IWSA测试配置建议.DOC

IWSA3.1测试配置建议 测试前的准备： 测试前建议将内存升级为4条1GB内存，内存为1GB PC2-3200 240pin ECC Registered DIMM (服务器专用)； IWSA测试前需升级至IWSA3.1(OS-1018,AP-1101)，可直接从Web界面升级(前提原版本必须是SP1，不能有其它任何补丁)，也可以参照格式化/非格式化安装IWSA3.1文档进行升级： ?测试流程说明： 在用户初次测试时，我们先启用HTTP/FTP Scanning、URL Blocking功能，其它如Web Reputation、Applets/ActiveX Security、URL Filtering功能暂不启用，待运行平稳一段时间后，再根据用户要求决定是否启用； 在正式上线前，建议先在用户网络环境中做小范围测试，尽可能根据用户的网络特点来做测试； 在正式上线时，建议将IWSA所有扫描功能关闭(在Policy中关闭，但不能关闭Summary页面的HTTP Traffic/FTP Traffic，关闭则会阻断网络)，接入网络后，待确认网络通讯正常，此时再逐项启用功能(此时启用HTTP/FTP Scanning、URL Blocking功能，其它功能暂不启用)。 初步测试配置建议： 测试初期配置启用HTTP virus scanning，暂不启用Web Reputation: 配置HTTP只扫描特定文件名，配置HTTP SKIP 以下MIME类型: audio/x-wav audio/wav audio/microsoft-wave audio/x-mpeg aduio/mpeg x-music/x-midi audio/mid video/mpeg video/quicktime video/x-msvideo video/avi video/x-ms-asf video/x-ms-wmv 配置HTTP不扫描超过5M的文件、配置HTTP对超过64KB的文件采用Deferred scanning，转发率为100%，配置如下图所示； 配置HTTP扫描Spyware/Grayware； 注：配置完成后，请在Scan Policies界面中点击“Deploy Policies”，以使得新配置马上应用。 配置FTP只扫描下载文件、配置扫描特定类型文件、超过5MB不扫描，转发率为100%(与HTTP配置相同)，配置扫描Spyware、配置采用默认处理动作； URL Blocking建议将常用的网址加在白名单中，同时启用Pattern File对URL进行Blocking，配置建议如下： 深入测试配置建议： 如果启用Web Reputation，在Scan Policies右边选择Enable Web Reputation，在策略中配置如下： URL Filtering按如下建议配置(第一次上线不启用)： 如果启用Applets/ActiveX，其它配置取默认，下面界面配置建议如图所示(第一次上线不启用)： Access Quota原则上在第一次测试时不启用； 如果希望启用IntelliTunnel，请在界面中配置； 工作模式根据情况选用，IWSA3.1增加了reverse proxy，用来保护Web Server； 在Log Settings中，如果为了进一步提高性能，请不要启用Gather performance data 和Log HTTP/FTP access events 配置代码库每小时更新一次，其它组件每天更新一次。 如果IWSA在三层交换里面且保护的节点在几个VLAN中时，为了使IWSA能识别其它VLAN信息，请在Bridge ID Settings中加入其它网段和VLAN ID(如 vlan3，详情可参考SP1中的管理员手册276页)； 如果IWSA在三层交换的外面，为了实现正常通讯，请在Static Routes中加入返回路由(通常Network ID为内网网段，Router为三层交换的外口IP)； IWSA3.1支持多管理员不同权限管理，可在如下界面中添加管理员： IWSA3.1支持在Web界面配置向TMCM注册，界面如下： IWSA支持在多台环境下，配置一台为主设备，其它为从设备，从设备从主设备上同步配置数据： Web Reputation查询支持两种查询方式，DNS查询速度更快些，建议采用如下配置，同时支持手动清除Url Cache功能： IWSA3.1支持系统资源报警，配置如下： 1