。
- 单击 添加。
SSL 规则将创建并显示在 SSL 规则 选项卡上的表中。
页面顶端
查看有关 SSL 规则的信息
要查看有关 SSL 规则的信息:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → SSL 规则 区域。
- 在 SSL 规则表中,选择要查看其信息的规则。
查看规则 窗口将打开。
窗口显示以下信息:
- 状态 是 SSL 规则的使用状态。
- 操作 是应用程序对满足定义的筛选条件的 SSL 连接执行的操作。
- 端口 是目标端口。
- 名称 是 SSL 规则的名称。
- 注释 是创建 SSL 规则时提供的其他信息。
编辑 SSL 规则
要修改 SSL 规则:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → SSL 规则 区域。
- 在 SSL 规则表中,选择您要修改其设置的规则。
查看规则 窗口将打开。
- 单击 编辑。
编辑规则 窗口将打开。
- 进行相关更改。
- 单击 保存。
将修改 SSL 规则。
页面顶端
启用和禁用 SSL 规则
要启用或禁用 SSL 规则:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → SSL 规则 区域。
- 在 SSL 规则表中,选择要启用或禁用的规则。
查看规则 窗口将打开。
- 单击 启用 或 禁用 以启用或禁用 SSL 规则。
- 单击 保存。
将启用或禁用 SSL 规则。
页面顶端
更改应用的 SSL 规则的顺序
SSL 规则按其在表中的位置顺序从上到下进行检查。如果不满足规则中定义的条件,应用程序将执行下一个规则。一旦规则中指定的条件得到满足,该规则中指定的处理参数将被应用到 SSL 连接,并进一步停止条件匹配。
您可以通过移动表中的规则条目来修改 SSL 规则的应用程序的顺序。
要更改 SSL 规则应用的顺序:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → SSL 规则 区域。
- 在 SSL 规则表中,单击要更改其位置的行左侧的 图标,然后向上或向下拖动包含 SSL 规则条目的行。
- 单击 保存。
应用 SSL 规则的顺序将更改。
页面顶端
删除 SSL 规则
要删除 SSL 规则:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → SSL 规则 区域。
- 在 SSL 规则表中,选择您想要删除的规则。
查看规则 窗口将打开。
- 单击 删除。
- 在确认窗口,单击 是。
将删除 SSL 规则。
页面顶端
管理受信任证书
通过 HTTPS 协议建立加密连接时,在用户的计算机上验证请求的 web 资源的安全证书。在某些情况下,浏览器可能不信任提供的证书(例如,如果证书是自签名或其包含错误)。在此情况下,用户将看到一个有关不安全连接的警告。
如果您确定 web 资源是安全的,并且不希望在每次连接时验证证书,则可以将此证书添加到用户的计算机上的受信任根证书的本地存储中。此过程将在与特定 web 资源建立连接的所有计算机上手动重复。
要防止此操作重复多次,您可以添加证书指纹到 Kaspersky Web Traffic Security 的受信任证书列表中。代理服务器会将具有受信任状态的请求的 web 资源的证书中继到用户计算机。用户将不会看到有关不安全连接的通知。
建议仅为根据 SSL 规则设置应用 Bump 操作的 web 资源添加受信任证书。应用其他操作时,应用程序不会拦截安全证书,并且无法为其分配受信任状态。
受信任证书列表在带角色控制的节点上生成,然后应用到所有集群节点。
添加受信任证书
要添加受信任证书:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → 受信任证书 区域。
- 单击 添加。
添加受信任证书 窗口将打开。
- 在 SHA1 指纹 字段中,输入受信任证书的指纹。
- 如有必要,请在 注释 字段中输入有关添加的受信任证书的任何信息。
- 使用 状态 切换开关启用或禁用对受信任证书的使用。
- 单击 添加。
受信任证书将被添加并显示在 受信任证书 表中。
页面顶端
查看受信任证书的信息
要查看有关受信任证书的信息:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → 受信任证书 区域。
- 在受信任证书表中,选择要查看其信息的证书。
查看受信任证书 窗口将打开。
窗口显示以下信息:
- 状态 是受信任证书使用状态。
- SHA1 指纹 是受信任证书指纹。
- 注释 是有关添加证书时提供的受信任证书的信息。
编辑受信任证书
要编辑受信任证书:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → 受信任证书 区域。
- 在受信任证书表中,选择您要修改其设置的证书。
查看受信任证书 窗口将打开。
- 单击 编辑。
编辑受信任证书 窗口将打开。
- 进行相关更改。
- 单击 保存。
将更改受信任证书。
页面顶端
启用和禁用受信任证书的使用
要启用或禁用受信任证书的使用:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → 受信任证书 区域。
- 在受信任证书表中,选择您要启用或禁用其使用的证书。
查看受信任证书 窗口将打开。
- 单击 启用 或 禁用 启用或禁用受信任证书的使用。
- 单击 保存。
将启用或禁用受信任证书的使用。
页面顶端
删除受信任证书
要删除受信任证书:
- 在应用程序 web 界面中,选择 设置 → 内置代理服务器 → 受信任证书 区域。
- 在受信任证书表中,选择您想要删除的证书。
查看受信任证书 窗口将打开。
- 单击 删除。
- 在确认窗口,单击 是。
受信任证书将被删除。
页面顶端
应用程序信息源
卡巴斯基网站上的 Kaspersky Web Traffic Security 页面
您可以在 Kaspersky Web Traffic Security 页面 上找到应用程序及其功能和特点的一般信息。
Kaspersky Web Traffic Security 页面包含网店链接。在那里,您可以购买应用程序或续费授权许可。
知识库中的 Kaspersky Web Traffic Security 页面
知识库 是技术支持网站上的一个区域。
您可以在知识库中的 Kaspersky Web Traffic Security 页面上阅读到提供有用信息、建议、和有关如何购买、安装与使用应用程序的常见问题解答的文章。
知识库中的文章提供的问题答案可能不仅与 Kaspersky Web Traffic Security 有关,还涉及其他卡巴斯基应用程序。知识库文章也可能包含来自技术支持的新闻。
在论坛上讨论卡巴斯基应用程序
如果您的问题不需要紧急答复,请在我们的论坛上与卡巴斯基专家和其他用户进行讨论。
在该论坛上,您可以查看现有主题、留下评论并创建新的讨论主题。
页面顶端
将应用程序事件发布到 SIEM 系统
Kaspersky Web Traffic Security 可以使用 Syslog 协议将应用程序运行期间发生的事件发布到您的组织已在使用的。
有关每个应用程序事件的信息以 CEF 格式(“CEF 消息”)作为单独的系统日志消息进行传输。
事件发生后会立即发送包含事件信息的 CEF 消息。
默认情况下,应用程序中的 CEF 消息导出被禁用。您可以配置向 SIEM 系统发布事件,然后启用事件导出。
配置将应用程序事件发布到 SIEM 系统
要在技术支持模式下配置事件发布,您必须首先在应用程序的 Web 界面中上传 SSH 公钥。
在要从其将事件发布到 SIEM 系统的集群的每个节点上执行以下步骤。您应该仅在配置事件发布后启用CEF 格式的事件导出。
配置将应用程序事件发布到 SIEM 系统:
- 如果 Kaspersky Web Traffic Security 是从 iso 文件安装的,请使用 SSH 私钥在 root 帐户下连接到 Kaspersky Web Traffic Security 虚拟机的管理控制台。这将带您进入技术支持模式。
如果 Kaspersky Web Traffic Security 是通过 rpm 或 deb 软件包安装的,请启动操作系统的命令 shell 以使用超级用户(系统管理员)权限运行命令。
- 事件被使用 rsyslog 系统日志记录服务发送到外部 SIEM 系统。要确保该服务已安装并正在运行,请运行以下命令:
systemctl status rsyslog服务的状态必须是
正在运行。如果 rsyslog 服务未运行或未安装,请根据操作系统的文档安装并启用 rsyslog 服务。
- 指定用于连接到带有 SIEM 系统的服务器的地址和端口。为此,请创建 /etc/rsyslog.d/kwts-cef-messages.conf 文件并向其中添加以下行:
$ActionQueueFileName ForwardToSIEM5$ActionQueueMaxDiskSpace 1g$ActionQueueSaveOnShutdown on$ActionQueueType LinkedList$ActionResumeRetryCount -1local5.*@@<SIEM系统的 IP 地址>:<SIEM 系统通过 TCP 协议从 Syslog 接收消息的端口>local5.* stop示例:
$ActionQueueFileName ForwardToSIEM5$ActionQueueMaxDiskSpace 1g$ActionQueueSaveOnShutdown on$ActionQueueType LinkedList$ActionResumeRetryCount -1local5.* @@10.16.32.64:514local5.* stop - 重启 rsyslog 服务。为此,请执行命令:
systemctl restart rsyslog - 使用以下命令检查 rsyslog 服务的状态:
systemctl status rsyslog状态必须是
正在运行。 - 向 SIEM 系统发送测试消息:
logger -p local5.info 测试消息
应用程序事件到 SIEM 系统的发布得到配置。
页面顶端
配置 CEF 格式的事件导出
在启用 CEF 格式的事件导出之前,您必须在Kaspersky Web Traffic Security 集群的每个节点上安装 siem_logging_fixes.zip 更新包。请联系技术支持获取更新包。
要在技术支持模式下启用事件导出,您必须首先在应用程序的 Web 界面中上传 SSH 公钥,并配置将应用程序事件发布到 SIEM 系统。
在要从其将事件以 CEF 格式导出的集群的每个节点上执行以下步骤。
要配置 CEF 格式的事件导出:
- 如果 Kaspersky Web Traffic Security 是从 iso 文件安装的,请使用 SSH 私钥在 root 帐户下连接到 Kaspersky Web Traffic Security 虚拟机的管理控制台。这将带您进入技术支持模式。
如果 Kaspersky Web Traffic Security 是通过 rpm 或 deb 软件包安装的,请启动操作系统的命令 shell 以使用超级用户(系统管理员)权限运行命令。
- 转至 /opt/kaspersky/kwts/share/templates/core_settings 目录并创建 event_logger.json.template 文件的备份副本:
cp -p event_logger.json.template event_logger.json.template.backup - 打开 event_logger.json.template 文件进行编辑,并在
siemSettings部分中指定以下设置(确保遵守 JSON 文件的语法和结构):"enabled": true,"facility": "Local5","logLevel": "Info", - 在应用程序的 Web 界面中,设置 →日志和事件部分,编辑任何设置的值,然后单击保存。
这是同步集群节点之间的设置以及应用对配置文件所做的更改所必需的。然后,您可以恢复先前编辑的设置值。
- 确保更改已应用:
/opt/kaspersky/kwts/bin/kwts-control --get-settings 20 --format json | grep -A 4 siemSettings响应必须包含带有步骤 3 中指定的值的设置。
以 CEF 格式导出事件得到配置。
如果要禁用 CEF 格式的事件导出,请按照上面的说明进行操作,并在步骤 3 中设置"enabled": false。
CEF 格式的系统日志消息的内容和属性
有关每个检测到的事件的信息在事件发生后立即以 UTF-8 编码的 CEF 格式作为单独的系统日志消息发送。
CEF 消息由消息正文和标题组成。
CEF 消息标头由以下部分组成:
- Syslog 前缀:
<事件日期和时间><发生事件的主机的名称>。 - 一个由“|”字符分隔开并用空格与 syslog 前缀分隔开的字段序列。所有字段都需要。
- 格式版本。目前,版本号为 0,因此该字段看起来像“CEF:0”。
- 供应商。该字段的值为
AO Kaspersky Lab。 - 应用程序名称。该字段的值为
Kaspersky Web Traffic Security。 - 产品版本。该字段的值是产品的当前版本 (
6.1.0.xxxx)。 - 事件类别。
- 事件名称。
- 严重级别。可以是
低、中或高。示例:
2021 年 10 月 30 日 10:34:23host.domain.com CEF:0|AO Kaspersky Lab|Kaspersky Web Traffic Security|6.1.0.1234|LMS_EV_SETTINGS_CHANGED|task settings changed|Low|…
有关事件的 syslog 消息的字段,由应用程序选项定义,具有 <密钥>="<值>”格式。如果密钥具有多个值,则这些值将用逗号分隔。冒号用作密钥之间的分隔符。
消息中包含的密钥及其值取决于事件的类别。
有关检测到的事件的系统日志消息的最大大小取决于安装 Kaspersky Web Traffic Security 的服务器上的系统日志设置值。您只能将系统日志消息配置到单个外部系统日志服务器。
CEF 消息中的字符编码规则:
- 空格不需要转义。
- 在标题中,竖线字符(“|”)用作分隔符。如果需要在一个标头字段中使用此字符,必须使用反斜杠(“\|”)对其进行转义。在消息正文中,不需要转义“|”字符。
- 消息标头或消息正文中不允许使用单个反斜杠。如果需要在标头字段中使用它,请复制字符(“\\”)。
- 在消息正文中,“=”字符用作“key-value”对的分隔符。如果需要在一个邮件正文字段中使用此字符,必须使用反斜杠 (“\=”) 将其转义。在标头中,“=”字符不需要转义。
- 多行值仅适用于键/值对中的值。要指示换行,请使用“\n”或“\r”字符。
设置组的事件类别
在设置组的事件类别的 CEF 消息正文中,可以根据其语义使用密钥(参见下表)。
设置组事件类别字段的允许值
密钥 |
值 |
|---|---|
cn1 |
任务编号。 |
cn1Label |
该值始终是 |
cs1 |
任务名称。 |
cs1Label |
该值始终为 |
act |
对设置采取的操作。该值总是在 |
设置组的每个事件类别只能包含与其相关的密钥(请参见下表)。
设置组事件类别的相关密钥
事件类别 |
相关密钥 |
|---|---|
LMS_EV_SETTINGS_CHANGED |
cn1、cn1Label、cs1、cs1Label、act |
任务组的事件类别
在设置组的事件类别的 CEF 消息正文中,可以根据其语义使用密钥(参见下表)。
任务组事件类别字段的允许值
密钥 |
值 |
|---|---|
deviceProcessName |
任务名称。 |
cnt |
过去 5 分钟内的错误数。 |
cs1 |
应用程序操作模式( |
cs1Label |
该值始终为 |
任务组的每个事件类别只能包含与其相关的密钥(请参见下表)。
任务组事件类别的相关密钥
事件类别 |
相关密钥 |
|---|---|
LMS_EV_PROCESS_CRASHED |
deviceProcessName,cnt |
LMS_EV_RESTARTED |
deviceProcessName,cnt |
LMS_EV_PRODUCT_STARTED |
cs1,cs1Label |
授权许可组的事件类别
在授权许可组的事件类别的 CEF 消息正文中,可以根据其语义使用密钥(参见下表)。
授权许可组事件类别字段的允许值
密钥 |
值 |
|---|---|
cs1 |
授权许可密钥的序列号。 |
cs1Label |
该值始终是 |
cs2 |
Kaspersky Web Traffic Security 按照授权许可的运行模式。 |
cs2Label |
该值始终是 |
cs3 |
授权许可类型。 |
cs3Label |
该值始终是 |
cn1 |
授权许可到期之前剩余的天数。 |
cn1Label |
该值始终是 |
reason |
错误描述。 |
deviceCustomDate1 |
授权许可到期日期。 |
deviceCustomDate1Label |
该值始终是 |
授权许可组的每个事件类别只能包含与其相关的密钥(请参见下表)。
授权许可组事件类别的相关密钥
事件类别 |
相关密钥 |
|---|---|
LMS_EV_LICENSE_OK |
cs1,cs1Label,cs2,cs2Label |
LMS_EV_LICENSE_INVALID |
cs1,cs1Label,reason |
LMS_EV_NO_LICENSE |
没有值 |
LMS_EV_LICENSE_BLACKLISTED |
cs1,cs1Label |
LMS_EV_LICENSE_TRIAL_EXPIRED |
cs1、cs1Label、deviceCustomDate1、deviceCustomDate1Label |
LMS_EV_LICENSE_EXPIRED |
cs1、cs1Label、deviceCustomDate1、deviceCustomDate1Label |
LMS_EV_LICENSE_ERROR |
reason |
LMS_EV_LICENSE_INSTALLED |
cs1、cs1Label、cs2、cs2Label、cs3、cs3Label |
LMS_EV_LICENSE_UPDATED |
cs1、cs1Label、cs2、cs2Label、cs3、cs3Label、deviceCustomDate1、deviceCustomDate1Label |
LMS_EV_GRACE_PERIOD |
cs1、cs1Label、cn1、cn1Label |
LMS_EV_LICENSE_REVOKED |
cs1,cs1Label |
LMS_EV_LICENSE_EXPIRES_SOON |
cs1、cs1Label、cn1、cn1Label |
更新组的事件类别
在更新组的事件类别的 CEF 消息正文中,可以根据其语义使用密钥(参见下表)。
更新组事件类别字段的允许值
密钥 |
值 |
|---|---|
reason |
事件发生的原因。 |
cn1 |
天数。 |
cn1Label |
该值始终为 |
cnt |
数据库中的记录数。 |
deviceCustomDate1 |
数据库发布日期。 |
deviceCustomDate1Label |
该值始终为 |
deviceCustomDate2 |
索引发布日期。 |
deviceCustomDate2Label |
该值始终为 |
更新组的每个事件类别只能包含与其相关的密钥(请参见下表)。
更新组事件类别的相关密钥
事件类别 |
相关密钥 |
|---|---|
LMS_EV_ANTIVIRUS_BASES_UPDATED |
没有值 |
LMS_EV_ANTIPHISHING_BASES_UPDATED |
没有值 |
LMS_EV_BASES_NOTHING_TO_UPDATE |
没有值 |
LMS_EV_ANTIVIRUS_BASES_UP_TO_DATE |
没有值 |
LMS_EV_ANTIPHISHING_BASES_UP_TO_DATE |
没有值 |
LMS_EV_ANTIVIRUS_BASES_OUT_OF_DATE |
cn1,cn1Label |
LMS_EV_ANTIPHISHING_BASES_OUT_OF_DATE |
cn1,cn1Label |
LMS_EV_ANTIVIRUS_BASES_OBSOLETED |
cn1,cn1Label |
LMS_EV_ANTIPHISHING_BASES_OBSOLETED |
cn1,cn1Label |
LMS_EV_ANTIVIRUS_BASES_APPLIED |
deviceCustomDate2、deviceCustomDate2Label、cnt、deviceCustomDate1、deviceCustomDate1Label |
LMS_EV_ANTIPHISHING_BASES_APPLIED |
deviceCustomDate1、deviceCustomDate1Label |
LMS_EV_BASES_UPDATE_ERROR |
reason |
ICAP 组的事件类别
在 ICAP 组的事件类别的 CEF 消息正文中,可以根据其语义使用密钥(参见下表)。
ICAP 组事件类别字段的允许值
密钥 |
值 |
|---|---|
cs1 |
<用户名>。 |
cs1Label |
该值始终是 |
cs2 |
工作区的名称。 |
cs2Label |
该值始终为 |
cs3 |
流量处理规则名称。允许使用多个名称。 |
cs3Label |
该值始终为 |
请求 |
请求网址。 |
src |
用户 IP 地址。 |
requestClientApplication |
处理流量的浏览器或应用程序的名称(用户代理)。 |
act |
以下操作之一: |
ICAP 的每个事件类别只能包含与其相关的密钥(请参见下表)。
ICAP 组事件类别的相关密钥
事件类别 |
相关密钥 |
|---|---|
LMS_EV_ICAP_MESSAGE_PROCESSED |
cs1、cs1Label、cs2、cs2Label、cs3、cs3Label、src、request、requestClientApplication、act |
如何获得技术支持
如果您在应用程序文档或其他 Kaspersky Web Traffic Security 信息源中无法找到问题的解决方案,我们建议您联系技术支持。技术支持人员将会解答与安装和使用 Kaspersky Web Traffic Security 有关的问题。
卡巴斯基在 Kaspersky Web Traffic Security 的整个生命周期内提供支持(请参阅应用程序生命周期页面)。联系技术支持部门之前,请先阅读 支持规则。
您可以通过以下方式之一联系技术支持:
- 通过访问技术支持网站。
- 通过 Kaspersky CompanyAccount 门户 发送请求至卡巴斯基技术支持。
通过 Kaspersky CompanyAccount 获得技术支持
Kaspersky CompanyAccount 是使用卡巴斯基应用程序的组织的门户。Kaspersky CompanyAccount portal 旨在通过在线请求便利用户与卡巴斯基专家之间的交流。Kaspersky CompanyAccount 门户可以让您监控卡巴斯基专家对电子请求的处理进程,和存储电子请求历史。
您可以把所在组织的所有员工注册在 Kaspersky CompanyAccount 上的一个账户下。单一账户可以让您集中管理注册员工对卡巴斯基的电子请求,也可以通过 Kaspersky CompanyAccount 管理这些员工的权限。
Kaspersky CompanyAccount 门户适用于以下语言:
- 英文
- 西班牙语
- 意大利语
- 德语
- 波兰语
- 葡萄牙语
- 俄语
- 法语
- 日语
您可以在 技术支持网站 了解更多有关 Kaspersky CompanyAccount 的信息。
页面顶端
为技术支持收集信息
在您通知卡巴斯基技术支持专家问题后,他们可能会要求您提供调试信息,包括跟踪文件和操作系统信息、服务器上运行的程序和其它诊断信息。跟踪文件可以让对执行应用程序命令的每一步进程进行跟踪和确定发生错误时的应用程序操作阶段。您可以选择在跟踪文件中记录哪些事件 (错误或信息消息)。所有跟踪文件和其它调试信息被保存在一个您可以发送到技术支持的压缩文档中。
跟踪文件可以包含您认为保密的机构信息。关于要提交的压缩文件的内容,您需要获得所在机构安全部门的批准。在提交跟踪日志前,请从中删除所有您认为保密的数据。
有关应用程序操作的调试消息将被根据定义的跟踪级别写入。它的储存位置取决于分发套件。
- 部署应用程序 ISO 镜像时的调式信息日志的 Local0 类别
- 应用程序从 RPM 或 DEB 包安装时的文件夹 /var/log/kaspersky/kwts
运行跟踪
要运行跟踪:
- 在应用程序 web 界面窗口中,选择 节点。
- 单击 打开 节点 区域菜单。
- 选择 获取跟踪。
获取跟踪的节点选择 窗口将打开。
- 在服务器表中选择您想要为其创建跟踪文件的服务器旁边的复选框。
- 单击 启动。
用于技术支持的跟踪日志 窗口将打开,其中有跟踪结果。创建的跟踪日志包含每个服务器的单独文件。
更改跟踪级别
跟踪级别更改会保存在应用程序配置中,不影响已创建的跟踪文件。
要选择跟踪级别:
- 在应用程序 web 界面窗口中,选择 节点。
- 单击 打开 节点 区域菜单。
- 单击 更改跟踪级别。
跟踪级别 窗口将打开。
- 选择以下选项之一:
- 错误级别。
- 调试级别。
该跟踪级别会极大提高对数据存储子系统的要求并影响应用程序性能。只有当卡巴斯基技术支持要求此类型的跟踪文件时才使用调试级别。
默认设置为 错误级别。
- 单击 保存。
代理服务器将被重启。重启完成前流量处理将被暂停。
将根据所选的跟踪级别执行跟踪。
页面顶端
查看跟踪日志
要查看跟踪日志:
- 在应用程序 web 界面窗口中,选择 节点。
- 单击 打开 节点 区域菜单。
- 单击 查看跟踪日志。
用于技术支持的跟踪日志 页面将打开,其中有之前创建的跟踪日志的列表。
- 如果您想要查看跟踪日志覆盖的服务器,请在所选的行中单击 。
在计算机上保存跟踪文件
要在计算机上保存跟踪文件:
- 在应用程序 web 界面窗口中,选择 节点。
- 单击 打开 节点 区域菜单。
- 单击 查看跟踪日志。
用于技术支持的跟踪日志 页面将打开,其中有之前创建的跟踪日志的列表。
- 单击您想要从其下载文件的跟踪日志名称旁边的 。
- 在带有所需文件的行中,单击图标。
跟踪文件将保存在计算机的浏览器下载文件夹中。
页面顶端
附录 1。安装和配置 Squid 服务
如果您使用单独的代理服务器,则默认 Kaspersky Web Traffic Security 不对 ICAP 流量进行加密或对 ICAP 客户端进行身份验证。应用程序管理员必须通过使用流量隧道或 iptables 单独确保您的代理服务器和 Kaspersky Web Traffic Security 之间的网络连接安全。
您可以选择不使用单独的代理服务器,而是安装
。如果 Kaspersky Web Traffic Security 是从 RPM 或 DEB 软件包安装到即用型操作系统的,则所提供的有关安装和配置 Squid 服务的说明适用。如果 Kaspersky Web Traffic Security 是从 ISO 文件安装的,则无法手动更改内置代理服务器的配置文件。
安装和配置 Squid 服务包括以下步骤。
- 安装 Squid 服务
- 配置 Squid 服务
- 在 Squid 服务中配置 SSL Bumping
建议在 Squid 服务中配置
以处理加密连接。如果未配置 SSL Bumping,则代理服务器无法干预加密连接建立过程。在这种情况下,Kaspersky Web Traffic Security(反病毒和反网络钓鱼)的保护模块无法扫描在加密数据通道内传输的数据。这降低了企业 IT 基础架构的保护级别。 - 添加 SSL Bumping 的排除项
使用 SSL Bumping 可能会中断使用代理服务器的某些应用程序或服务的运行。为了确保其正确运行,您必须将其添加到 SSL Bumping 排除项。
- 对于负载过重的额外配置
若要处理大量网络连接,您必须配置 Squid 服务和操作系统网络堆栈的性能设置。
安装 Squid 服务
如果 Kaspersky Web Traffic Security 是从 RPM 或 DEB 软件包安装到即用型操作系统的,则这些说明适用。
要安装 Squid 服务:
- 如果正在使用 SUSE Linux Enterprise Server 15 SP1 操作系统,请连接 Server Applications Module。为此,请执行命令:
SUSEConnect -p sle-module-server-applications/15.1/x86_64 - 安装 Squid 服务软件包。为此,请根据所使用的操作系统运行以下命令之一:
- CentOS 或 Red Hat Enterprise Linux:
yum install -y squid - SUSE Linux Enterprise Server:
zypper install squid - Ubuntu、Debian 或 ALT Server:
apt-get install squid
- CentOS 或 Red Hat Enterprise Linux:
- 添加 Squid 服务进行自动启动。为此,请执行命令:
systemctl enable squid - 启动 Squid 服务。为此,请执行命令:
service squid start - 检查 Squid 服务的状态。为此,请执行命令:
service squid status激活 参数必须包含 激活(正在运行) 值。
Squid 服务已安装。
页面顶端
配置 Squid 服务
如果 Kaspersky Web Traffic Security 是从 RPM 或 DEB 软件包安装到即用型操作系统的,则这些说明适用。如果 Kaspersky Web Traffic Security 是从 ISO 文件安装的,则无法手动更改内置代理服务器的配置文件。
要配置 Squid 服务,请:
- 更改 Squid 服务的设置。为此,添加以下字符串到配置文件 /etc/squid/squid.conf 的末尾:
icap_enable onadaptation_send_username onadaptation_send_client_ip onicap_service kwts_req reqmod_precache icap://127.0.0.1:1344/av/reqmodicap_service kwts_res respmod_precache icap://127.0.0.1:1344/av/respmodicap_service_failure_limit -1adaptation_access kwts_req allow alladaptation_access kwts_res allow all - 在同一个配置文件中,添加 tcpkeepalive 选项到 http_port 指令:
http_port 3128 tcpkeepalive=60,30,3 - 重启 Squid 服务。为此,请执行命令:
service squid restart
Squid 服务配置现在已完成。
页面顶端
在 Squid 服务中配置 SSL Bumping
如果 Kaspersky Web Traffic Security 是从 RPM 或 DEB 软件包安装到即用型操作系统的,则这些说明适用。如果 Kaspersky Web Traffic Security 是从 ISO 文件安装的,则无法手动更改内置代理服务器的配置文件。
建议在 Squid 服务中配置 SSL Bumping 以处理加密连接。如果未配置 SSL Bumping,则代理服务器无法干预加密连接建立过程。在这种情况下,Kaspersky Web Traffic Security(反病毒和反网络钓鱼)的保护模块无法扫描在加密数据通道内传输的数据。这降低了企业 IT 基础架构的保护级别。
SSL Bumping 需要 SSL 证书和 PEM 格式的私钥。您可以 新建一个自签名 SSL 证书 或使用一个准备好的(例如,证书机构颁发的 SSL 证书)。
如果私钥受密码保护,需要提前解密。
要在 Squid 服务中配置 SSL Bumping:
- 请确保所用的 Squid 服务支持必需的选项。为此,请执行命令:
squid -v配置选项参数必须包含--enable-ssl-crtd and --with-openssl值。 - 把 PEM 格式的 SSL 证书复制到文件 /etc/squid/bump.crt 中。
- 把 PEM 格式的私钥复制到文件 /etc/squid/bump.key 中。
- 为 Diffie-Hellman 算法生成设置文件。为此,请执行命令:
openssl dhparam -outform PEM -out /etc/squid/bump_dhparam.pem 2048 - 配置 SSL 证书文件使用权限。为此,请根据所使用的操作系统运行以下命令:
- CentOS, Red Hat Enterprise Linux 或 SUSE Linux Enterprise Server:
chown squid:squid /etc/squid/bump*chmod 400 /etc/squid/bump* - Ubuntu、Debian 或 ALT Server:
chown proxy:proxy /etc/squid/bump*chmod 400 /etc/squid/bump*
- CentOS, Red Hat Enterprise Linux 或 SUSE Linux Enterprise Server:
- 确定您的服务器上使用的 Squid 服务的版本。为此,请执行命令:
squid -v利用版本的信息显示为格式
Squid Cache: 版本 <version>。 - 如果 Squid 服务正在运行,将其停止。为此,请执行命令:
service squid stop - 如果正在使用版本 3.5.х 的 Squid 服务:
- 为证书数据库创建目录然后初始化数据库。为此,请根据所使用的操作系统运行以下命令:
- CentOS 或 Red Hat Enterprise Linux:
mkdir -p /var/lib/squidrm -rf /var/lib/squid/ssl_db/usr/lib64/squid/ssl_crtd -c -s /var/lib/squid/ssl_dbchown -R squid:squid /var/lib/squid - SUSE Linux Enterprise Server:
mkdir -p /var/lib/squidrm -rf /var/lib/squid/ssl_db/usr/sbin/ssl_crtd -c -s /var/lib/squid/ssl_dbchown -R squid:squid /var/lib/squid - Ubuntu 或 Debian:
mkdir -p /var/lib/squidrm -rf /var/lib/squid/ssl_db/usr/lib/squid/ssl_crtd -c -s /var/lib/squid/ssl_dbchown -R proxy:proxy:<group> /var/lib/squid
- CentOS 或 Red Hat Enterprise Linux:
- 在 /etc/squid/squid.conf 配置文件中进行以下更改:
- 在文件末尾,根据利用的操作系统添加以下指令:
- CentOS 或 Red Hat Enterprise Linux:
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/squid/ssl_db -M 20MBsslproxy_cert_error allow allssl_bump stare all- SUSE Linux Enterprise Server:
sslcrtd_program /usr/sbin/ssl_crtd -s /var/lib/squid/ssl_db -M 20MBsslproxy_cert_error allow allssl_bump stare all- Ubuntu 或 Debian:
sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/squid/ssl_db -M 20MBsslproxy_cert_error allow allssl_bump stare all - 用以下内容替换 http_port 指令:
http_port 3128 tcpkeepalive=60,30,3 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB cert=/etc/squid/bump.crt key=/etc/squid/bump.key cipher=HIGH:MEDIUM:!LOW:!RC4:!SEED:!IDEA:!3DES:!MD5:!EXP:!PSK:!DSS options=NO_TLSv1,NO_SSLv3,NO_SSLv2,SINGLE_DH_USE,SINGLE_ECDH_USE tls-dh=prime256v1:/etc/squid/bump_dhparam.pem
- 在文件末尾,根据利用的操作系统添加以下指令:
- 为证书数据库创建目录然后初始化数据库。为此,请根据所使用的操作系统运行以下命令:
- 如果正在使用版本 4.х 的 Squid 服务:
- 为证书数据库创建目录然后初始化数据库。为此,请根据所使用的操作系统运行以下命令:
- CentOS 或 Red Hat Enterprise Linux:
mkdir -p /var/lib/squidrm -rf /var/lib/squid/ssl_db/usr/lib64/squid/security_file_certgen -c -s /var/lib/squid/ssl_db -M 20MBchown -R squid:squid /var/lib/squid - SUSE Linux Enterprise Server:
mkdir -p /var/lib/squidrm -rf /var/lib/squid/ssl_db/usr/sbin/security_file_certgen -c -s /var/lib/squid/ssl_db -M 20MBchown -R squid:squid /var/lib/squid - Ubuntu、Debian 或 ALT Server:
mkdir -p /var/lib/squidrm -rf /var/lib/squid/ssl_db/usr/lib/squid/security_file_certgen -c -s /var/lib/squid/ssl_db -M 20MBchown -R proxy:proxy /var/lib/squid
- CentOS 或 Red Hat Enterprise Linux:
- 在 /etc/squid/squid.conf 配置文件中进行以下更改:
- 将以下指令添加到文件开始或第一个 http_access 指令前:
acl intermediate_fetching transaction_initiator certificate-fetchinghttp_access allow intermediate_fetching - 根据利用的操作系统将以下指令添加到文件末尾:
- CentOS 或 Red Hat Enterprise Linux:
sslcrtd_program /usr/lib64/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 20MBsslproxy_cert_error allow allssl_bump stare all- SUSE Linux Enterprise Server:
sslcrtd_program /usr/sbin/security_file_certgen -s /var/lib/squid/ssl_db -M 20MBsslproxy_cert_error allow allssl_bump stare all- Ubuntu、Debian 或 ALT Server:
sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 20MBsslproxy_cert_error allow allssl_bump stare all - 用以下内容替换 http_port 指令:
http_port 3128 tcpkeepalive=60,30,3 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB tls-cert=/etc/squid/bump.crt tls-key=/etc/squid/bump.key cipher=HIGH:MEDIUM:!LOW:!RC4:!SEED:!IDEA:!3DES:!MD5:!EXP:!PSK:!DSS options=NO_TLSv1,NO_SSLv3,SINGLE_DH_USE,SINGLE_ECDH_USE tls-dh=prime256v1:/etc/squid/bump_dhparam.pem
- 将以下指令添加到文件开始或第一个 http_access 指令前:
- 为证书数据库创建目录然后初始化数据库。为此,请根据所使用的操作系统运行以下命令:
- 重启 Squid 服务。为此,请执行命令:
service squid restart
配置 Squid 服务中的 SSL Bumping 将完成。
页面顶端
创建一个自签名的 SSL 证书
如果 Kaspersky Web Traffic Security 是从 RPM 或 DEB 软件包安装到即用型操作系统的,则这些说明适用。
如要创建一个自签名的 SSL 证书:
- 转至 Squid 服务文件夹。为此,请执行命令:
cd /etc/squid - 创建一个自签名的 SSL 证书。为此,请执行命令:
openssl req -new -newkey rsa:2048 -days <certificate validity period in days> -nodes -x509 -keyout bump.key -out bump.crt您将被提示填写自签名 SSL 证书的字段。
- 请填写自签名 SSL 证书的字段。
证书文件 bump.crt 和私钥文件 bump.key 将按 PEM 格式进行创建。
私钥文件必须存储在安全位置以防对流量未经授权进行访问。
- 将证书文件转换为 DER 格式的受信任证书以便它可以被导入浏览器中。为此,请执行命令:
openssl x509 -in bump.crt -outform DER -out bump.der - 将 bump.der 文件导入用户计算机上受信任的根认证权威列表。
当使用某些浏览器(诸如 Mozilla Firefox)时,您必须将证书也添加到浏览器存储。
将创建自签名 SSL 证书。
页面顶端
添加 SSL Bumping 的排除项
如果 Kaspersky Web Traffic Security 是从 RPM 或 DEB 软件包安装到即用型操作系统的,则这些说明适用。如果 Kaspersky Web Traffic Security 是从 ISO 文件安装的,则无法手动更改内置代理服务器的配置文件。
在以下情况下您可能需要添加 SSL Bumping 的排除项:
- 软件使用 HTTPS 之外的协议(比如 SSH、RDP 或 VPN)。
- 软件或 Web 资源使用 WebSockets 或 HTTP/2.0 协议。
- 正使用国家加密算法(比如 GOST 或 Sm2)访问 Web 资源。
- 软件使用服务器证书固定。
- 软件或 Web 资源需要基于客户端 SSL 证书的授权。
如要添加 SSL Bumping 的排除项:
- 创建一个名为 /etc/squid/donotbump.list 的文件,其中包含您想要添加到排除项的 Web 资源和主机的域名的列表。
每个域名必须列在新的一行上。
要将含所有子域的域添加到排除项,在值的开始加一个点(例如,
.domain.com)。 - 将以下指示添加到配置文件 /etc/squid/squid.conf:
acl do_not_bump dstdomain "/etc/squid/donotbump.list"ssl_bump splice do_not_bump这些字符串必须添加到最终指示 ssl_bump stare all 之前。
- 重启 Squid 服务。为此,请执行命令:
service squid restart
将添加 SSL Bumping 排除项。
页面顶端
对于负载过重的额外配置
如果 Kaspersky Web Traffic Security 是从 RPM 或 DEB 软件包安装到即用型操作系统的,则这些说明适用。如果 Kaspersky Web Traffic Security 是从 ISO 文件安装的,则无法手动更改内置代理服务器的配置文件。
若要处理大量网络连接,您必须配置 Squid 服务和操作系统网络堆栈的性能设置。
若要执行其它配置:
- 创建一个含以下内容、名为 /etc/sysctl.d/90-net-tcp.conf 的配置文件:
net.core.somaxconn = 1024net.core.netdev_max_backlog = 2048net.ipv4.ip_local_port_range = 1024 65535net.ipv4.tcp_max_syn_backlog = 2048net.ipv4.tcp_fin_timeout = 20net.ipv4.tcp_syncookies = 1net.ipv4.tcp_timestamps = 1net.ipv4.tcp_tw_reuse = 1net.ipv4.tcp_rfc1337 = 1 - 应用更改。为此,请执行命令:
sysctl -p /etc/sysctl.d/90-net-tcp.conf - 配置 Squid 服务的性能设置。为此,添加以下字符串到配置文件 /etc/squid/squid.conf 的末尾:
workers <服务器所有处理器的物理内核数量> - 重启 Squid 服务。为此,请执行命令:
service squid restart
其它配置现在完成。
页面顶端
附录 2。配置 Squid 服务和 Active Directory 集成
Active Directory 集成可让您添加 Active Directory 用户作为流量处理规则触发的发起者。
如果 Kaspersky Web Traffic Security 是从 RPM 或 DEB 软件包安装到即用型操作系统的,则所提供的有关配置 Squid 服务的说明适用。如果 Kaspersky Web Traffic Security 是从 ISO 文件安装的,则无法手动更改内置代理服务器的配置文件。
您可以使用以下身份验证机制:
推荐使用 Kerberos 身份验证,因为它是最可靠的机制。NTLM 和基本身份验证可以让攻击者通过拦截网络流量来访问用户密码。
配置 Kerberos 身份验证
如果 Kaspersky Web Traffic Security 是从 RPM 或 DEB 软件包安装到即用型操作系统的,则这些说明适用。
要使用 Kerberos 身份验证,必须确保 DNS 系统中的每个域控制器都有 PTR 条目。
在托管 Squid 服务的服务器上执行配置 Kerberos 身份验证的步骤。
要配置身份验证,用户账户必须拥有超级用户权限。
配置时间同步
要使用 NTP 服务器配置时间同步,请:
- 安装 chrony 软件包。为此,请根据所使用的操作系统运行以下命令之一:
- CentOS 或 Red Hat Enterprise Linux:
yum install -y chrony - SUSE Linux Enterprise Server:
zypper install chrony - Ubuntu、Debian 或 ALT Server:
apt-get install chrony
- CentOS 或 Red Hat Enterprise Linux:
- 启用 chronyd 服务自动启动。为此,请根据所使用的操作系统运行以下命令之一:
- Ubuntu、Debian 或 ALT Server:
systemctl enable chrony - 其他操作系统:
systemctl enable chronyd
- Ubuntu、Debian 或 ALT Server:
- 根据操作系统打开以下文件之一:
- CentOS, Red Hat Enterprise Linux 或 SUSE Linux Enterprise Server:
/etc/chrony.conf
- Debian、Ubuntu 或 ALT Server:
/etc/chrony/chrony.conf
- CentOS, Red Hat Enterprise Linux 或 SUSE Linux Enterprise Server:
- 添加带有您想要用来配置时间同步的 NTP 服务器的 IP 地址的字符串。例如:
服务器 <NTP 服务器的 IP 地址> iburst - 在字符串的开始批注带有您不想用于时间同步的 NTP 服务器的 IP 地址的文字库或服务器(“批注”的意思是在字符串的开始添加 # 字符)。
- 如果您正在使用 Windows 域控制器进行时间同步,请添加以下字符串:
maxdistance 16.0 - 保存并关闭 /etc/chrony.conf 文件。
- 重启 chronyd 服务。为此,请根据所使用的操作系统运行以下命令之一:
- Ubuntu、Debian 或 ALT Server:
systemctl restart chrony - 其他操作系统:
systemctl restart chronyd
- Ubuntu、Debian 或 ALT Server:
- 验证时间同步。为此,请执行命令:
chronyc sources -v如果显示的 IP 地址与您在 chrony.conf 文件中指定的 NTP 服务器的地址匹配,则同步配置正确。
将配置 Squid 服务器和 NTP 服务器之间的时间同步。
页面顶端
配置 DNS
若要配置 DNS 设置,请:
- 指定 DNS 服务器或用于使用托管 Squid 服务的服务器上的 Active Directory 的服务器的 IP 地址。
要了解在不同操作系统中配置 DNS 的方式的更多详情,请参阅相关操作系统的文档。
- 请确保 Active Directory DNS 区域可用。为此,请执行命令:
host -t a <Active Directory domain>要使用主机实用程序,可能需要提前安装 bind-utils 或 bind9-host 包。
您将看到 Active Directory 域控制器的 A 项。
- 请确保每个域控制器都有 PTR 条目。为此,请执行命令:
主机 <域控制器 IP 地址>您将看到 Active Directory 域控制器的 PTR 条目。
- 为托管 Squid 服务的服务器在 Active Directory DNS 服务器上添加 A- 和 PTR 项。服务器名称必须唯一且包含不超过15个字符。
要创建 PTR 项可能需要添加反向 DNS 区域。
- 指定托管 Squid 服务的服务器的名称。为此,请执行命令:
hostnamectl set-hostname <托管 Squid 服务的服务器名称>托管 Squid 服务的服务器名称必须与该服务器在 DNS 服务器上的名称匹配。
- 请确保可以从托管 Squid 服务的服务器访问 Active Directory 域控制器。为此,请执行命令:
ping <Active Directory 域控制器名称>如果 Active Directory 域控制器可访问,您将看到数据包成功交换。
- 请确保可以从 Active Directory 域控制器访问托管 Squid 服务的服务器。为此,请执行命令:
ping <托管 Squid 服务的服务器名称>如果托管 Squid 服务的服务器可访问,您将看到数据包成功交换。
DNS 设置将得到配置。
页面顶端
为 Squid 服务创建 keytab 文件
您可以使用相同的用户账户在集群的所有节点上进行身份验证。为此,您必须为这些节点中的每一个创建一个包含服务主体名称 (SPN) 的 keytab 文件。创建 keytab 文件时,必须使用属性生成盐(哈希函数修饰符)。
生成的盐必须使用您选择的方法进行保存,以便随后将新的 SPN 添加到 keytab 文件中。
您还可以为要为其配置 Kerberos 身份验证的每个集群节点创建单独的 Active Directory 用户账户。
使用域管理员账户,在域控制器服务器或属于该域的 Windows Server 计算机上创建 keytab 文件。
要使用单个用户账户为 Squid 服务创建 keytab 文件:
- 在“Active Directory 用户和计算机”管理单元中,创建一个名称为
squid-user的用户账户。 - 要使用 AES256-SHA1 加密算法,请在 Active Directory 用户和计算机管理单元中执行以下操作:
- 打开创建的账户的属性。
- 在账户选项卡中,选择此账户支持 Kerberos AES 256 位加密复选框。
- 使用 ktpass 实用程序为
squid-user创建 keytab 文件。为此,请在命令行运行以下命令:C:\Windows\system32\ktpass.exe -princ HTTP/<具有 Squid 服务的服务器名称>@<大写的 realm Active Directory 域名> -mapuser squid-user@<realm 大写 Active Directory 域名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <文件路径>\<文件名>.keytab应该用小写指定托管 Squid 服务的服务器名称(例如,
proxy.company.com)。当您运行命令时,该实用程序会提示您输入
squid-user的密码。控制节点的 SPN 条目将添加到创建的 keytab 文件中。将显示生成的盐:
带有盐“<哈希值>”的哈希密码。 - 对于集群的每个节点,将 SPN 条目添加到 keytab 文件中。为此,请运行以下命令:
C:\Windows\system32\ktpass.exe -princ HTTP/<节点的完全限定域名 (FQDN)>@<realm 大写 Active Directory 域名> -mapuser squid-user@<realm 大写 Active Directory 域名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <先前创建的文件的路径和名称>.keytab -out <路径和新名称>.keytab -setupn -setpass -rawsalt "<在第 3 步创建 keytab 文件时获得的盐的哈希值>"当您运行命令时,该实用程序会提示您输入
squid-user的密码。
将为 Squid 服务创建 keytab 文件。此文件将包含集群节点的所有已添加的 SPN。
示例: 例如,您需要创建包含以下 3 个节点的 SPN 的 keytab 文件: 要在 C:\keytabs\ 文件夹中创建包含控制节点 SPN 的
假定您获得了盐 要再添加一个 SPN,必须运行以下命令:
要添加第三个 SPN,您必须运行以下命令:
这将导致创建一个名为 |
要针对每个节点使用单独的用户账户为 Squid 服务器创建 keytab 文件:
- 在“Active Directory 用户和计算机”管理单元中,为每个集群节点创建一个单独的用户账户(例如,名称为
squid-user、squid-user2、squid-user3等的用户账户)。 - 要使用 AES256-SHA1 加密算法,请在 Active Directory 用户和计算机管理单元中执行以下操作:
- 打开创建的账户的属性。
- 在账户选项卡中,选择此账户支持 Kerberos AES 256 位加密复选框。
- 使用 ktpass 实用程序为
squid-user创建 keytab 文件。为此,请在命令行运行以下命令:C:\Windows\system32\ktpass.exe -princ HTTP/<具有 Squid 服务的服务器小写名称>@<realm 大写 Active Directory 域名> -mapuser squid-user@<realm 大写 Active Directory 域名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out <文件路径>\<文件名>.keytab应该用小写指定托管 Squid 服务的服务器名称(例如,
proxy.company.com)。当您运行命令时,该实用程序会提示您输入
squid-user的密码。控制节点的 SPN 条目将添加到创建的 keytab 文件中。
- 对于集群的每个节点,将 SPN 条目添加到 keytab 文件中。为此,请运行以下命令:
C:\Windows\system32\ktpass.exe -princ HTTP/<节点的完全限定域名 (FQDN)>@<realm 大写 Active Directory 域名> -mapuser squid-user2@<realm 大写 Active Directory 域名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <先前创建的文件的路径和名称>.keytab -out <路径和新名称>.keytab当您运行命令时,该实用程序会提示您输入
squid-user2的密码。
将为 Squid 服务创建 keytab 文件。此文件将包含集群节点的所有已添加的 SPN。
示例: 例如,您需要创建包含以下 3 个节点的 SPN 的 keytab 文件: 要在 C:\keytabs\ 文件夹中创建包含控制节点 SPN 的
要再添加一个 SPN,必须运行以下命令:
要添加第三个 SPN,您必须运行以下命令:
这将导致创建一个名为 |
为 Kerberos 身份验证配置 Squid 服务
如果 Kaspersky Web Traffic Security 是从 RPM 或 DEB 软件包安装到即用型操作系统的,则这些说明适用。
如果您要用名称包含根域名 .local 的域来配置身份验证,您必须完成以下步骤以便操作系统准备进行正确的 Kerberos 身份验证。
要为 Kerberos 身份验证配置 Squid 服务:
- 如果正在使用 CentOS 版本 8.x 或 Red Hat Enterprise Linux 版本 8.x 操作系统,配置加密算法使用策略。为此,请执行命令:
update-crypto-policies --set LEGACY - 复制 squid.keytab 文件到文件夹 /etc/squid/。
- 配置 Keytab 文件访问权限。为此,请根据所使用的操作系统运行以下命令:
- CentOS, Red Hat Enterprise Linux 或 SUSE Linux Enterprise Server:
chown squid:squid /etc/squid/squid.keytabchmod 400 /etc/squid/squid.keytab - Ubuntu、Debian 或 ALT Server:
chown proxy:proxy /etc/squid/squid.keytabchmod 400 /etc/squid/squid.keytab
默认情况下,krb5.keytab 文件拥有者为超级用户。
- CentOS, Red Hat Enterprise Linux 或 SUSE Linux Enterprise Server:
- 根据操作系统,请将以下参数添加到 /etc/squid/squid.conf 文件的开头:
- CentOS 或 Red Hat Enterprise Linux:
auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<托管 Squid 服务的服务器名称>@<大写的 realm Active Directory 域名>auth_param negotiate children 100 startup=0 idle=10auth_param negotiate keep_alive onacl authenticated_user proxy_auth REQUIREDhttp_access deny !authenticated_user - SUSE Linux Enterprise Server:
auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<托管 Squid 服务的服务器名称>@<大写的 realm Active Directory 域名>auth_param negotiate children 100 startup=0 idle=10auth_param negotiate keep_alive onacl authenticated_user proxy_auth REQUIREDhttp_access deny !authenticated_user - Ubuntu、Debian 或 ALT Server:
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -k /etc/squid/squid.keytab -s HTTP/<托管 Squid 服务的服务器名称>@<大写的 realm Active Directory 域名>auth_param negotiate children 100 startup=0 idle=10auth_param negotiate keep_alive onacl authenticated_user proxy_auth REQUIREDhttp_access deny !authenticated_user
- CentOS 或 Red Hat Enterprise Linux:
- 如果您想要用调试模式启用事件记录,请在 /etc/squid/squid.conf 文件中将
-d参数添加到第一个字符串。- CentOS 或 Red Hat Enterprise Linux:
auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<托管 Squid 服务的服务器名称>@<realm Active Directory 域名> - SUSE Linux Enterprise Server:
auth_param negotiate program /usr/sbin/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<托管 Squid 服务的服务器名称>@<大写的 realm Active Directory> - Ubuntu、Debian 或 ALT Server:
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -d -k /etc/squid/squid.keytab -s HTTP/<托管 Squid 服务的服务器名称>@<realm Active Directory 域名>
调试事件将被写入文件 /var/log/squid/cache.log。
- CentOS 或 Red Hat Enterprise Linux:
- 如果想要禁用重播缓存,根据所用的操作系统执行以下操作:
- 对于 CentOS 或 Red Hat Enterprise Linux,添加以下行到 /etc/sysconfig/squid 文件:
KRB5RCACHETYPE=none - 对于 Ubuntu 18.04.х、Debian 9.х 或 ALT Server,添加一下行到 /etc/default/squid 文件:
KRB5RCACHETYPE=none
- 对于 SUSE Linux Enterprise Server 15.x 或 Debian 10.x:
- 创建名为 /etc/systemd/system/squid.service.d/override.conf 含以下内容的文件:
[Service]Environment=KRB5RCACHETYPE=none - 运行以下命令:
systemctl daemon-reload
- 创建名为 /etc/systemd/system/squid.service.d/override.conf 含以下内容的文件:
默认启用重播缓存。
重播缓存提供了更可靠的保护,但是会降低应用程序的性能。
- 对于 CentOS 或 Red Hat Enterprise Linux,添加以下行到 /etc/sysconfig/squid 文件:
- 重启 Squid 服务。为此,请执行命令:
service squid restart - 在企业 LAN 计算机上,在浏览器设置中,指定作为代理服务器托管 Squid 服务的服务器的 完全限定域名(FQDN)。
Squid 服务现在已配置,可使用 Kerberos 身份验证。
页面顶端
配置 NTLM 身份验证
建议使用 Kerberos 身份验证进行安全数据通信。NTLM 身份验证仅应该在 Kerberos 身份验证不可用的情况下使用。使用 NTLM 身份验证时必须启用 Samba 协议版本 2。
如果 Kaspersky Web Traffic Security 是从 RPM 或 DEB 软件包安装到即用型操作系统的,则这些说明适用。
在托管 Squid 服务的服务器上执行配置 NTLM 身份验证的步骤。
要配置身份验证,用户账户必须拥有超级用户权限。
安装 Samba 服务
若要安装 Samba 服务和 Samba 服务运行所需的软件包,请根据所使用的操作系统运行以下命令之一:
- CentOS 或 Red Hat Enterprise Linux:
yum install samba samba-client samba-winbind samba-winbind-clients krb5-workstation - SUSE Linux Enterprise Server:
zypper install samba samba-client samba-winbind - Ubuntu 或 Debian:
apt-get install samba winbind
配置时间同步
要使用 NTP 服务器配置时间同步,请:
- 安装 chrony 软件包。为此,请根据所使用的操作系统运行以下命令之一:
- CentOS 或 Red Hat Enterprise Linux:
yum install -y chrony - SUSE Linux Enterprise Server:
zypper install chrony - Ubuntu、Debian 或 ALT Server:
apt-get install chrony
- CentOS 或 Red Hat Enterprise Linux:
- 启用 chronyd 服务自动启动。为此,请根据所使用的操作系统运行以下命令之一:
- Ubuntu、Debian 或 ALT Server:
systemctl enable chrony - 其他操作系统:
systemctl enable chronyd
- Ubuntu、Debian 或 ALT Server:
- 根据操作系统打开以下文件之一:
- CentOS, Red Hat Enterprise Linux 或 SUSE Linux Enterprise Server:
/etc/chrony.conf
- Debian、Ubuntu 或 ALT Server:
/etc/chrony/chrony.conf
- CentOS, Red Hat Enterprise Linux 或 SUSE Linux Enterprise Server:
- 添加带有您想要用来配置时间同步的 NTP 服务器的 IP 地址的字符串。例如:
服务器 <NTP 服务器的 IP 地址> iburst - 在字符串的开始批注带有您不想用于时间同步的 NTP 服务器的 IP 地址的文字库或服务器(“批注”的意思是在字符串的开始添加 # 字符)。
- 如果您正在使用 Windows 域控制器进行时间同步,请添加以下字符串:
maxdistance 16.0 - 保存并关闭 /etc/chrony.conf 文件。
- 重启 chronyd 服务。为此,请根据所使用的操作系统运行以下命令之一:
- Ubuntu、Debian 或 ALT Server:
systemctl restart chrony - 其他操作系统:
systemctl restart chronyd
- Ubuntu、Debian 或 ALT Server:
- 验证时间同步。为此,请执行命令:
chronyc sources -v如果显示的 IP 地址与您在 chrony.conf 文件中指定的 NTP 服务器的地址匹配,则同步配置正确。
将配置 Squid 服务器和 NTP 服务器之间的时间同步。
页面顶端
配置 DNS
若要配置 DNS 设置,请:
- 指定 DNS 服务器或用于使用托管 Squid 服务的服务器上的 Active Directory 的服务器的 IP 地址。
要了解在不同操作系统中配置 DNS 的方式的更多详情,请参阅相关操作系统的文档。
- 请确保可以从托管 Squid 服务的服务器访问 DNS 区域。为此,请执行命令:
host -t a <Active Directory domain>要使用主机实用程序,可能需要提前安装 bind-utils 或 bind9-host 包。
您将看到 Active Directory 域控制器的 A 项。
- 指定托管 Squid 服务的服务器的名称。为此,请执行命令:
hostnamectl set-hostname <托管 Squid 服务的服务器名称> - 为托管 Squid 服务的服务器在 Active Directory DNS 服务器上添加 A- 和 PTR 项。服务器名称必须唯一且包含至少15个字符。
要创建 PTR 项可能需要添加反向区域。
- 请确保托管 Squid 服务的服务器名称与该服务器在 Active Directory DNS 服务器上的名称匹配。
- 请确保可以从托管 Squid 服务的服务器访问 Active Directory 域控制器。为此,请执行命令:
ping <Active Directory 域控制器名称>如果 Active Directory 域控制器可访问,您将看到数据包成功交换。
- 请确保可以从 Active Directory 域控制器访问托管 Squid 服务的服务器。为此,请执行命令:
ping <托管 Squid 服务的服务器名称>如果托管 Squid 服务的服务器可访问,您将看到数据包成功交换。
DNS 设置将得到配置。
页面顶端
在托管 Squid 服务的服务器上配置 Samba
要配置 Samba 服务:
- 启动 Samba 服务并将其添加到自动启动。为此,请根据所使用的操作系统运行以下命令:
- CentOS, Red Hat Enterprise Linux 或 SUSE Linux Enterprise Server:
systemctl start smbsystemctl enable smbsystemctl start nmbsystemctl enable nmb - Ubuntu 或 Debian:
systemctl start smbdsystemctl enable smbdsystemctl start nmbdsystemctl enable nmbd
- CentOS, Red Hat Enterprise Linux 或 SUSE Linux Enterprise Server:
- 添加以下参数到 /etc/samba/smb.conf 文件:
[全局]workgroup = <Active Directory 域的 NetBIOS 名称>password server = <Active Directory 域控制器的 DNS 名称>realm = <大写的 Active Directory 域名>security = adsidmap uid = 10000-20000idmap gid = 10000-20000winbind use default domain = nowinbind request timeout = 300 - 将托管 Squid 服务的服务器添加到 Active Directory 域。为此,请执行命令:
net ads join -U <domain administrator>您将被提示输入域管理员的密码或有域管理员权限的用户的密码。
- 请输入管理员密码然后按 ENTER 键。
托管 Squid 服务的服务器应该被添加到 Active Directory 域。
- 请确保托管 Squid 服务的服务器确实添加到了 Active Directory 域。为此,请执行命令:
net ads testjoin如果托管 Squid 服务的服务器已被添加到 Active Directory 域,控制台中会显示
Join is OK。 - 重启 Samba 服务。为此,请根据所使用的操作系统运行以下命令:
- CentOS, Red Hat Enterprise Linux 或 SUSE Linux Enterprise Server。
systemctl restart smbsystemctl restart nmb - Ubuntu 或 Debian。
systemctl restart smbdsystemctl restart nmbd
如果您看到 "ERROR: failed to setup guest info", 您必须配置访客组的映射。为此,请运行命令
net groupmap add sid=S-1-5-32-546 unixgroup=nobody type=builtin - CentOS, Red Hat Enterprise Linux 或 SUSE Linux Enterprise Server。
- 启动 winbind 服务。为此,请执行命令:
systemctl start winbind - 添加 winbind 服务进行自动启动。为此,请执行命令:
systemctl enable winbind - 如果使用 Ubuntu or Debian, 请将 ‘代理’ 用户添加到 ‘winbindd_priv’ 组。为此,请执行命令:
usermod -a -G winbindd_priv proxy
Samba 配置将完成。继续检查 Samba 设置。
页面顶端
在托管 Squid 服务的服务器上检查 Samba 设置
要检查 Samba 服务的设置:
- 验证服务器已收到域组列表。为此,请执行命令:
wbinfo -g您将看到服务器的域组列表。
- 验证服务器已收到用户列表。为此,请执行命令:
wbinfo -u系统将显示服务器用户列表。
如果身份验证成功完成,则托管 Squid 服务的服务器上的 Samba 服务得到了正确配置。
页面顶端
配置 Squid 服务
如果 Kaspersky Web Traffic Security 是从 RPM 或 DEB 软件包安装到即用型操作系统的,则这些说明适用。如果 Kaspersky Web Traffic Security 是从 ISO 文件安装的,则无法手动更改内置代理服务器的配置文件。
要配置 Squid 服务,请:
- 添加以下字符串到 /etc/squid/squid.conf 文件的开头:
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --domain=<Active Directory 域的 NetBIOS 名称>auth_param ntlm children 100 startup=0 idle=10auth_param ntlm keep_alive offacl authenticated_user proxy_auth REQUIREDhttp_access deny !authenticated_user - 要在调试模式下启用事件记录,在 /etc/squid/squid.conf 文件中,添加
--diagnostics参数到以下字符串:auth_param ntlm program /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --domain=<Active Directory 域的 NetBIOS 名称>调试事件将被写入文件 /var/log/squid/cache.log。
- 重启 Squid 服务。为此,请执行命令:
service squid restart
Squid 服务配置将完成。
页面顶端
配置 NTLM 身份验证的客户端
要配置 NTLM 身份验证的客户端:
- 在托管 Squid 服务的服务器上,请确保 /etc/resolv.conf 文件中的第一个
nameserver参数包含带有 Active Directory 区域的 DNS 服务器的 IP 地址。为此,请执行命令:cat /etc/resolv.conf - 在 Active Directory DNS 服务器上,为 托管 Squid 服务的服务器添加 A- 和 PTR 项。
要创建 PTR 项可能需要添加反向区域。
- 请确保可以从托管 Squid 服务的服务器访问 Active Directory 域控制器。为此,请执行命令:
ping <Active Directory 域控制器名称>如果 Active Directory 域控制器可访问,您将看到数据包成功交换。
telnet <Active Directory 域控制器名称> 445如果 Active Directory 域控制器可访问,则连接建立成功。
要关闭连接,请按 Ctrl-],然后输入
quit然后按 ENTER键。 - 请确保可以从 Active Directory 域控制器访问托管 Squid 服务的服务器。为此,请执行命令:
ping <托管 Squid 服务的服务器名称>如果托管 Squid 服务的服务器可访问,您将看到数据包成功交换。
- 在企业 LAN 计算机上,在浏览器设置中,指定作为代理服务器托管 Squid 服务的服务器的 FQDN 地址。
将配置 NTLM 身份验证的客户端。
页面顶端
配置不在域中的主机的 NTLM 身份验证
要配置不在 Active Directory 中的主机的 NTLM 身份验证:
- 在企业 LAN 计算机上,在浏览器设置中,指定作为代理服务器托管 Squid 服务的服务器的 完全限定域名(FQDN)。
- 若要在操作系统中保存账户凭据并避免在浏览器每次启动时都必须输入它们,请打开 Windows 凭据管理器(启动 → 控制面板 → 凭据管理器)。
- 单击 添加 Windows 凭据。
- 在打开的窗口中,指定托管 Squid 服务的完全限定域名(FQDN)和用户的域账号。
- 单击 OK。
将配置 NTLM 身份验证。
页面顶端
配置基本身份验证
如果 Kaspersky Web Traffic Security 是从 RPM 或 DEB 软件包安装到即用型操作系统的,则这些说明适用。如果 Kaspersky Web Traffic Security 是从 ISO 文件安装的,则无法手动更改内置代理服务器的配置文件。
在托管 Squid 服务的服务器上执行配置基本身份验证的步骤。
要配置身份验证,用户账户必须拥有超级用户权限。
要配置基本身份验证:
- 根据操作系统,请将以下行添加到 /etc/squid/squid.conf 文件的开头:
- CentOS 或 Red Hat Enterprise Linux:
auth_param basic program /usr/lib64/squid/basic_ldap_auth -R -b "<LDAP object (domain, group, or organizational unit) in DN format (例如,"ou=ou_name,dc=test,dc=local" 或 "dc=domain,dc=example,dc=com")>" -D "<用户名>@<Active Directory domain>" -w "<用户密码>" -f "sAMAccountName=%s" <Active Directory 域控制器的 IP 地址>auth_param basic children 10auth_param basic realm Squid proxy-caching web serverauth_param basic casesensitive offauth_param basic credentialsttl 1 minuteacl authenticated_user proxy_auth REQUIREDhttp_access deny !authenticated_user - SUSE Linux Enterprise Server:
auth_param basic program /usr/sbin/basic_ldap_auth -R -b "<LDAP object (domain, group, or organizational unit) in DN format (例如,"ou=ou_name,dc=test,dc=local" 或 "dc=domain,dc=example,dc=com")>" -D "<用户名>@<Active Directory domain>" -w "<用户密码>" -f "sAMAccountName=%s" <Active Directory 域控制器的 IP 地址>auth_param basic children 10auth_param basic realm Squid proxy-caching web serverauth_param basic casesensitive offauth_param basic credentialsttl 1 minuteacl authenticated_user proxy_auth REQUIREDhttp_access deny !authenticated_user - Ubuntu、Debian 或 ALT Server:
auth_param basic program /usr/lib/squid/basic_ldap_auth -R -b “<LDAP object (domain, group, or organizational unit) in DN format (例如,"ou=ou_name,dc=test,dc=local" 或 "dc=domain,dc=example,dc=com")>" -D "<用户名>@<Active Directory domain>" -w "<用户密码>" -f "sAMAccountName=%s" <Active Directory 域控制器的 IP 地址>auth_param basic children 10auth_param basic realm Squid proxy-caching web serverauth_param basic casesensitive offauth_param basic credentialsttl 1 minuteacl authenticated_user proxy_auth REQUIREDhttp_access deny !authenticated_user
- CentOS 或 Red Hat Enterprise Linux:
- 如果您想要用调试模式启用事件记录,请在 /etc/squid/squid.conf 文件中将
-d参数添加到第一个字符串。- CentOS 或 Red Hat Enterprise Linux:
auth_param basic program /usr/lib64/squid/basic_ldap_auth -R -d -b "<LDAP object (domain, group, or organizational unit) in DN format (例如,"ou=ou_name,dc=test,dc=local" 或 "dc=domain,dc=example,dc=com")>" -D "<用户名>@<Active Directory domain>" -w "<用户密码>" -f "sAMAccountName=%s" <Active Directory 域控制器的 IP 地址> - SUSE Linux Enterprise Server:
auth_param basic program /usr/sbin/basic_ldap_auth -R -d -b "<LDAP object (domain, group, or organizational unit) in DN format (例如,"ou=ou_name,dc=test,dc=local" 或 "dc=domain,dc=example,dc=com")>" -D "<用户名>@<Active Directory domain>" -w "<用户密码>" -f "sAMAccountName=%s" <Active Directory 域控制器的 IP 地址> - Ubuntu、Debian 或 ALT Server:
auth_param basic program /usr/lib/squid/basic_ldap_auth -R -d -b "<LDAP object (domain, group, or organizational unit) in DN format (例如,"ou=ou_name,dc=test,dc=local" 或 "dc=domain,dc=example,dc=com")>" -D "<用户名>@<Active Directory domain>" -w "<用户密码>" -f "sAMAccountName=%s" <Active Directory 域控制器的 IP 地址>
调试事件将被写入文件 /var/log/squid/cache.log。
- CentOS 或 Red Hat Enterprise Linux:
- 重启 Squid 服务。为此,请执行命令:
service squid restart
将配置基本身份验证。
页面顶端
附录 3。使用 HAProxy 配置 ICAP 平衡
使用 HAProxy 负载平衡器的 ICAP 平衡可以让您将一个 Squid 服务同时连接到数个集群节点并在它们中分配流量处理负载。
默认情况下,ICAP 流量未加密。应用程序管理员必须通过使用流量隧道或 iptables 单独确保 HAProxy 服务器和 Kaspersky Web Traffic Security 之间以及 Squid 服务和 HAProxy 服务之间的网络连接安全。
更改 ICAP 服务器的 IP 地址
要更改 ICAP 服务器接收流量所使用的 IP 地址:
- 在应用程序 web 界面的主窗口中,选择 设置 区域,ICAP 服务器 子区域。
- 在 ICAP 服务器地址 字段中,将值从
127.0.0.1更改为0.0.0.0。如果使用 Ipv6 地址,将
::1替换为::。 - 单击 保存 按钮保存更改。
ICAP 服务器接收流量所使用的 IP 地址将被更改。
页面顶端
安装和配置 HAProxy
要配置和安装 HAProxy,用户账户必须拥有超级用户权限。
不建议在承载应用程序的同一服务器上安装 HAProxy 负载平衡器,因为 HAProxy 和 Kaspersky Web Traffic Security 使用相同的端口 (1344) 与其他 LAN 服务器进行交互。
要安装和配置 HAProxy:
- 打开端口 1344 的访问权限。为此,在带角色控制的节点上,根据使用的操作系统运行以下命令:
- CentOS 或 Red Hat Enterprise Linux:
firewall-cmd --add-port=1344/tcp --permanentfirewall-cmd --reload - Ubuntu:
ufw allow 1344 - Debian:
apt-get install iptables-persistentiptables -A INPUT -p tcp --dport 1344 -j ACCEPT
- CentOS 或 Red Hat Enterprise Linux:
- 在想要用来进行 ICAP 平衡的服务器上安装 HAProxy 软件包。为此,请根据所使用的操作系统运行以下命令之一:
- CentOS 或 Red Hat Enterprise Linux:
yum install haproxy - SUSE Linux Enterprise Server:
zypper install haproxy - Ubuntu 和 Debian:
apt-get install haproxy
- CentOS 或 Red Hat Enterprise Linux:
- 在想要用来进行 ICAP 平衡的服务器上添加以下设置块到 /etc/haproxy/haproxy.cfg 文件:
frontend ICAPbind 0.0.0.0:1344mode tcpdefault_backend icap_poolbackend icap_poolbalance <平衡方案,推荐 roundrobin>mode tcpserver <ICAP 服务器名称 1> <集群节点的 IP 地址>:<ICAP 服务器端口> checkserver <ICAP 服务器名称 2> <集群节点的 IP 地址>:<ICAP 服务器端口> checkserver <ICAP 服务器名称 3> <集群节点的 IP 地址>:<ICAP 服务器端口> check - 在想要用来进行 ICAP 平衡的服务器上重启 HAProxy 服务。为此,请执行命令:
service haproxy restart
HAProxy 负载平衡器将被配置。
页面顶端
为 HAProxy 配置 Squid 服务
在完成本部分描述的步骤前,请确保已按照附录1和2中提供的指示安装并配置了 Squid 服务。
要为 HAProxy 配置 Squid 服务:
- 更改 Squid 服务的设置。为此,在 /etc/squid/squid.conf 配置文件中,在 icap_service 指令中,指定 HAProxy 服务器的 IP 地址而不是 127.0.0.1:
icap_service kwts_req reqmod_precache icap://<带有 HAProxy 的服务器的 IP 地址>:1344/av/reqmodicap_service kwts_res respmod_precache icap://<带有 HAProxy 的服务器的 IP 地址>:1344/av/respmod - 重启 Squid 服务。为此,请执行命令:
service squid restart
HAProxy 的 Squid 服务配置现在已完成。
页面顶端
附录 4。MIME 类型的对象
以下是最常用的 MIME 对象类型:
- application/font-woff;
- application/javascript;
- application/json;
- application/ocsp-response;
- application/octet-stream;
- application/x-javascript;
- audio/mp4;
- audio/mpeg;
- image/gif;
- image/jpeg;
- image/png;
- image/svg+xml;
- image/vnd.microsoft.icon;
- image/x-icon;
- text/css;
- text/html;
- text/javascript;
- text/plain;
- video/mpeg.
附录 5。URL 规范化
Kaspersky Web Traffic Security 支持导入用以下格式的四个组成部分组成的 URL:
<协议>://<域>:<端口>/<路径>
必须指定域。可以省略 URL 的剩余组件。
示例:
在此: |
如果 URL
期间发生错误,地址没有被应用程序接受,推荐采取以下步骤。- 识别引起问题的 URL 组件。为此,根据以下算法依序添加地址组件:
- <域>。
- <协议>://<域>。
- <协议>://<域>:<端口>。
- <协议>://<域>:<端口>/<路径>。
- 检查引起问题的 URL 组件的值是否符合下表中所列的要求。
URL 成功正常化的要求
URL 组件
要求
协议
- 它必须以拉丁字母表的字母 (ASCII A–Z, a–z) 开始。
- 它可以包含拉丁字母表的字母 (ASCII A–Z, a–z),从0到9的数字,以及加减符号和点。
域
- 可以指定 Ipv4 和 IPv6 地址(方括号中)以及完全限定域名(FQDN)。
- 可以使用以下符号:
. _ ~ ! $ & ' ( ) * + , =
端口
可以使用从1到65535范围内的数值。
路径
- 可以使用一个或多个用 / 符号隔开的段落。
- 每个段落可以使用拉丁字母 (ASCII a-z),数字 (0-9),UTF 编码的符号,% 编码的符号,以及以下符号:
- . _ ~ : @ ! $ & ' ( ) * , =
- 如果指定 URL 包含分号,输入无需路径。您可以稍后在添加的 URL 列表中指定路径。
附录 7。取决于代理服务器类型和所需保护级别的物理处理器内核带宽值
下表给出了取决于代理服务器类型和所需保护级别的一个物理处理器内核的带宽值。
外部代理服务器、反病毒和反钓鱼模块、卡巴斯基安全网络
使用外部代理服务器、反病毒和反钓鱼模块以及卡巴斯基安全网络时的处理器内核带宽
内核数量 |
一个内核的 |
|||||
|---|---|---|---|---|---|---|
不使用超线程技术 |
使用超线程技术 |
|||||
低 |
中 |
高 |
低 |
中 |
高 |
|
4–7 |
10.28 |
13.57 |
16.69 |
14.59 |
19.26 |
23.70 |
8–24 |
9.34 |
12.33 |
15.17 |
13.27 |
17.51 |
21.54 |
25–48 |
8.69 |
11.47 |
14.11 |
12.34 |
16.29 |
20.03 |
外部代理服务器、反病毒和反钓鱼模块、卡巴斯基安全网络、按类别过滤流量
使用外部代理服务器、反病毒和反钓鱼模块、卡巴斯基安全网络以及按类别过滤流量时的处理器内核带宽
内核数量 |
一个内核的 |
|||||
|---|---|---|---|---|---|---|
不使用超线程技术 |
使用超线程技术 |
|||||
低 |
中 |
高 |
低 |
中 |
高 |
|
4–7 |
5.69 |
7.52 |
9.25 |
8.09 |
10.67 |
13.13 |
8–24 |
5.18 |
6.83 |
8.40 |
7.35 |
9.70 |
11.94 |
25–48 |
4.81 |
6.35 |
7.82 |
6.84 |
9.02 |
11.10 |
内置代理服务器、反病毒和反钓鱼模块、卡巴斯基安全网络
使用内置代理服务器、反病毒和反钓鱼模块以及卡巴斯基安全网络时的处理器内核带宽
内核数量 |
一个内核的 |
|||||
|---|---|---|---|---|---|---|
不使用超线程技术 |
使用超线程技术 |
|||||
低 |
中 |
高 |
低 |
中 |
高 |
|
4–7 |
8.09 |
10.68 |
13.14 |
11.49 |
15.16 |
18.65 |
8–24 |
7.35 |
9.71 |
11.94 |
10.44 |
13.79 |
16.96 |
25–48 |
6.84 |
9.03 |
11.11 |
9.71 |
12.82 |
15.77 |
内置代理服务器、反病毒和反钓鱼模块、卡巴斯基安全网络、按类别过滤流量
使用内置代理服务器、反病毒和反钓鱼模块、卡巴斯基安全网络以及按类别过滤流量时的处理器内核带宽
内核数量 |
一个内核的 |
|||||
|---|---|---|---|---|---|---|
不使用超线程技术 |
使用超线程技术 |
|||||
低 |
中 |
高 |
低 |
中 |
高 |
|
4–7 |
4.83 |
6.37 |
7.84 |
6.85 |
9.05 |
11.13 |
8–24 |
4.39 |
5.79 |
7.12 |
6.23 |
8.22 |
10.12 |
25–48 |
4.08 |
5.39 |
6.63 |
5.79 |
7.65 |
9.41 |
附录 8。取决于代理服务器类型和所需保护级别的虚拟处理器带宽值
下表给出了取决于代理服务器类型和所需保护级别的一个虚拟处理器的带宽值。
外部代理服务器、反病毒和反钓鱼模块、卡巴斯基安全网络
使用外部代理服务器、反病毒和反钓鱼模块以及卡巴斯基安全网络时的虚拟处理器带宽
虚拟处理器数量
|
一个内核的 |
||
|---|---|---|---|
低 |
中 |
高 |
|
4–7 |
5.76 |
7.60 |
9.34 |
8–24 |
5.23 |
6.91 |
8.50 |
25–48 |
4.87 |
6.42 |
7.90 |
外部代理服务器、反病毒和反钓鱼模块、卡巴斯基安全网络、按类别过滤流量
使用外部代理服务器、反病毒和反钓鱼模块、卡巴斯基安全网络以及按类别过滤流量时的虚拟处理器带宽
虚拟处理器数量
|
一个内核的 |
||
|---|---|---|---|
低 |
中 |
高 |
|
4–7 |
3.19 |
4.21 |
5.18 |
8–24 |
2.90 |
3.83 |
4.71 |
25–48 |
2.70 |
3.56 |
4.38 |
内置代理服务器、反病毒和反钓鱼模块、卡巴斯基安全网络
使用内置代理服务器、反病毒和反钓鱼模块以及卡巴斯基安全网络时的虚拟处理器带宽
虚拟处理器数量
|
一个内核的 |
||
|---|---|---|---|
低 |
中 |
高 |
|
4–7 |
4.53 |
5.98 |
7.36 |
8–24 |
4.12 |
5.44 |
6.69 |
25–48 |
3.83 |
5.06 |
6.22 |
内置代理服务器、反病毒和反钓鱼模块、卡巴斯基安全网络、按类别过滤流量
使用内置代理服务器、反病毒和反钓鱼模块、卡巴斯基安全网络以及按类别过滤流量时的虚拟处理器带宽
虚拟处理器数量
|
一个内核的 |
||
|---|---|---|---|
低 |
中 |
高 |
|
4–7 |
2.70 |
3.57 |
4.39 |
8–24 |
2.46 |
3.24 |
3.99 |
25–48 |
2.29 |
3.02 |
3.71 |
术语表
ICAP 服务器
一台实施 ICAP 协议的服务器。该协议允许筛选和修改 HTTP 请求和 HTTP 响应数据。例如,它可以被用来对数据进行病毒扫描,阻止垃圾邮件,阻止访问个人资源。ICAP 客户端通常是一台通过 ICAP 协议和 ICAP 服务器进行交互的代理服务器。Kaspersky Web Traffic Security 从作为 ICAP 服务器的机构的代理服务器接收数据。
Kerberos 身份验证
客户端和服务器在建立连接之前进行相互身份验证的机制,允许通过无保护的网络进行通信。该机制基于使用一个由身份验证中心发放给用户的票证。
Keytab 文件
包含允许使用 Kerberos 身份验证的客户端的成对唯一名称(主体)的文件,和衍生自用户密码的加密密钥。Keytab 文件在具有 Kerberos 支持的系统中用于对用户进行身份验证,无需输入密码。
LDAP
用来访问目录服务的轻型目录访问协议。
MIB(管理信息库)
用于管理通过 SNMP 协议传输的对象的虚拟数据库。
Nginx 服务
适用于用作 HTTP 服务器或邮件代理服务器的 UNIX 系统的软件。
NTLM 身份验证
一种身份验证机制,通过服务器和客户端之间的请求/响应起作用,而不会在网络上以明文形式传输用户密码。请求和响应用用户密码的哈希进行了加密,通过网络传输。如果网络流量被拦截,攻击者可以获得对密码哈希的访问,使得该机制不如 Kerberos 身份验证可靠。
PTR 记录
将计算机的 IP 地址与其域名相关联的 DNS 条目。
SELinux (安全增强型 Linux)
一个基于安全策略、用于控制访问操作系统资源进程的系统。
SIEM 系统
SIEM(安全信息和事件管理)系统是用于管理组织安全系统中的信息和事件的解决方案。
SNI(服务器名称指示)
传输需要建立连接的网站名称的 TLS 协议的扩展。当通过 HTTPS 协议运行的多个服务由同一物理服务器托管并使用相同的 IP 地址,但每个服务都有自己的安全证书时,SNI 是必需的。
SNMP 代理
Kaspersky Web Traffic Security 的网络管理软件模块,用于跟踪有关应用程序操作的信息。
SNMP 陷阱
SNMP 代理发送的应用程序事件通知。
Squid
作为 HTTP(S) 和 FTP 协议的缓存代理的软件包。Squid 服务使用访问控制列表来提供对资源的访问。
SRV 记录
确定位置的 DNS 标准,即用于具体服务的服务器主机名称和端口号。
SSL Bumping
用来拦截加密 HTTPS 会话的内容的 Squid 服务。
Syslog
传输和记录 UNIX 和 GNU/Linux 平台上的系统事件消息的标准。
TLS 加密
两台服务器之间的连接加密,允许互联网服务器之间进行安全数据传输。
保护规则
病毒、 钓鱼攻击迹象、可能被黑客利用的具体 合法应用程序、和其它在指定情况下在网络流量中执行、构成威胁的程序的扫描列表。
信誉筛选
一种使用技术确定消息信誉的云服务。有关新的垃圾邮件种类的信息在云服务中出现的时间比 Anti-Spam 模块数据库早,使其可以提高垃圾邮件检测的速度和准确性。
卡巴斯基安全网络 (KSN)
一个云服务基础架构,提供对卡巴斯基在线知识库的访问,知识库包含文件、网页资源和软件的信誉信息。使用卡巴斯基安全网络的数据可确保卡巴斯基应用程序对威胁做出更快的响应,改善一些保护组件的性能,和减少误报的可能性。
卡巴斯基私人安全网络
该解决方案允许卡巴斯基反病毒应用程序用户访问卡巴斯基安全网络的数据库而无需把自己计算机的数据发送给卡巴斯基安全网络服务器。
启发式分析
一种威胁检测技术,旨在检测使用当前版本的卡巴斯基应用程序数据库无法检测到的威胁。它可以检测可能被未知病毒或已知病毒的新变种感染的文件。
基本身份验证
包括以未加密形式将用户名和密码发送到服务器进行验证的身份验证机制。
工作区
适用于特定用户组的设置和访问权限组。
布局
应用程序 web 界面窗口在 仪表板 区域中的外观。您可以添加、移除和移动布局中的小组件,并配置某些小组件的比例。
带角色控制的节点
应用程序组件,允许管理员通过 web 界面管理应用程序设置。主服务器监控工作服务器的状态并为其提供已配置的设置和已安装的授权许可密钥。
带角色辅助的节点
根据流量处理规则扫描用户网络流量的应用程序组件。带角色辅助的节点会从带角色控制的节点收到管理员配置的设置。
恶意链接
导致恶意资源,即目的是传播恶意软件的网页资源的网址。
授权许可序列号
用于准确无误地识别应用程序授权许可所有者的唯一字母数字组合。
旁路规则
一组流量筛选条件,用于确定是否允许或拒绝用户访问 web 资源,而无需检查访问规则和保护规则。
更新源
资源包含 Kaspersky Web Traffic Security 反病毒数据库的更新。防病毒数据库更新的来源可以是卡巴斯基更新服务器、HTTP 或 FTP 服务器、本地或网络文件夹。
服务主体名称 (SPN)
网络中用于通过 Kerberos 协议进行身份验证的服务的唯一 ID。
正常化
正常化流程指的是 Web 资源地址的文本表示根据具体规则进行更改(例如,将用户名、密码和连接端口从 Web 资源地址的文本表示中排除,或将 Web 资源地址从大写字符改为小写字符。
流量处理规则
应用程序为满足指定条件的网页资源执行的操作集。
病毒
一种通过将其代码添加到其它程序对其进行感染的程序,目的是在感染文件启动时获得控制。这个简单定义允许病毒感染执行的主要操作得到识别。
目录服务
一种软件系统,可以将网络资源信息 (例如用户) 储存在一个地方并提供集中管理能力。
访问规则
指定 Web 资源和流量方向的用户限制和访问权限列表。
证书指纹
可用用来确认服务器证书真伪的信息。指纹通过将加密哈希功能应用到服务器证书的内容而创建。
跟踪
记录应用程序操作的调试信息。
重播缓存
用于 Kerberos 技术的缓存可以存储用户身份验证请求的记录。此机制有助于保护基础架构免遭重播攻击。当使用这些类型的攻击时,黑客会记录用户流量,以便他们可以重播用户以前发送的消息,从而在代理服务器上成功完成身份验证。当使用重播缓存时,身份验证服务器会检测重复的请求,并通过发送错误消息的方式响应。
钓鱼
一种互联网欺诈,目的在于获得对用户的机密数据进行未经授权的访问。
集群
安装了 Kaspersky Web Traffic Security 并通过应用程序 web 界面进行集中管理的服务器组。
页面顶端
AO Kaspersky Lab
卡巴斯基是世界驰名的系统供应商,保护计算机抵御各种威胁,包括病毒和其他恶意软件、垃圾邮件、网络和黑客袭击。
2008 年,卡巴斯基被评为世界前四名终端用户信息安全软件解决方案供应商 (IDC Worldwide Endpoint Security Revenue by Vendor)。卡巴斯基是俄罗斯家庭用户的首选计算机保护系统供应商(“IDC Endpoint Tracker 2014”)。
卡巴斯基于 1997 年成立于俄罗斯。它已成长为一家国际公司集团,在 33 个国家有 38 个办事处。公司现聘有 3000 多名合格专家。
产品。卡巴斯基的产品为所有系统提供保护—从家用计算机到大型公司网络。
个人产品范围包括用于台式机、笔记本电脑、平板电脑、智能手机和其他移动设备的安全应用程序。
公司提供用于工作站和移动设备、虚拟机、文件和网页服务器、邮件网关和防火墙的保护和控制解决方案及技术。公司的产品系列中还有防御 DDoS 攻击、保护工业控制系统和防止金融诈骗的专业产品。结合卡巴斯基的集中管理系统,这些解决方案可以确保任何规模的公司和组织自动抵御计算机威胁。卡巴斯基的产品经过主要测试实验室的认证,与众多计算机应用程序供应商的软件兼容,最适于在许多硬件平台上运行。
卡巴斯基的病毒分析工作昼夜不停地进行。他们每天会发现数十万新的计算机威胁,创建工具检测并清除它们,将这些威胁的签名包括在卡巴斯基应用程序使用的数据库中。
技术。现代反病毒工具中的许多技术最初都是由卡巴斯基开发出来的。许多开发商在其产品中使用卡巴斯基反病毒引擎不是偶然,它们包括:Alcatel-Lucent, Alt-N, 华硕,BAE Systems, Blue Coat, Check Point, Cisco Meraki, Clearswift, D-Link, Facebook, General Dynamics, H3C, Juniper Networks, 联想,微软,NETGEAR, Openwave Messaging, Parallels, 高通,三星,Stormshield, 东芝,Trustwave, Vertu, ZyXEL。公司的许多创新技术属于专利。
成就。多年来,卡巴斯基在抵御计算机威胁方面荣获了成百上千的奖项。继著名的奥地利测试实验室 AV-Comparatives 于 2014 年进行的测试和研究后,卡巴斯基在赢得的 Advanced+ 证书数量方面雄踞前两名并最终荣获顶级证书。但是卡巴斯基的主要成就是其世界各地的忠实用户。公司的产品和技术保护着 4 亿多名用户,公司客户超过 270000 名。
卡巴斯基网站: |
|
病毒百科全书: |
|
Kaspersky VirusDesk: |
https://virusdesk.kaspersky.cn/ (用来扫描可疑文件和网站) |
卡巴斯基用户社区: |
页面顶端
商标声明
注册商标和服务标志为其各自所有者的资产。
Apache 是 Apache Software Foundation 的注册商标或商标。
Debian 是 Software in the Public Interest, Inc. 的注册商标。
FreeBSD 是 FreeBSD 基金会的注册商标。
Google Chrome 是 Google LLC 的商标。
z/VM 是 International Business Machines Corporation 在世界多个地区注册的商标。
Microsoft、Windows、Active Directory、 Hyper-V 和 Internet Explorer 是 Microsoft Corporation 的商标。
Mozilla 和 Firefox 是 Mozilla Foundation 在美国和其他国家的商标。
Linux 是 Linus Torvalds 在美国和其他地方注册的商标。
Oracle 是 Oracle 和/或其附属机构的注册商标。
Parallels、Parallels 徽标和 Coherence 是 Parallels International GmbH 的商标或注册商标。
CentOS 是 Red Hat, Inc. 或其子公司在美国和其他国家/地区的商标或注册商标。
Red Hat Enterprise Linux 是 Red Hat, Inc. 或其子公司在美国和其他国家/地区的商标或注册商标。
SUSE 是 SUSE LLC 在美国和其他地方注册的商标。
VMware ESXi 和 VMware vSphere 是 VMware, Inc. 的商标,或是 VMware, Inc. 在美国和其他司法管辖区注册的商标。
UNIX – 是在美国和其他国家/地区的注册商标,经 X/Open Company, Ltd. 授权使用。
页面顶端