C /¥ T TM Web ]

i

Web

TM

Web (IWSA)

ii

趋势科技（中国）有限公司保留对本文档以及此处所述产品进行更改而不通知的权利。在安装并使用本软件之前，请阅读自述文件、发布说明（如果有）和新版本的适用用户文档，这些文档可以通过趋势科技的以下 Web 站点获得：

http://www.trendmicro.com/download/zh-cn/

Trend Micro、Trend Micro t- 球徽标、 InterScan、TrendLabs、趋势科技控制管理

中心和趋势科技损害清除服务都是趋势科技（中国）有限公司/Trend Micro Incorporated 的商标或注册商标。所有其他产品或公司名称可能是其各自所有

者的商标或注册商标。

版权所有 © 2015 趋势科技（中国）有限公司/Trend Micro Incorporated。保留所有权利。

文档编号：IBCM66844/150109

发布日期：2014 年 7 月

受美国专利号 5,951,698 的保护


《趋势科技 Web 安全网关 (IWSA) 安装指南》旨在介绍软件的主要功能和适用

于您生产环境的安装说明。在安装和使用该软件之前，请详细阅读该指南。

有关如何使用软件中特定功能的详细信息，可从联机帮助文件和趋势科技 Web 站点上的在线知识库中获得。

趋势科技一直致力于改进其文档。我们始终欢迎您的反馈。

目录

前言

适用读者 ............................................................................................................. x

如何使用本指南 ............................................................................................... x

IWSA 文档 .........................................................................................................xi

文档约定 ...........................................................................................................xii

关于趋势科技 .................................................................................................xiii

第 1 章：预安装规划

服务器要求 ..................................................................................................... 1-2操作系统 .................................................................................................... 1-2硬件要求 .................................................................................................... 1-2组件安装 .................................................................................................... 1-3Web 浏览器 ............................................................................................... 1-4其他要求 .................................................................................................... 1-5

安装所需的信息 IWSA ............................................................................... 1-6全新安装 .................................................................................................... 1-6迁移 ............................................................................................................. 1-6代理服务器配置的类型 ......................................................................... 1-6控制管理中心服务器信息 .................................................................... 1-7数据库类型和位置 .................................................................................. 1-7SNMP 通知 ................................................................................................ 1-7Web 控制台密码 ...................................................................................... 1-7命令行访问 ................................................................................................ 1-8用于 Internet 更新的代理服务器 ........................................................ 1-8激活码 ......................................................................................................... 1-8

iii

趋势科技™ Web 安全网关 (IWSA) 6.5 安装指南

规划网络通信保护 .......................................................................................1-8透明桥接模式 ...........................................................................................1-9正向代理服务器模式 ..............................................................................1-9反向代理服务器模式 ............................................................................1-10ICAP 模式 ................................................................................................1-10简单透明性模式 .....................................................................................1-10WCCP 模式 ..............................................................................................1-10

第 2 章：部署入门

识别服务器位置 ............................................................................................2-2具有 DMZ 的两个防火墙 ......................................................................2-2没有 DMZ 的防火墙 ...............................................................................2-3

规划网络通信流 ............................................................................................2-4规划 HTTP 流程 .......................................................................................2-5

HTTPS 解密 ..........................................................................................2-7规划 FTP 流程 ..........................................................................................2-7

独立模式下的 FTP 代理服务器 .....................................................2-7附属模式下的 FTP 代理服务器 .....................................................2-9

以正向代理服务器模式部署 ...................................................................2-10正向代理服务器模式概述 ...................................................................2-10

重新配置客户端设置 .......................................................................2-11使用第四层交换机 ...........................................................................2-12使用启用 WCCP 的交换机或路由器 ..........................................2-14

使用正向代理服务器模式规划 HTTP 流程 ..................................2-15独立模式下的 HTTP 代理服务器 ................................................2-15简单透明性模式下的 HTTP 代理服务器 ..................................2-16附属模式下的 HTTP 代理服务器（代理服务器前置） .......2-17附属模式下的 HTTP 代理服务器（代理服务器后置） .......2-19附属模式下的 HTTP 双代理服务器 ...........................................2-21以 WCCP 模式部署 ..........................................................................2-23WCCP 模式下的 HTTP 代理服务器

（单个和多个 IWSA 服务器） ........................................2-23

iv

目录

以 ICAP 模式部署 ...................................................................................... 2-23ICAP 模式概述 ....................................................................................... 2-23使用 ICAP 模式规划 HTTP 流程 ..................................................... 2-25

ICAP 模式下的 HTTP 代理服务器

（单个和多个 IWSA 服务器） ........................................ 2-25具有多台服务器的 IWSA ICAP 模式 ......................................... 2-27

以反向代理服务器模式部署 ................................................................... 2-29反向代理服务器模式概述 .................................................................. 2-29使用反向代理服务器模式规划 HTTP 流程 .................................. 2-30

附属模式下的 HTTP 反向代理服务器 ...................................... 2-30

以透明桥接模式部署 ................................................................................ 2-32透明桥接模式概述 ................................................................................ 2-32使用透明桥接模式规划 HTTP 流程 ................................................ 2-33高可用性部署模式 ................................................................................ 2-33HA 部署模式安装指南 ........................................................................ 2-34

第 3 章：安装趋势科技 Web 安全网关 (IWSA)

获取 IWSA ...................................................................................................... 3-2使用趋势科技企业解决方案 DVD .................................................... 3-2下载安装文件 ........................................................................................... 3-3

安装 IWSA ...................................................................................................... 3-3

首次登录到 IWSA ...................................................................................... 3-10

安装后说明 ................................................................................................... 3-10

第 4 章：迁移到趋势科技 Web 安全网关 (IWSA)

关于迁移 ......................................................................................................... 4-2重要说明 .................................................................................................... 4-2未迁移的信息 ........................................................................................... 4-3迁移过程概述 ........................................................................................... 4-4

从 IWSA 5.6 迁移到 IWSA 6.5 ................................................................... 4-4

v


从一个 IWSA 6.5 迁移到另一个 IWSA 6.5 .............................................4-5

迁移之后 ..........................................................................................................4-6

附录 A：部署集成

分布式环境中的 IWSA ...............................................................................A-2连接要求和属性 ......................................................................................A-2

吞吐量和可用性要求 ........................................................................A-3

与 LDAP 的集成 ..........................................................................................A-4支持用于容纳多个 LDAP 服务器的多个域 ...................................A-4透明模式下的 LDAP 认证 ...................................................................A-6

使用 WCCP 与 Cisco 路由器的集成 .......................................................A-7

使用反向代理服务器保护 HTTP 或 FTP 服务器 ..............................A-7

与 ICAP 设备的集成 ...................................................................................A-9设置 ICAP 1.0 兼容的缓存服务器 .....................................................A-9为 NetCache 设备设置 ICAP ................................................................A-9为 Blue Coat 端口 80 安全设备设置 ICAP .....................................A-11为 Cisco CE ICAP 服务器设置 ICAP ...............................................A-14配置病毒扫描服务器群集 ..................................................................A-15删除群集配置或条目 ...........................................................................A-16启用 "X-Virus-ID" 和 "X-Infection-Found" 头 ...............................A-17

附录 B：微调和故障排除

IWSA性能微调 .............................................................................................. B-2URL 过滤 ................................................................................................... B-2LDAP 性能微调 ....................................................................................... B-2

LDAP 内部缓存 .................................................................................. B-2启用 LDAP 时，禁用详细记录 ..................................................... B-3透明模式下的 LDAP 认证 .............................................................. B-4

vi

目录

故障排除 .........................................................................................................B-5故障排除提示 ...........................................................................................B-5联系技术支持之前 ..................................................................................B-5安装问题 ....................................................................................................B-5常规功能问题 ...........................................................................................B-6

附录 C：有关 IWSA 安装和部署的最佳实践

IWSA 安装概述 .............................................................................................C-2

正确评估环境规模 .......................................................................................C-4佳实践建议 ...........................................................................................C-4

选择部署方法和冗余性 ..............................................................................C-4佳实践建议 ...........................................................................................C-6

附录 D：维护和技术支持

产品维护 ........................................................................................................D-2维护协议 ...................................................................................................D-2续订维护协议 ..........................................................................................D-3

联系技术支持 ...............................................................................................D-3TrendLabs ..................................................................................................D-4知识库 ........................................................................................................D-4已知问题 ...................................................................................................D-5将可疑代码发送给趋势科技 ...............................................................D-5

安全信息中心 ...............................................................................................D-6

附录 E：在 VMware ESX 下为 IWSA 创建新的虚拟机

简介 ..................................................................................................................E-2

创建新的虚拟机 ...........................................................................................E-2

启动 IWSA 虚拟机并完成安装 ............................................................. E-16

vii


附录 F：在 Microsoft Hyper-V 下为 IWSA 创建新的虚拟机

简介 ...................................................................................................................F-2

Hyper-V 的 IWSA 支持 ................................................................................F-2Hyper-V 虚拟化模式 ...............................................................................F-2

在 Microsoft Hyper-V 上安装 IWSA 6.5 ...................................................F-3导入 IWSA 映像 .......................................................................................F-7为 IWSA 分配资源 ...................................................................................F-9启动 IWSA 虚拟机并完成安装 ......................................................... F-21访问 IWSA Web 控制台 ...................................................................... F-28

索引

viii

前言

前言

欢迎使用《趋势科技™ Web 安全网关 (IWSA) 6.5 安装指南》。本指南对趋势科

技 Web 安全网关 (IWSA) 进行了简单介绍，提供了部署、安装、迁移（如有必

要）、初始配置、故障排除、性能微调以及安装后的主要配置任务等帮助信息，可帮助您将 IWSA 产品投入正常运行。该指南还说明了如何利用无害测试病毒

测试安装过程、如何排除故障以及如何获得支持。

本前言讨论以下主题：

• 第 1-x 页的适用读者

• 第 1-xi 页的IWSA 文档

• 第 1-xii 页的文档约定

• 第 1-xiii 页的关于趋势科技

ix


适用读者本 IWSA 文档是为在企业环境中工作的 IT 经理和系统管理员编写的。本文档

假定，读者已深入了解网络架构方面的知识，包括：

• 企业使用的 HTTP、 HTTPS、 FTP 和其他因特网协议

• 在 VMware ESX 上进行安装时的 VMware ESX 管理经验和在 Hyper-V 虚拟

平台上进行安装时的 Microsoft Hyper-V 经验。

本文档假定读者没有任何防病毒或 Web 安全技术的知识。

如何使用本指南本指南包含了解和使用 IWSA 所需的信息。

如果您是高级用户，则可能需要直接转到第 3 章，安装趋势科技 Web 安全网关 (IWSA)。如果您要在 VMware ESX 上安装 IWSA，请参阅附录 E，在 VMware ESX 下为 IWSA 创建新的虚拟机。如果您要在 Microsoft Hyper-V 上安装 IWSA，请参阅附录 F，在 Microsoft Hyper-V 下为 IWSA 创建新的虚拟机。

第 1 章，预安装规划本章描述了在安装 IWSA 之前需要执行的任务。其中包括规划网络通信以及 HTTP 和 FTP 服务流，并确保您的服务器满足特定要求。

第 2 章，部署入门本章提供可安装 IWSA 的各种拓扑结构的概述，并帮助您规划服务器位置和使用 HTTP 和 FTP 服务流的网络保护。

第 3 章，安装趋势科技 Web 安全网关 (IWSA)

本章描述了如何获取 IWSA 的评估版或生产版，以及如何安装该应用程序。

第 4 章，迁移到趋势科技 Web 安全网关 (IWSA)

本章描述了不同的迁移方案以及如何完成到 IWSA 的迁移。

附录 A，部署集成本附录描述了 IWSA 的部署方案，其中包括多种技术，如 LDAP、损害清除服务 (DCS)、使用 WCCP、 ICAP 以及透明桥接的 Cisco 路由器。

x

前言

IWSA 文档

除了《趋势科技™ Web 安全网关 (IWSA) 6.5 安装指南》之外，文档集还包括：

• 《管理员指南》 — 本指南提供了有关 IWSA 的所有配置选项的详细信息。

主题包括如何更新软件以使您的新风险防护保持新、如何配置和使用策略以支持您的安全目标，以及如何使用日志和报告。

• 自述文件 — 该自述文件包含联机帮助或印刷文档中尚未包括的新产品

信息。主题包括新增功能、安装提示、已知问题以及版本历史的描述。

您可从以下站点下载电子格式的《安装指南》、《管理员指南》和自述文件的新版本：

http://downloadcenter.trendmicro.com/index.php?clk=tbl&clkval=3531&regs=CH&lang_loc=15

DVD ISO 创建文档 — 已授权，《如何使用趋势科技 IWSA ISO 文件》，

本文档描述了如何从 ISO 文件创建可启动安装 DVD。

联机帮助 — 帮助您通过用户界面配置所有功能。可以通过打开 Web 控制

台，然后单击帮助图标来访问联机帮助。联机帮助的目的是提供主要产品

附录 B，微调和故障排除本附录描述了性能微调，包括 URL 过滤和 LDAP 性能。此外，本附录还提供了常规故障排除提示以及可能的安装和功能问题。

附录 C，有关 IWSA 安装和部署的佳实践

本附录描述了趋势科技建议的 IWSA 的安装和部署佳实践。

附录 D，维护和技术支持本附录描述了维护协议和趋势科技技术支持中心的各个方面。

附录 E，在 VMware ESX 下为 IWSA 创建新的虚拟机

本附录描述了如何在 VMware ESX 下创建 IWSA 的新虚拟机。

附录 F，在 Microsoft Hyper-V 下为 IWSA 创建新的虚拟机

本附录描述了如何在 Microsoft Hyper-V 下创建 IWSA 的新虚拟机。

xi

http://downloadcenter.trendmicro.com/index.php?clk=tbl&clkval=3531&regs=CH&lang_loc=15


任务的操作指导、使用建议以及特定方面的信息（例如有效的参数范围和佳值）。可以从 IWSA 管理控制台访问联机帮助。

• 知识库—知识库是包含解决问题和排除故障信息的联机数据库。提供有关

已知产品问题的新信息。要访问知识库，请打开：

http://www.trendmicro.com.cn/corporate/techsupport/

• TrendEdge—一款面向趋势科技员工、合作伙伴以及其他感兴趣的团体的

程序，提供有关趋势科技产品的不受支持的创新技术、工具以及佳实践信息。 TrendEdge 数据库包含覆盖大量主题的众多文档。

http://trendedge.trendmicro.com

文档约定为帮助您轻松查找并理解信息，趋势科技 Web 安全网关 (IWSA) 文档将使用以

下约定：

表 1-1. 文档约定

约定描述

全部大写首字母缩写词、缩写、特定命令名称以及键盘上的键名

粗体菜单和菜单命令、命令按钮、选项卡、选项和 ScanMail 任务

斜体对其他文档的引用

等宽体示例、示例命令行、程序代码、 Web URL、文件名和程序输出

注意：

配置注意事项

提示：建议

警告！

提醒应该避免的操作或配置

xii

http://trendedge.trendmicro.com


前言

关于趋势科技趋势科技（中国）有限公司是网络病毒防护和 Internet 内容安全软件与服务领

域的全球领导者。自 1988 年成立以来，趋势科技率先将病毒防护从桌面机迁

移到网络服务器和 Internet 网关，并凭借理念和技术创新赢得了极好的信誉。

今天，趋势科技专注于为客户提供综合全面的安全策略，通过提供集中式控制的基于服务器的病毒防护和内容过滤产品和服务，控制安全风险对信息的影响。通过保护流经 Internet 网关、电子邮件服务器和文件服务器的信息，趋势科技

帮助全球的公司和服务提供商自一个中心位置将病毒和其他恶意代码阻止于台式机之外。

有关更多信息，或要下载趋势科技产品的评估版本，请访问我们屡获奖项的 Web 站点：

http://www.trendmicro.com.cn

xiii



xiv

第 1 章

预安装规划

本章描述了以下内容：

• 第 1-2 页的服务器要求

• 第 1-6 页的安装所需的信息 IWSA

• 第 1-8 页的规划网络通信保护

1-1


服务器要求

操作系统

趋势科技 Web 安全网关 (IWSA) 附带一个为特定目的而构建的、经过性能调优

的 64 位强化操作系统。

硬件要求

指定的低要求可以为在低通信负载的情况下正确评估产品提供足够的资源。指定的建议要求可以提供常规生产规模评估指导。

有关详细的规模评估信息，请参阅位于以下位置的《IWSA 规模评估指南》：

http://cn.trendmicro.com/cn/products/enterprise/iwsa6600/

搜索 “规模评估指南”。

最低要求：

• 支持 Intel™ VT™ 的单路 2.0 GHz Intel™ Core2Duo™ 64 位处理器或同等

处理器

• 4GB 内存

• 50GB 磁盘空间（IWSA 会根据需要对检测到的磁盘空间自动进行分区）

注意： 50GB 的磁盘空间仅适用于测试环境。请参阅第 1-2 页的建议要求：适用于生产

环境中的磁盘空间。

• 支持 1024 x 768 分辨率、 256 色或更高的显示器

建议要求：

• 双路 2.8 GHz Intel Core2Duo 64 位处理器或同等处理器，多支持 4000 位用户

• 双路 3.16 GHz Intel QuadCore 64 位处理器或同等处理器，多支持 9500 位用户

• 日志密集环境下需要 300GB 或更大的磁盘空间。IWSA 会按照建议的 Linux 操作对检测到的磁盘空间进行自动分区

1-2

http://cn.trendmicro.com/cn/products/enterprise/iwsa6600/

预安装规划

服务器平台兼容性

应当可以在众多品牌的现有服务器平台上安装和操作 IWSA 而不会出现任何

问题。但是，趋势科技无法保证与所有品牌和型号的服务器平台 100% 兼容。

要获取可与 IWSA 协同工作的可用平台的常规列表，请访问以下 URL：

http://www.trendmicro.com/go/certified

要获取可与 IWSA 协同工作的可用平台通用列表，请访问以下 URL：

http://wiki.centos.org/HardwareList

趋势科技无法保证与该常规列表中的硬件组件完全兼容。

组件安装

在安装期间，将自动安装下列趋势科技组件：

• 主要程序 — 管理控制台及 IWSA 所需的基本库文件。

• 应用程序控制 — 用于通过协议控制应用程序使用情况的服务。

• HTTP 恶意软件扫描 — HTTP 扫描（ICAP 或 HTTP 代理）及 URL 阻止

所需的服务。

• FTP 扫描 — FTP 扫描所需的服务。

• URL 过滤 — URL 过滤所需的服务。

• Applet 和 ActiveX 扫描 — 扫描 Java Applet 和 ActiveX 控件所需的服务。

• SNMP 通知 — 用于将 SNMP 陷阱发送到 SNMP 兼容的网络管理软件的

服务。

• IWSA 的控制管理中心代理 — 控制管理中心代理所需的文件。如果您要使

用控制管理中心（趋势科技的中央管理控制台），则需要安装此代理。

• 命令行接口 — 用于通过 TTY 或 SSH 从命令行管理 IWSA 的定制 CLI shell。

在安装期间，为了方便起见，将安装以下开源应用程序，但缺省情况下不启用：

• Squid — 用于提供可选内容缓存。

1-3

http://www.trendmicro.com/go/certified

http://wiki.centos.org/HardwareList


Web 浏览器

要访问基于 HTTP 的 Web 控制台，请使用表 1-1 中的任一浏览器。

要通过 IWSA 访问 Internet，请使用表 1-2 中的任一浏览器。

表 1-1. 用于 Internet 访问的受支持 Web 浏览器

浏览器 WINDOWS LINUX

XP SP3 WINDOWS 7 SP1 CENTOS 6

IE 9.0、 10、 11 ✔

Firefox 15、 16+ ✔ ✔

Google Chrome 35+ ✔

表 1-2. 用于 Internet 访问的受支持 Web 浏览器

浏览器 WINDOWS LINUX MAC

XP WINDOWS 7 SP1 CENTOS 6 OS X

IE 8.0 ✔

IE 9.0、 10、 11 ✔

Firefox 30+ ✔ ✔

Safari 5、 6+ ✔

Google Chrome 35+ ✔ ✔

1-4

预安装规划

其他要求• 数据库要求：

• PostgreSQL v9.2.8 （包含）

• Internet 内容修改协议 (ICAP)：

• NetApp™ NetCache™ 6.0.1 版

• Blue Coat Systems™ SGOS v5

• Cisco ICAP 服务器：CE 版本 5.3

• 符合 ICAP 1.0 要求的任何缓存服务器

• 目录服务器：

为了配置基于轻量级目录访问协议 (LDAP) 用户和组的策略， IWSA 可以

集成以下 LDAP 目录：

• Microsoft Active Directory 2003、 2008 和 2012

• Linux OpenLDAP Directory 2.2.16 或 2.3.39

• Sun™ Java System Directory Server 5.2 （前身是 Sun™ ONE Directory Server）

• Novell eDirectory 8.8

• 透明桥接：

• 每个受 IWSA 支持的透明桥接网段需要两块网络接口卡。

• Web 缓存内容协议 (WCCP)：

趋势科技建议：在为 IWSA 配置WCCP时使用以下 Cisco IOS 版本：

• 12.2(0) 到 12.2(22)。避免使用 12.2 系列的 23 及更高版本

• 12.3(10) 和更高版本。避免使用 12.3 系列中的 0-9 版本

• 应使用 IOS 15.1(1)T3 或更高版本

• 其他要求：

• 对于代理服务器部署模式，网络客户端必须能够访问在安装期间选择的 IWSA 服务器的 HTTP 端口。

• IWSA 服务器和客户端必须能够通过公司网络与彼此通信。

1-5


安装所需的信息 IWSA您可以购买 IWSA 或下载它的 30 天试用版。30 天试用版提供 IWSA 的所有功能。

根据安装期间选择的选项， IWSA 安装程序会提示您输入所需的信息。

在开始之前，请确定您应执行的安装类型：

• 对于执行全新安装的新客户，请参阅第 2 章，第 2-1 页的部署入门以了解产

品位置建议，以及第 3 章，第 3-1 页的安装趋势科技 Web 安全网关 (IWSA)。

• 对于从 IWSA 的旧版本迁移的老客户，请参阅第 4 章，第 4-1 页的迁移到

趋势科技 Web 安全网关 (IWSA) 来迁移数据，并参阅第 3 章，第 3-1 页的安

装趋势科技 Web 安全网关 (IWSA) 以了解全新安装的说明。

全新安装

如果您运行的是比 IWSA 6.5 更早的 IWSA 版本，则 IWSA 只支持全新安装。不

支持升级现有 IWSS 或 IWSA 安装。全新安装过程将对您现有的系统进行格式

化以安装 IWSA （请参阅第 3-3 页的安装 IWSA）。

迁移

IWSA 6.5 支持现有的配置和来自以下趋势科技产品的策略数据迁移：

• 趋势科技 Web 安全网关 (IWSA) 5.6 （相同语言版本）

• 趋势科技 Web 安全网关 (IWSA) 6.5 （相同语言版本）

有关迁移的详细信息，请参阅第 4 章迁移到趋势科技 Web 安全网关 (IWSA)。

代理服务器配置的类型

IWSA 支持多个部署模式。

• 客户端直接连接到 IWSA 的正向代理服务器

• 到其他现有内部代理服务器的上游代理服务器

• 到符合 ICAP 1.0 要求的现有缓存控制器的 ICAP 服务器

• 到已配置且已启用 WCCP 的防火墙路由器的 WCCP 客户端

1-6

预安装规划

• 透明桥接模式

• 用于保护 Web 服务器的反向代理服务器

部署是在 IWSA 安装之后配置的，并且可以使用 Web 控制台中的部署向导进行

更改。每个受 IWSA 支持的透明桥接网段需要两块网络接口卡。请参阅第 2-5 页的规划 HTTP 流程和第 2-7 页的规划 FTP 流程。

控制管理中心服务器信息

控制管理中心注册是在完成 IWSA 安装后通过 IWSA Web UI 执行的。

数据库类型和位置

IWSA 使用 PostgreSQL 数据库来进行策略、规则和配置设置。本地 PostgreSQL 安装是在 IWSA 安装期间执行的。

SNMP 通知

如果您计划使用 SNMP 通知，则 IWSA 安装程序将安装相应的 SNMP 库。

Web 控制台密码

到 IWSA Web 控制台的访问初是通过缺省用户名 "admin" 来控制的。密码是

在从 ISO 文件安装期间设置的。

提示：出于安全原因，趋势科技建议您在首次登录到 Web 控制台后更改管理密码。

提示：从 ISO 文件安装后，操作系统帐户 "root" 与 CLI 帐户 "enable" 以及 IWSS 帐户 "admin" 的密码都相同。 IWSA 管理员可以使它们不同。有关详细信息，请参考

《管理员指南》。

1-7


命令行访问

IWSA 提供了命令行接口 (CLI)，从而允许使用行业标准 CLI 语法配置设备。CLI 提供可用于在 IWSA 中进行管理、故障排除和维护的其他命令和功能。可以使

用本地控制台键盘和监视器访问 CLI，也可以通过 SSHv2 进行远程访问。

用于 Internet 更新的代理服务器

如果您具有 IWSA 和 Internet 之间的代理服务器主机，则必须配置 IWSA 的代

理服务器设置才能接收来自趋势科技的更新。从菜单中，选择更新 > 连接设置

来配置上游代理服务器设置。有关更多详细信息，请参阅《管理员指南》。

激活码

激活三个 IWSA 模块（核心程序、 URL 过滤，以及 Applet 和 ActiveX 扫描）

需要一个单独的激活码。 IWSA 包含一个可用于所有模块的注册码。在产品

注册期间，注册码将交换为用于 “解锁”程序的激活码。可以从安装程序中的链接注册安装并将注册码交换为激活码。或者，也可以通过访问以下位置的趋势科技在线注册 Web 站点，在安装前注册并获取激活码：

https://olr.trendmicro.com/registration/apac/zh-cn/login.aspx

规划网络通信保护可以在不同模式下部署 IWSA，以帮助保护网络安全（请参阅第 2 章，部署

入门）。 IWSA 支持以下部署拓扑结构：

• 第 1-9 页的透明桥接模式

• 第 1-9 页的正向代理服务器模式

• 第 1-10 页的反向代理服务器模式

• 第 1-10 页的 ICAP 模式

• 第 1-10 页的简单透明性模式

• 第 1-10 页的 WCCP 模式

1-8

https://olr.trendmicro.com/registration/apac/zh-cn/login.aspx

预安装规划

透明桥接模式

IWSA 充当网络设备（如路由器和交换机）之间的网桥。 IWSA 无需修改浏览

器或网络设置便可扫描经过的 HTTP 和 FTP 通信。这是可以扫描双向通信的

简单的部署模式。

该部署模式额外要依赖的条件是，每个受 IWSA 保护的透明桥接网段要有两块

网络接口卡。趋势科技建议使用以下网卡，以确保此部署模式中具有大的兼容性：

• Broadcom NetXtreme 系列

• Intel Pro/1000 PT Dual Port Server Adapter

• Intel Pro/1000 MF Dual Port Fiber

IWSA 6.5 以可选高可用性 (HA) 部署模式为特征。在此模式中，两个 IWSA 6.5 节点配置为 HA 群集。在此配置中，其中一个节点指定为父节点（主动节点），

并通过 “心跳”链接连接到子节点（被动节点）。

在 HA 部署模式中，父节点处理所有活动的通信，而子节点保持处于被动状态。

如果在父节点中检测到故障，则子节点将成为活动节点，而父节点将脱机。

仅在透明桥接模式中支持 HA 部署模式。

有关透明桥接模式的更多详细信息，请参阅第 2-32 页的以透明桥接模式部署。

正向代理服务器模式

IWSA 充当网络客户端的上游代理服务器。客户端浏览器的设置必须配置为将

通信重定向到 IWSA。 IWSA 会扫描 HTTP 和 FTP 通信，不需要其他独立的专

用代理服务器。入站和出站两个方向的内容都会被扫描。

正向代理服务器模式还将所有通信转发到其他上游代理服务器。

有关正向代理服务器模式的更多详细信息，请参阅第 2-10 页的以正向代理服务

器模式部署。

1-9


反向代理服务器模式

IWSA 将部署在 Web 服务器前面。 IWSA 会扫描从客户端上传到 Web 服务器的 HTTP 和 FTP 内容，以及从 Web 服务器下载到客户端的内容，同时帮助保护 Web 服务器的安全。

有关反向代理服务器模式的更多详细信息，请参阅第 2-29 页的以反向代理服务

器模式部署。

ICAP 模式

IWSA 充当 ICAP 代理服务器，并接受来自符合 ICAP v1.0 协议的缓存服务器的 ICAP 连接。缓存服务器可通过提供本地缓存的内容来降低整体带宽要求和缩

短延时。 IWSA 会扫描返回到缓存服务器和客户端的所有内容，并保证内容的

安全。

有关 ICAP 模式的更多详细信息，请参阅第 2-23 页的以 ICAP 模式部署。

简单透明性模式

IWSA 的正向代理服务器模式支持用于流行的第四层负载平衡交换机的简单透

明性，并可进行 HTTP 扫描，而无需修改客户端的浏览器设置。

有关简单透明性模式的更多详细信息，请参阅第 2-16 页的简单透明性模式下的 HTTP 代理服务器。

WCCP 模式

IWSA 与 Cisco 的 WCCP 协议配合使用，不必修改客户端配置便可扫描 Web 和 FTP 通信的内容，同时无需附加硬件即可在体系结构设计中加入冗余性和可伸

缩性。

有关 WCCP 模式的更多详细信息，请参阅第 2-23 页的以 WCCP 模式部署。

1-10

第 2 章

部署入门


• 第 2-2 页的识别服务器位置

• 第 2-4 页的规划网络通信流

• 第 2-10 页的以正向代理服务器模式部署

• 第 2-23 页的以 ICAP 模式部署

• 第 2-29 页的以反向代理服务器模式部署

• 第 2-32 页的以透明桥接模式部署

2-1


识别服务器位置安装趋势科技 Web 安全网关 (IWSA) 之前，需要查看 IWSA 部署模式，然后确

定如何将 IWSA 安装到您的网络环境以大限度满足您的需求。这包括识别网

络中 IWSA 服务器的位置，以及识别网络的佳部署模式。

如今的企业网络拓扑通常属于以下两种类别之一：

• 具有非军事区 (DMZ) 的两个防火墙

• 没有 DMZ 的防火墙

IWSA 服务器的理想位置取决于使用中的拓扑。

具有 DMZ 的两个防火墙

鉴于当前的安全问题，许多组织已实施由两个防火墙（外部防火墙和内部防火墙）组成的拓扑。这些防火墙将网络划分为两个主要区域：

• DMZ — DMZ 位于外部防火墙和内部防火墙之间。驻留在此区域中的主机

可以接受来自组织网络外部的服务器的连接。外部防火墙的配置使外部计算机的数据包只能到达 DMZ 内的服务器。

• 企业 LAN — 这些网段位于内部防火墙之后。仅当通信来自 DMZ 内部的

计算机时，内部防火墙的配置才会将通信传递给企业 LAN 上的计算机。

2-2

部署入门

图 2-1. 具有 DMZ 的两个防火墙

该拓扑要求从外部服务器（如 Internet 上的服务器）入站的所有数据首先

通过 DMZ 中的服务器。它还要求从内部网段出站的某些类型的数据（例如 HTTP 和 FTP 数据包）通过 DMZ 中的服务器。这样会强制使用代理服务器，

如 IWSA。

没有 DMZ 的防火墙

某些组织有防火墙，但没有 DMZ。使用“无 DMZ”拓扑时，将 IWSA 服务器

置于防火墙之后。

• 由于 IWSA 服务器未与企业 LAN 隔离，因此外部计算机和企业 LAN 上的

计算机之间少了一个跃点。如下图所示，这使处理请求少了两个步骤，即出站和入站。

• 通过防火墙配置，可以连接到企业 LAN 上的计算机。为了实现安全性，

防火墙必须限制可到达 LAN 上的计算机的数据类型。例如，防火墙可能

会使来自 Internet 的 HTTP 数据只能到达 IWSA 服务器。

2-3


图 2-2. 具有 DMZ 的防火墙

规划网络通信流有几种方法可以引导网络通信通过 IWSA 以获得保护，包括以下内容：

• 将客户端设置重新配置为指向作为代理服务器的 IWSA

• 使用第四层交换机

• 使用启用 ICAP 的代理服务器重定向选定的通信以进行扫描

• 使用 WCCP 定向选定的通信以进行扫描

• 从其他代理服务器和/或缓存设备转发通信

有关更多详细信息，请参阅附录 A 部署集成自第 A-1 页开始。

每个网络通信流配置都会对配置 IWSA、配置网络以及网络安全产生影响。

2-4

部署入门

通过执行以下操作创建网络通信的流规划：

• 了解每个 IWSA 服务的目的和功能

• 确定每项服务的有效数据源。例如， HTTP 服务是直接从 HTTP 浏览器接

收请求，还是通过 ICAP 代理服务器设备间接接收请求？

• 确定要用于服务的端口。例如，缺省情况下， HTTP 代理服务使用端口 8080， FTP 服务使用端口 21。但如果其他应用程序或服务正在使用端口 8080，则管理员必须对 HTTP 代理服务进行配置以使用不同端口。

• 确定每项服务的有效数据目标。例如， HTTP 代理服务是将验证请求直接

发送至 Web 站点，还是发送至上游 HTTP 代理服务器？

• 添加任何特定于服务的注意事项。例如， HTTP 服务流程可能包括 ICAP 设备，但 FTP 服务流程不包括。

• 如果要使 IWSA 查看所有端口间的通信，请确保在透明桥接模式下，目标

为 IWSA 的上游交换机将所有通信传送到 IWSA。

使用上述段落中收集的信息，管理员可以确定适合于安装的可能流程。

规划 HTTP 流程

如果您仅对 IWSA 过滤 HTTP 通信感兴趣，请考虑以下部署模式选项：

• HTTP 代理服务器

• ICAP 设备

• WCCP 设备

• 透明桥接

• 简单透明性

• 反向代理服务器

流程是否包含 ICAP 或 WCCP 设备存在很大差异。

2-5


有以下七种可能的部署模式：

透明桥接设置

• 透明桥接设置 — 当客户的计算机未配置为将 IWSA 服务器用作其代理服务

器时，使用透明桥接模式，但仍需要通过 IWSA 连接到 Internet。在这种模

式下，所有网络通信（包括 HTTP/HTTPS 和 FTP）均对 IWSA 可见。

• 透明桥接高可用性 (HA) 模式 — 当两个 IWSA 设备配置为一个群集时，

使用这种模式，以便在其中一个 IWSA 群集成员出现故障后可以提供连续

服务。

正向代理服务器设置：

• 独立模式 — 当 ICAP 设备不与 IWSA 一起使用且 IWSA 直接连接到 Internet 时，使用此流程。

• 附属模式 — 当 ICAP 设备不与 IWSA 一起使用且 IWSA 无法直接连接到 Internet，需要通过其他 HTTP 代理服务器才能连接时，使用此流程。

这可以通过以下方式之一来完成：

• 代理服务器前置模式

• 代理服务器后置模式（不建议）

• 双代理服务器模式

• 启用透明性的正向代理服务器 — 当使用第 4 层（负载平衡）交换机时使用

此模式。

• WCCP — 通过 IWSA，结合使用 WCCP 协议与启用了 WCCP 的设备。

反向代理服务器设置：

• 反向代理服务器模式 — 使用此流程并借助 HTTP 代理服务器可保护 Web 服务器，只需将此代理服务器放在 Internet 和 Web 服务器之间即可。

（由 ISP 和 ASP 使用以保护上传通信不受病毒攻击，也可由带有复杂 Web 站点且需要集中访问控制点的组织使用。）

ICAP 代理服务器设置：

• ICAP 协议模式 — 使用 ICAP 协议流程可结合使用 ICAP 设备和 IWSA。

每个配置对于配置 IWSA、配置网络以及网络安全都有影响。

2-6

部署入门

HTTPS 解密

IWSA 通过解密和检查恶意软件以及 URL 访问策略违例的加密内容来封堵 HTTPS 安全漏洞。您可以定义策略，对来自选定的 Web 类别的 HTTPS 通信

进行解密。解密时，将按照与可以应用 URL 过滤和扫描规则的 HTTP 通信相

同的方式对待数据。

IWSA 在以下模式下支持 HTTPS 解密和扫描：

• 透明桥接

• WCCP

• 正向代理服务器

规划 FTP 流程

存在以下两种可能的 FTP 流程：独立流程和附属流程。它们类似于 HTTP 服务

的独立和附属模式流程。每种流程都要求不同配置并具有自己的含义，包括：

• 独立 — IWSA 服务器充当请求客户端和远程站点之间的 FTP 代理服务器，

代理所有事务

• 附属 — IWSA 与 LAN 中的其他 FTP 代理服务器配合工作

独立模式下的 FTP 代理服务器

要扫描 LAN 内外的所有 FTP 通信，请设置 FTP 扫描模块，以便该模块能够

“代理”所有此类连接。在此情况下，到 IWSA 服务器的客户端 FTP 将为目标

站点提供登录凭证，然后允许 IWSA FTP 服务器创建连接。远程站点会将文件

传输到 IWSA FTP。在将文件传送到请求客户端之前， IWSA FTP 服务器将对

文件进行扫描，确定是否存在病毒或其他安全风险。

FTP 独立流程的含义为：

• IWSA 必须具有访问目标 FTP 服务器的权限

• 与 FTP 代理服务器模式相比，流程中少一个步骤

2-7


配置 FTP 客户端以使用此流程：

• 将 IWSA 服务器设置为 FTP 代理服务器

• 将用户名设置为 username@targetftp-server（而非一般的用户名）

注意： IWSA FTP 可与大部分防火墙配合工作，通常只需对防火墙稍作修改，使其打

开 FTP 代理服务器的端口即可。

FTP 请求遵循以下顺序：

1. FTP 客户端将请求发送给 IWSA FTP 服务。

2. IWSA FTP 服务验证请求（例如，未阻止文件类型）。如果请求有效，则 IWSA FTP 服务将尝试连接到 Internet 中相应的 FTP 服务器。如果连接成

功，则 IWSA FTP 服务将请求发送给目标 FTP 服务器。

3. Internet 中的 FTP 服务器会对请求做出响应，在理想情况下，会发送请求

的文件。

4. IWSA FTP 服务扫描返回的数据以确定是否存在不需要的内容。如果发现

存在任何不需要的内容，该 FTP 服务会向 FTP 客户端返回相应消息。否则，

会将请求的数据返回给 FTP 客户端。

2-8

部署入门

图 2-3. 独立模式下的 FTP 代理服务器

附属模式下的 FTP 代理服务器

您还可以在上游代理服务器与请求客户端之间的专用计算机上安装 IWSA FTP。使用此安装过程可添加其他 FTP 功能（例如，访问阻止、访问登录和访问

过滤）以补充现有的 FTP 代理服务器。

IWSA 的 FTP 代理服务器模式（如图 2-4 中所示）类似于 HTTP 服务的附属

模式流程。由于此模式会因其他 FTP 代理服务器带来的额外跃点和额外处理

导致性能下降，所以仅当组织不允许 IWSA 服务器直接访问 Internet 时才使用

此模式。

如果其他 FTP 代理服务器使用存储转发技术，则对于大文件，性能会明显下降，

因为其他 FTP 代理服务器首先会下载文件，然后将其传递到 IWSA FTP 服务。

此外，其他 FTP 代理服务器必须具有足够的可用磁盘空间才能存储正在进行的

所有传输。

与 HTTP 附属模式服务（在缓存请求方面可能具有优势）不同，大多数 FTP 代理服务器不会缓存请求。

FTP 附属模式还可以防止 FTP 服务器上传和下载威胁。

2-9


FTP 请求遵循以下顺序：

1. FTP 客户端将请求发送给 IWSA FTP 服务。

2. IWSA FTP 服务验证请求（例如，未阻止文件类型）。如果请求有效， IWSA FTP 服务会将其中继到其他 FTP 代理服务器或受 IWSA 保护的 FTP 服务器。

3. Internet 中的 FTP 服务器会对请求做出响应，在理想情况下，会发送请求

的文件。

4. IWSA FTP 服务扫描返回的数据以确定是否存在不需要的内容。如果发现

存在任何不需要的内容，该 FTP 服务会向 FTP 客户端返回相应消息。否则，

会将请求的数据返回给 FTP 客户端。

图 2-4. 附属模式下的 FTP 代理服务器

以正向代理服务器模式部署

正向代理服务器模式概述

正向代理服务器分为两种：透明与非透明。透明代理服务器可通过第四层交换机（简单透明性）或启用 WCCP 的交换机（WCCP 模式）来实现。

2-10

部署入门

在正向代理服务器模式下配置的 IWSA 提供以下用于启用客户端保护的配置

选项：

• 第 2-11 页的重新配置客户端设置

• 第 2-12 页的使用第四层交换机

• 第 2-14 页的使用启用 WCCP 的交换机或路由器

此外，在此模式下配置 IWSA 时，可将所有通信配置为发送给其他上游代理

服务器（如果适用）。

在用于提供帮助您确定要使用何种部署配置所需信息的表中介绍了配置选项。

在 IWSA 安装期间，选择以正向代理服务器模式安装 IWSA 以支持此配置。

重新配置客户端设置

HTTP 客户端（浏览器或代理服务器）可配置为作为代理服务器连接 IWSA。此配置更改可确保将此客户端的 Web 通信转发给 IWSA。必须在 HTTP 代理

服务器模式下启用 HTTP 扫描服务才能处理此通信。

FTP 客户端必须连接 IWSA 而不是目标服务器，并使用修改的握手提供 FTP 服务器地址。必须以独立模式安装和配置 FTP 扫描模块才能处理此通信。

表 2-1. 重新配置客户端设置

优点限制

不需要附加硬件管理员必须控制所有计算机的设置。（临时计算机可能比较难控制。）

2-11


图 2-5. 重新配置客户端设置

使用第四层交换机

透明性是指这样一种功能：借助该功能，客户端用户不需要更改其 Internet 连接

的代理服务器设置，便可与 IWSA 配合工作。透明性通过第四层交换机实现，

该交换机将 HTTP 数据包重定向到代理服务器，然后后者将数据包转发到所请

求的服务器。

IWSA 支持 “简单”类型透明性。大多数第四层交换机都支持简单透明性。

虽然它与来自不同制造商的各种网络硬件兼容，配置简单透明性还是存在一些限制：

• 当使用简单透明性时，用于定义策略的 “用户识别”方法仅限于 IP 地址

和主机名；基于 LDAP 来配置策略是不可能的。

• “基于 HTTP 的 FTP”不可用；所以，如果防火墙设置不允许 FTP 连接，

则指向 ftp:// URL 的链接可能不起作用。或者，指向 ftp:// URL 的链接

可以起作用，但文件不会被扫描。

• 对于一些较旧的 Web 浏览器来说，当这些浏览器的 HTTP 请求中不包含关

于主机的信息时，简单透明性与它们不兼容。

2-12

部署入门

• 对其所用端口不是 HTTP 缺省端口 80 的服务器的 HTTP 请求将重定向到 IWSA。这意味着通常会完成 SSL (HTTPS) 请求，但不会扫描内容。

• 请勿使用 IWSA 的任何源 NAT （IP 伪装）下游，因为 IWSA 需要知道要

清除的客户端的 IP 地址。

• 损害清除服务需要一个 DNS 服务器来根据 IP 地址解析客户端机器名，

以执行清除。

第四层交换机可用于将 HTTP 通信重定向到 IWSA。必须在 HTTP 代理服务器

模式下启用 HTTP 扫描服务。

图 2-6. 使用第四层交换机

2-13


在安装期间，确保选中用于启用支持此部署模式的透明性的复选框。

使用启用 WCCP 的交换机或路由器

IWSA 支持 WCCP v2.0 和基于 GRE 和 L2 （第二层）的转发方式。

使用 WCCP 透明性时，还会扫描 FTP 下载项。利用支持 WCCP v2.0 这一功

能， IWSA 能够加入 IWSA 设备群集来提供负载平衡 WCCP Web 安全平台。

使用 WCCP 的优点：

• 针对客户端的透明性

• 可伸缩

使用 WCCP 的限制：

• Cisco 专有

表 2-2. 使用第四层交换机

优点限制

对客户端透明端口的通信截取必须基于端口（而不是基于协议）。如果对 HTTP 使用非标准端口，

则会绕过交换机。

易于建立无法对 FTP 通信使用基于交换机的重定向。

不支持 LDAP

2-14

部署入门

图 2-7. WCCP 环境中的 IWSA 部署

使用正向代理服务器模式规划 HTTP 流程

有关实施正向代理服务器模式的完整详细信息，请参阅第 1-9 页的正向代理服

务器模式。

独立模式下的 HTTP 代理服务器

简单的配置是以独立模式安装 IWSA，没有任何上游代理服务器。这种情况

下， IWSA 用作客户端的代理服务器。该配置的优点是相对简单，不需要另外

的代理服务器。独立模式下的正向代理服务器的缺点是，每台客户端必须在其浏览器的 Internet 连接设置中将 IWSA 设备配置为它们的代理服务器。这需要

网络用户的合作，并且用户有可能通过重新配置其 Internet 连接设置来绕过组

织的安全策略。

2-15


注意：如果将 IWSA 配置为在独立模式下工作，则网络中的每台客户端都需要将 Internet 连接设置配置为使用 IWSA 设备和端口（缺省值 8080）作为代理

服务器。

Web 页面请求按照以下顺序进行：

1. Web 客户端将请求发送到 HTTP 服务。

2. HTTP 服务验证该请求（如果未阻止 URL）。如果 URL 无效（已阻止），

HTTP 服务将向 HTTP 客户端发送相应通知并完成事务。如果 URL 有效，

HTTP 服务将尝试连接到相应的 Web 服务器。

3. 已连接的 Web 站点将来自 Web 服务器的响应返回给 HTTP 服务。

4. HTTP 服务扫描内容中是否存在不需要的数据并将相应的响应返回给

客户端。

简单透明性模式下的 HTTP 代理服务器

可以通过安装多台 IWSA 服务器来平衡网络通信和扫描负载。在此安装示例中，

第四层交换机接收客户端请求，然后将其转发给 IWSA 服务器。

表 2-3. 独立模式下的 HTTP 代理服务器

优点限制

易于安装和部署。使连接达到最大允许连接数限制的速度减慢。

网络中的每台客户端必须配置其代理服务器。

2-16

部署入门

图 2-8. 在简单透明性模式下使用第四层交换机平衡 IWSA 服务器之间的负载

附属模式下的 HTTP 代理服务器（代理服务器前置）

对于要使用此流程的 HTTP 浏览器，将这些浏览器配置为将 IWSA 服务器作为

代理服务器（缺省端口为 8080）。

2-17


附属模式下的 HTTP 代理服务器（代理服务器前置）


1. Web 客户端将请求发送到 HTTP 服务。

2. HTTP 服务验证该请求。

• 如果 URL 无效（已阻止）， HTTP 服务将向 HTTP 客户端发送相应

通知并完成事务。

• 如果 URL 有效， HTTP 服务将该请求转发给上游 HTTP 代理服务器。

3. 该上游代理服务器执行其处理过程，然后将该请求转发给 Internet 上的 Web 站点。

4. 已连接的 Web 站点将响应（理想情况下为 Web 页面）返回给 HTTP 代理

服务器。

5. HTTP 代理服务器对返回数据进行处理，然后将响应数据转发给 IWSA HTTP 服务。

6. HTTP 服务扫描内容中是否存在不需要的数据并将相应的响应返回给 HTTP 客户端。

2-18

部署入门

附属模式下的 HTTP 代理服务器（代理服务器后置）

代理服务器后置流程包括位于 HTTP 客户端和 IWSA 服务器之间的缓存代理服务

器，此流程不使用 ICAP。组织通常使用此流程提高性能（与使用 ICAP 一样）

警告！对于这一潜在的性能提升，会存在两种安全问题：

1. 如果缓存所包含的数据带有病毒，在数据命中缓存时，没有针对此病毒的

特征码， IWSA HTTP 服务将无法阻止病毒的传播。

2. 同样，如果与有效内容相关的策略发生更改，或未授权的用户请求缓存中

存在的数据（针对授权用户），则 HTTP 服务将无法阻止对此数据的后续未

授权访问。

趋势科技建议管理员改用 ICAP 缓存设备，而不是代理服务器后置流程。此解

决方案能够提高缓存的性能，且不会产生代理服务器后置拓扑的安全问题。


1. Web 客户端将请求发送到 HTTP 代理服务器。

2. 代理服务器将该请求转发给 IWSA。

表 2-4. 附属模式下的 HTTP 代理服务器（代理服务器前置）

优点限制

代理服务器控制时间和内容可用性行为。 IWSA 必须扫描每个响应 — 即使缓

存时也是如此。

较安全 — 配置更改时将影响缓存的对象。

IWSA 不等待下载已缓存的对象。

2-19


3. IWSA 使用 URL 过滤/URL 访问控制验证该请求：

• 如果 URL 无效（已阻止）， HTTP 服务将向 HTTP 客户端发送相应通

知并完成事务。

• 如果 URL 有效， HTTP 服务将该请求转发给 Internet 上的 Web 服务器。

4. 已连接的 Web 服务器将响应（理想情况下为 Web 页面）返回给 IWSA。

5. IWSA 对返回的数据（病毒、间谍软件、ActiveX 扫描）进行处理，然后将

相应的响应/数据转发给代理服务器。

6. 代理服务器缓存此数据（如果可缓存），然后将响应/数据传送给 HTTP 客户端。

图 2-9. 附属模式下的 HTTP 代理服务器（代理服务器后置）

表 2-5. 附属模式下的 HTTP 代理服务器（代理服务器后置）

优点限制

无需在客户端上进行配置更改。 IWSA 上的配置更改或特征码更新不会影响

缓存的对象。

客户端直接从代理服务器下载缓存的对象，这可以将延迟最小化。

2-20

部署入门

附属模式下的 HTTP 双代理服务器

双代理服务器配置需要两个缓存代理服务器。第一个代理服务器位于 HTTP 客户端和 IWSA 服务器之间，第二个代理服务器位于 IWSA 服务器和 Internet 之间。这通常用于获取附属模式的以下两种配置的优点：代理服务器前置和代理服务器后置。


1. Web 客户端将请求发送到第一个代理服务器。

2. 第一个代理服务器将该请求转发给 IWSA。

3. IWSA 使用 URL 过滤/URL 访问控制验证该请求：

• 如果 URL 无效（已阻止）， HTTP 服务将向 HTTP 客户端发送相应

通知并完成事务。

• 如果 URL 有效， HTTP 服务将该请求转发给第二个代理服务器。

4. 第二个代理服务器执行其处理过程，然后将该请求转发给 Internet 上的 Web 服务器。

5. 已连接的 Web 服务器将响应（理想情况下为 Web 页面）返回给第二个代

理服务器。

6. 第二个代理服务器缓存此数据（如果可缓存），然后将响应/数据传送给 IWSA。

7. IWSA 对返回的数据（病毒、间谍软件、ActiveX 扫描）进行处理，然后将

相应的响应/数据转发给第一个代理服务器。

8. 第一个代理服务器缓存此数据（如果可缓存），然后将响应/数据传送给 HTTP 客户端。

2-21


图 2-10. 附属模式下的 HTTP 双代理服务器

表 2-6. 附属模式下的 HTTP 双代理服务器

优点限制

代理服务器控制时间和内容可用性行为。成本更高—需要其他代理服务器。

IWSA 不等待下载已缓存的对象。

无需在客户端上进行配置更改。

2-22

部署入门

以 WCCP 模式部署

注意：有关以 WCCP 模式部署的高级信息，请参见《IWSA 6.5 管理指南》中的

“附录 F， WCCP 部署与故障排除”。

WCCP 模式下的 HTTP 代理服务器（单个和多个 IWSA 服务器）

以 WCCP 模式配置的 IWSA 按照以下顺序处理 Web 页面请求：

1. Web 客户端将请求发送到 Web 服务器。

2. 路由器截取该请求，然后将该请求转发给 IWSA。

3. IWSA 建立与 Web 客户端的连接。

4. IWSA 将客户端请求转发给 Web 服务器并建立与 Web 服务器的连接。

5. IWSA 开始在 Web 客户端与 Web 服务器之间发送数据。

6. 如果数据无病毒，则 IWSA 会将数据发送给 Web 客户端。

7. 如果数据具有病毒，则 IWSA 会将阻止的页面发送给 Web 客户端。

以 ICAP 模式部署

ICAP 模式概述

Internet 内容修改协议 (ICAP) 用于将 HTTP 响应或请求转发给第三方处理器并

收集结果。发送 ICAP 请求的组件称为 ICAP 客户端。处理请求的组件称为 ICAP 服务器。

以 ICAP 模式配置 IWSA 后，它可处理来自任意与 ICAP 兼容的客户端的请求。

趋势科技正式支持以下 ICAP 版本 1.0 实现：NetCache、 Blue Coat、 Cisco Content Engines (CE) 和 Squid。

2-23


图 2-11. 使用启用 ICAP 的代理服务器

表 2-7. 启用 ICAP 的代理服务器

优点限制

ICAP 允许仅扫描新内容和必要内容。 ICAP 设备的前期成本较高。

缩减和有选择性的进行扫描提高了性能在 IWSA 安装过程中添加了额外的步骤。

资源效率的提高减少了所需的 IWSA 服务器硬件数量。

需要管理。

2-24

部署入门

使用 ICAP 模式规划 HTTP 流程

有关实施 ICAP 模式的完整详细信息，请参阅第 1-10 页的 ICAP 模式。

ICAP 模式下的 HTTP 代理服务器（单个和多个 IWSA 服务器）

本节介绍了同时使用 ICAP 设备和 IWSA 服务器的典型 HTTP GET 请求的流程。

在以下流程中， IWSA 与 ICAP 设备进行交互，以响应 ICAP 规则。这与 IWSA 从 HTTP 客户端接收 URL 请求的其他流程截然不同。要对 HTTP 浏览器使用

这些流程，请将这些浏览器配置为将 ICAP 设备用作 HTTP 代理服务器。

使用 ICAP 设备可通过以下两种方式提高性能：

• 缓存良好数据 — 如果数据是干净的， ICAP 设备将缓存该数据。后续请求

仅需四个步骤，而不是八个步骤。（ICAP 必须持续要求 IWSA 检查策略以

确认提出后续请求的用户可以浏览数据、未超出其配额等。）

• 群集 IWSA 服务器 — 当使用多个 IWSA 服务器时， ICAP 设备负载会平衡

服务器之间的请求。对于扫描传入页面需求可能导致单个 IWSA 服务器超

载的企业环境而言，这很重要。通过 ICAP， ICAP 设备执行负载平衡，

并从可用 IWSA 服务器实现大性能。

注意：非 ICAP 环境可以通过使用多个 IWSA 服务器实现类似优势。但管理员必须利

用其他负载平衡技术。

以 ICAP 模式配置 IWSA 后，它可处理来自任意与 ICAP 兼容的客户端的请求。

趋势科技支持以下 ICAP 客户端实施：

• NetCache

• Blue Coat

• Cisco 内容引擎

• Squid

虽然 IWSA 对 URL 执行相同过滤操作并扫描数据以确定是否存在不需要的内容，

但 ICAP 流程不同于其他流程，它需要一个完全不同的通信协议。在安装后的

配置过程中，管理员指示要使用的协议（ICAP 或非 ICAP）。

2-25


下图显示了单个和多个 IWSA 服务器的 HTTP 流程。（两个图像都假定请求的

数据不在 ICAP 设备的缓存中）。ICAP 服务确定在多服务器环境中接收请求的 IWSA 服务器。

以 ICAP 模式配置的 IWSA 按以下顺序处理 Web 页面请求：

1. HTTP 客户端创建一个 URL 请求，然后将该请求发送至 ICAP 缓存代理服

务器设备。

2. ICAP 设备根据其配置，决定必须将请求转发至 IWSA 服务器。如果有多个

服务器可用，则该设备将以循环方式交替进行负载平衡。

3. IWSA 服务器验证 URL。

• 如果未阻止该 URL， IWSA 会将响应发送至 ICAP 设备。

• 如果 URL 无效（被阻止），则 IWSA 将引导 ICAP 设备将相应的响应

发送至 HTTP 客户端，事务即完成。

4. 如果 URL 有效， ICAP 服务器将从 Internet 上的 Web 站点请求页面。

5. Internet 上的 Web 站点返回请求的页面（或一些其他相应的响应）。

6. 如果返回了页面，则 ICAP 设备基于其配置，决定 IWSA 服务器必须扫描

数据。同样，如果有多个服务器可用，则该设备将以循环方式交替进行负载平衡。

7. 根据数据是否干净或包含不需要的内容， IWSA 服务器扫描结果并将相应

的响应返回给 ICAP 设备。

8. 如果数据是干净的，则 ICAP 设备将向 HTTP 客户端返回上述数据，而 ICAP 设备会保留一份数据副本，以供以后的请求使用。如果数据包含不需要的内容，则 ICAP 设备将向 HTTP 客户端返回一个相应的错误消息（由 IWSA 指示），但 ICAP 设备不会保留数据副本供以后请求使用。

2-26

部署入门

图 2-12. ICAP 模式下的 HTTP 代理服务器（单个 IWSA 服务器）

具有多台服务器的 IWSA ICAP 模式

如果网络中已有一个内容缓存服务器，则趋势科技建议安装 ICAP HTTP 处理

程序。下图显示了具有多个服务器的 IWSA ICAP 的安装拓扑结构。要使多个 IWSA ICAP 服务器正常工作，它们的相应特征码、扫描引擎版本和 intscan.ini 文件必须相同。

2-27


图 2-13. ICAP 模式下的 HTTP 代理服务器（多台 IWSA 服务器）

表 2-8. ICAP 模式下的 HTTP 代理服务器

优点限制

无需在客户端上进行配置更改。 IWSA 上的配置更改将影响缓存

的对象。

缓存的对象由客户端直接从代理服务器下载，这样能最大限度地减少延迟并提高性能。

对客户端进行一些配置后，可以执行负载平衡。

2-28

部署入门

以反向代理服务器模式部署

反向代理服务器模式概述

IWSA 通常安装在靠近客户端的位置，以保护它们免受 Internet 安全风险的威胁。

但是， IWSA 也支持作为反向代理服务器安装以保护 Web 服务器不会让恶意程

序上传至其中。在反向代理服务器模式下， IWSA 安装在它保护的 Web 服务器

附近。在该模式下， IWSA 借助代理服务器保护 Web 服务器。 HTTP 代理服务

器位于 Internet 和 Web 服务器之间。当 Web 服务器从客户端接收文件上传，或

通过平衡多个 Web 服务器之间的负载来减少每台 Web 服务器的负载时，该代

理服务器很有用。 ASP/ISP 可以将 IWSA 用作 HTTP 代理服务器，以保护上传

通信不受病毒攻击。具有多个复杂 Web 站点的组织需要将该代理服务器作为集

中访问控制点。

IWSA 会接收客户端的请求，扫描所有内容，然后将 HTTP 请求重定向到实际 Web 服务器。该流程对以下情况非常有用：电子商务事务中包含的 Web 站点、

通过 Internet 交换数据的分布式应用程序或客户端从远程位置将文件上传到 Web 服务器等其他情况。

图 2-14. 反向代理服务器保护 Web 服务器免受来自客户端的风险

2-29


使用反向代理服务器模式规划 HTTP 流程

有关实施反向代理服务器模式的完整详细信息，请参阅第 1-10 页的反向代理

服务器模式。

附属模式下的 HTTP 反向代理服务器

在反向代理服务器模式中， HTTP 代理服务器充当客户端系统的 Web 服务器。

代理服务器接收所有请求，并将其传输给实际 Web 服务器。因此，所有 HTTP 通信都将通过 HTTP 代理服务器，从而允许代理服务器扫描内容并阻止任何受

感染的事务。

注意：管理员应注意以下几点：- URL 过滤功能在该配置中没有用，只有防病毒扫描和 URL 阻止功能是有用的。

- 在反向代理服务器模式下，Web 服务器的访问日志是无用的。要对 Web 站点

的连接进行分析，必须使用 IWSA 访问日志。

- 理想情况下，反向代理服务器应置于防火墙后面，但在许多情况下，代理服

务器直接连接到 Internet，这样更容易受到直接攻击。当在没有防火墙的情况

下配置反向代理服务器时，管理员应采取所有相应的防范措施以确保托管 IWSA 的操作系统的安全。

以反向代理服务器模式配置的 IWSA 按以下顺序处理 Web 页面请求：

1. 客户端发出 Web 请求。

2. 请求由趋势科技™ Web 安全网关 (IWSA) 接收，并配置为在端口 80 上进行侦听。

3. 趋势科技™ Web 安全网关 (IWSA) 扫描内容，然后将其转发给实际 Web 服务器。

4. 该 Web 服务器将请求的页面传送回 IWSA。

5. 趋势科技™ Web 安全网关 (IWSA) 重写页眉，并发送请求。

6. 将修改后的页面返回给请求方。

2-30

部署入门

图 2-15. 附属模式下的 HTTP 反向代理服务器

表 2-9. 有关附属模式下 HTTP 反向代理服务器的更多信息

优点限制

IWSA 先扫描所有对象，再对其进行缓存。新引擎、特征码和配置不会影响缓存的对象。

IWSA 访问记录功能受到损害。

2-31


以透明桥接模式部署

透明桥接模式概述在透明桥接模式下， IWSA 充当两个网络设备（交换机、路由器或防火墙）

之间的桥接并以透明方式扫描 HTTP/HTTPS 和 FTP 通信。透明桥接模式是将 IWSA 部署到现有网络拓扑结构的简单方式，无需修改客户端、路由器或交

换机。 IWSA 充当 “线路插件” (bump in the wire) 并扫描恶意软件。在透明桥

接模式下配置 IWSA 需要两个网卡。

透明桥接模式的好处是，无需更改客户端的任何配置， IWSA 便可以处理和扫

描客户端的 HTTP/HTTPS 请求。这对于终用户来说更为方便，并可以防止

客户端通过简单更改自己的 Internet 连接设置来绕过安全策略。

这种部署模式的另一个重要好处是， IWSA 可以看见所有端口间的所有通信。

这除了可以利用 IWSA 的应用程序控制功能监控和控制 HTTP/HTTPS 和 FTP 外，还可以监控和控制 420 多个其他应用程序和协议。

图 2-16. 典型的桥接模式部署

注意：硅旁路卡可以由 VMware ESXi 5.0 识别，但只能用作正常的网卡，而不具备

旁路功能。

2-32

部署入门

使用透明桥接模式规划 HTTP 流程

有关实施正向代理服务器模式的完整详细信息，请参阅第 1-9 页的透明桥接

模式。

以透明桥接模式配置的 IWSA 按以下顺序处理 Web 页面请求：

1. Web 客户端将请求发送到 Web 服务器。

2. IWSA 接受来自客户端的连接请求并将其发送给 Web 服务器。

3. IWSA 建立与 Web 客户端的连接。

4. IWSA 建立与 Web 服务器的连接，并从 Web 服务器获取数据。

5. 如果数据不包含病毒，则 IWSA 会将数据发送给 Web 客户端。

6. 如果数据包含病毒，则 IWSA 会将阻止的页面发送给 Web 客户端。

高可用性部署模式

IWSA 6.5 透明桥接模式支持在高可用性 (HA) 模式下进行部署，其中两个 IWSA 6.5 节点被配置为一个 HA 群集。在此配置中，其中一个节点指定为父节点

（主动节点），并通过 “心跳”链接连接到子节点（被动节点）。

对于 HA 模式部署，建议对每个 IWSA 6.5 HA 群集成员执行 Bare Metal 安装。

这样可以避免两个 HA 群集成员同时安装在一台虚拟服务器中，使得虚拟服务

器不可操作。如果安装在同一台虚拟服务器中， HA 群集的两个成员都将变得

不可操作。

注意：仅在透明桥接模式中支持 HA 部署模式。在其他支持的部署模式中部署的多个 IWSA 之间的高可用性被外部处理到 IWSA 实例。具体来说，负载平衡器在任

何代理服务器模式下都支持冗余。 Cisco WCCP 设备可以在 WCCP 模式下管理

与冗余 IWSA 的通信。而 ICAP 代理服务器客户端可以在 ICAP 模式下管理与

冗余 IWSA 的通信。

2-33


图 2-17. 高可用性部署模式

HA 部署模式安装指南

初始安装 IWSA 后，系统会为每个参与 HA 群集的 IWSA 单元上的选定网络接

口分配一个静态 IP 地址。

要成功配置 HA 功能，您需要知道在安装过程中分配了 IP 地址的网卡（eth0、eth1 等等），以及如何在服务器上配置网络接口。 IWSA 提供了 CLI 命令，可

简化该信息的收集过程。在初始安装 IWSA 后，通过执行此 CLI 命令，可以收

集和记录在 Web 控制台中完成安装所需的必要信息。

在使用 CLI 命令收集必要信息后，可以通过浏览器连接到 Web 控制台。对于

新的安装，部署向导将自动启动，并引导您完成部署模式。

为避免创建网络循环，请确保首先将每个 IWSA 单元配置为正向代理服务器

设备。配置所有网络信息后，可以使用部署向导创建 HA 群集。

警告！如果在透明桥接模式下意外将 IWSA 设备配置为父设备或主动设备，则可能

会创建网络循环。要避免出现此种可能性，请在配置 HA 功能之前将每个 IWSA 配置为正向代理服务器设备。

2-34

部署入门

配置 IWSA HA 群集：

1. 在正向代理服务器模式下安装两个 IWSA 设备。其中一个将成为父主动设

备，另一个将成为子被动设备。

2. 因为 IWSA 设备可以安装在通用服务器硬件上，所以您需要在设置 HA 群集前确认网卡和网络信息。收集将在 Web UI 配置步骤中使用的网卡信息

以完成 HA 群集配置。通过登录到 IWSA 的 CLI 控制台并执行以下 CLI 命令来执行以上操作：

show network interface status3. 确保已使用上一步中标识的活动网卡将这两个 IWSA 设备连接到网络。

这两个 IWSA 单元必须能够互相通信，并且还能够与将用于配置 HA 群集

的管理主机通信。

4. 在管理主机上，使用浏览器连接到即将充当父成员或主动成员的 IWSA 设备。如果这是您在初始安装后首次访问 IWSA 的 Web 控制台，部署向导将

自动启动。您也可以从管理 > 部署向导菜单选项中访问此控制台。

5. 按照 “部署向导”屏幕上的说明配置第一个 HA 群集成员。该成员将成为

父单元或主动单元。

6. 针对将成为子成员的 IWSA 设备，重复步骤 4 和步骤 5。该子成员将加入

父成员以完成 HA 群集。

有关创建 HA 群集的详细信息，请参考《IWSA 管理员指南》中的第 3 章“高可用性和群集管理”。

2-35


2-36

第 3 章

安装趋势科技 Web 安全网关 (IWSA)

本章介绍了以下主题：

• 第 3-2 页的获取 IWSA

• 第 3-3 页的安装 IWSA

• 第 3-10 页的首次登录到 IWSA

• 第 3-10 页的安装后说明

3-1


获取 IWSA以下平台支持 IWSA：

• Bare Metal 安装（不带有操作系统的专用现有服务器平台）。请参阅当前已

认证硬件平台的列表，确保 IWSA 支持您的首选服务器平台。可从以下位

置找到该列表：

http://us.trendmicro.com/imperia/md/content/us/pdf/partners/certifiedbytrendmicro/trendtested_hw_matrix_mar2011.pdf

• 作为虚拟机的 VMware ESX 4.0/4.1 或 ESXi 4.0/4.1

• 作为虚拟服务器安装在 Windows Server 2008 R2 或更高版本上的 Microsoft Hyper-V 2.0

有关 IWSA 服务器要求的信息，请参考第 1-2 页的服务器要求。

趋势科技建议您评估出适合您的环境的安装方法。

您可以通过趋势科技企业解决方案 DVD 安装 IWSA，或者从以下趋势科技 IWSA 下载位置下载安装 ISO：

http://downloadcenter.trendmicro.com/?regs=CH

此 DVD 可通过购买获得，其中包含安装文件和所有文档。

使用趋势科技企业解决方案 DVD

要完成此安装，您需要创建其中包含 IWSA ISO 文件的可启动安装 DVD。

过程：

1. 要创建安装介质，请将趋势科技企业解决方案磁盘插入其中可创建 ISO 映像的计算机的 DVD 驱动器中。

2. 将 IWSA ISO 映像从趋势科技企业解决方案介质复制到本地硬盘驱动器上。

3. 弹出企业解决方案 DVD，然后将空白 DVD 磁盘放入 DVD 刻录机。

4. 将 IWSA ISO 映像刻录到此空白 DVD 中。

5. 将新创建的 IWSA 安装 DVD 插入要安装 IWSA 的目标服务器。

6. 重新启动该服务器，并从 IWSA 安装 DVD 启动以开始安装过程。

3-2

http://us.trendmicro.com/imperia/md/content/us/pdf/partners/certifiedbytrendmicro/trendtested_hw_matrix_mar2011.pdf



http://downloadcenter.trendmicro.com/index.php?clk=tbl&clkval=250&regs=NABU&lang_loc=1


注意：企业 DVD 和趋势科技评估站点上的文件是 ISO 映像。通过 ISO 映像，您可

以创建 IWSA 安装 DVD 来安装产品。

下载安装文件过程：

1. 转到趋势科技下载 Web 页面：


2. 下载 IWSA ISO 文件。

3. 将 IWSA ISO 映像刻录到此空白 DVD 中。

4. 将新创建的 IWSA 安装 DVD 插入要安装 IWSA 应用程序的目标服务器。

警告！ IWSA 不支持使用外部 USB DVD 驱动器进行安装。

5. 重新启动该服务器，并从 IWSA 安装 DVD 启动以开始安装过程。

注意：要创建 IWSA 安装 DVD，需要复制 ISO 映像，然后将其刻录到空白 DVD（请参阅 DVD ISO 创建文档《How to Use the Trend Micro IWSA ISO File》。）

安装 IWSAIWSA 仅支持新安装或从特定版本进行的迁移。

IWSA 支持从 IWSA 5.6 和 IWSA 6.5 产品迁移现有的配置和策略数据（请参阅

第 1-6 页的迁移）。

IWSA 安装过程将格式化要安装 IWSA 的现有系统。 Bare Metal 的安装过程与 VMware ESX Hyper-V 虚拟机平台的安装过程基本相同。 Bare Metal 安装只需启

动 IWSA 安装 DVD 即可开始安装过程。但 VMware 和 Hyper-V 安装需要在安装

之前创建虚拟机。其他 VMware 虚拟机配置在附录 E，第 E-1 页的在 VMware ESX 下为 IWSA 创建新的虚拟机中有描述。其他 Hyper-V 虚拟机配置在附录 F，第 F-1 页的在 Microsoft Hyper-V 下为 IWSA 创建新的虚拟机中有描述。

3-3



警告！安装过程中将删除所有现有数据或分区。请在安装 IWSA 前备份系统中的所有

现有数据（如果有）。

IWSA 还将安装一份开放式源代码内容缓存应用程序（称为 Squid）。缺省情况

下 Squid 处于禁用状态，但您可以通过 IWSA 管理 Web UI 启用此免费的开放式

源代码实用工具。趋势科技提供 Squid 内容缓存，从而使安装变得简单方便。

Squid 开放式源代码团体提供 Squid 支持。

趋势科技免责声明：趋势科技 IWSA 将预安装 Squid 并提供基本配置和统计报告，以便帮助降低安装和配置 Squid 的复杂度，从而与 IWSA 一起运行。缺省情况下 Squid 处于禁用状态，客户必须在安装完成后通过 IWSA 管理用户界面才能启用。 Squid 支持可通过开放式源代码通道获得，客户应在启用 Squid 之前了解 Squid 的优点和功能。

有关 Squid 应用程序的其他信息、文档和支持可从以下官方 Squid Web 代理服务器缓存 Web 站点上找到：www.squid-cache.org。趋势科技不会就 Squid 的功能提供任何支持，但会通过所提供的配置命令为 Squid 与 IWSA 的设置和集成提供支持。

安装 IWSA：

1. 开始 IWSA 安装。

在 Microsoft Hyper-V 虚拟机上安装

a. 在 Microsoft Hyper-V Server 上创建虚拟机。

请参阅附录 F，在 Microsoft Hyper-V 下为 IWSA 创建新的虚拟机（第 F-1 页）。

b. 请参考 “安装后说明”以访问 IWSA Web 控制台并继续 IWSA 配置。

在 Bare Metal Server 上安装

将 IWSA 安装 DVD （从 IWSA ISO 映像中创建的）插入所选服务器的 DVD 驱动器。

3-4


注意：由于 IWSA 不支持外部 USB CD/DVD 驱动器，当安装 IWSA 时将显示

“在 DVD-ROM 上找不到 kickstart 文件”警告消息。您可以安全地忽略该

警告消息。

在 VMware ESX 虚拟机上安装

a. 在 VMware ESX Server 上创建虚拟机。

请参阅附录 E，第 E-1 页的在 VMware ESX 下为 IWSA 创建新的虚拟机。

b. 启动创建的虚拟机以便从 IWSA 安装 ISO 启动。

注意：如果计算机从 ISO 映像（如 ISOLINUX）启动，则需要在启动加载程序提示

符下按 [ENTER]，以便继续进行 IWSA 安装过程。

针对 VMware ESX 虚拟机和 Bare Metal Server 的安装步骤

注意： IWSA 在安装过程中不需要网络连接，但当安装完成后使用 “部署向导”时

必须与 Internet 连接。

显示用于显示 IWSA 安装菜单的页面。该菜单包括以下选项：

• 安装 IWSA：选择此选项可将 IWSA 安装到新的硬件或虚拟机上。

• 系统恢复：选择此选项可在管理密码无法恢复时恢复 IWSA 系统。

• 退出安装：选择此选项可退出安装过程并从本地磁盘启动。

2. 选择安装 IWSA。

此时将显示使用授权接受页面。

3. 单击接受继续。

此时将显示一个页面，您可在该页面上选择键盘语言。

4. 选择系统的键盘语言，然后单击下一步。

5. 选择用于安装的驱动程序，然后单击下一步。

3-5


IWSA 安装程序将扫描硬件，从而确定硬件是否符合低规格，然后显示

如下所述的结果。如果主机硬件包含任何不符合低规格的组件，则安装程序将高亮显示不符合规格的组件，并且安装将停止。

6. 单击下一步继续。

此时将显示一个页面，您可在该页面上指定网络设备、主机名和其他设置。如果选择手动设置主机名，则可以使用其他设置。

注意：必须为 IWSA 服务器指定有效的主机名，以使其正常运行。

必须在分配给 IWSA 及其用户的 DNS 服务器中输入 IWSA 主机名。

7. 选择网络设备，并输入相应的 IP 地址。

注意：安装 IWSA 操作系统后，可以使用选定的 NIC 来访问 IWSA Web 控制台，

然后运行 “部署向导”完成必要的配置。此外，您还可以使用 “部署向导”更改现有的网络设置。

图 3-1. 用于指定网络设备、主机名和其他设置的页面

3-6


8. 根据 IWSA 的需要配置网络设置，然后单击下一步。

9. 在时区页面上，为 IWSA 指定时区。

使用下拉列表显示支持的时区，或者使用世界时区地图指向您所在的位置。

10. 单击下一步。

11. 指定管理员帐户的密码。

IWSA 采用三个不同级别的管理员类型来保护系统：Root 帐户、 Enable 帐户和管理帐户。为方便起见，在此步骤中将上述三种帐户的密码设置为相同的密码。安装完成后，您可以单独更改每个密码。

Root 帐户：Root 帐户用于访问操作系统 shell，它拥有服务器的所有权限。

这是系统上拥有多权限的帐户。

Enable 帐户：Enable 帐户用于访问命令行接口 (CLI) 的特权模式。它拥有

执行 CLI 命令的所有权限。

管理帐户：管理帐户是 IWSA Web 控制台和 CLI 管理界面中使用的缺省管

理帐户。它拥有 IWSA 应用程序的所有权限，但没有操作系统 shell 的访问

权限。缺省用户名为 “admin”。

当键入密码时，右侧的密码强度指示器将指示所选密码的强度。为实现佳安全性，趋势科技建议您使用强度高且独特的密码。


此时将显示一个页面，您可在该页面上接受所有配置设置。

13. 确认所选值均正确，然后单击下一步。

安装过程将提示您开始安装。选择继续将擦除硬盘分区上的所有数据并格式化该硬盘。如果硬盘上有想要保留的数据，请取消安装并在继续之前对信息进行备份。

14. 单击继续。

此时将出现一个页面，该页面提供用于 IWSA 安装的本地驱动器的格式化

状态。格式化完成后， IWSA 安装开始。

3-7


图 3-2. “摘要”窗口中包含缺省密码。

安装完成后，将显示“摘要”窗口。安装日志保存在 /root/install.log

文件中，以供参考。

15. 单击重新启动以重新启动系统。

• 对于 Bare Metal 安装：DVD 会自动弹出。请从驱动器中取出 DVD 以防止重新安装。

• 对于虚拟机安装：趋势科技建议从已安装 IWSA 的虚拟机上断开 DVD-ROM 设备。

当 IWSA 重新启动后，将显示窗口中的初始 CLI 日志。（请参阅图 3-3。）

3-8


图 3-3. 窗口中的初始 CLI 日志

注意：在安装过程中，您可能会收到以下消息：

故障内核（0x0 到 0x0）不在允许范围内。

powernow-k8：BIOS 错误 - 不存在 psb 或 acpi_pss 对象

这两条消息都属正常现象。第二条消息表明系统 BIOS 未报告或显示任何 PSB 或 ACPI 对象以及到 Linux 内核的挂接。CPU 和 BIOS 都不支持 PSB 或 ACPI 对象或挂接，或者它们处于禁用状态。

16. 通过禁用浏览器中的弹出窗口拦截程序，准备登录到 IWSA Web 控制台。

注意：弹出窗口拦截程序会阻止首次登录时启动的更改密码对话框和部署向导。

17. 登录到 IWSA Web 控制台以启动 IWSA。

有关详情，请参阅第 3-10 页的首次登录到 IWSA。

3-9


首次登录到 IWSA当 IWSA 重新启动后，您可以通过 CLI 或 Web 管理界面登录到设备。

• 对于 CLI 接口，请在控制台登录提示符下键入您的管理员用户名和密码。

注意：首次登录到 Web 控制台前，请关闭浏览器中的弹出窗口拦截程序。弹出

窗口拦截程序会阻止更改密码对话框和部署向导。

• 对于 Web 管理界面，请在您的工作站上（非 IWSA）打开一个新的 Web 浏览器，然后键入初始 CLI 横幅中指示的 URL (http://<IWSA 6.5IP

address>:1812)。登录时需要 IWSA 管理员帐户和密码。管理员帐户名为

“admin”，密码为用户在安装过程中设置的密码。

安装后说明当初始 CLI 可用后：

• 当您首次登录到 Web 控制台时部署向导将启动。使用 “部署向导”完成

安装。（请参阅《管理员指南》第 2 章。）

• 趋势科技建议您在注册并激活产品后立即更新扫描引擎和病毒码文件。

（请参阅《管理员指南》第 3 章。）

3-10

第 4 章

迁移到趋势科技 Web 安全网关 (IWSA)


• 第 4-2 页的关于迁移

• 第 4-3 页的未迁移的信息

• 第 4-4 页的从 IWSA 5.6 迁移到 IWSA 6.5

• 第 4-5 页的从一个 IWSA 6.5 迁移到另一个 IWSA 6.5

• 第 4-6 页的迁移之后

4-1


关于迁移趋势科技 Web 安全网关 (IWSA) 6.5 既支持完全迁移，也支持部分迁移。使用完

全迁移可以恢复系统和应用程序设置，或将当前配置应用于供替换的 IWSA 计算机。如果要替换策略级和应用程序级的配置，可以执行部分迁移。

警告！ IWSA 6.5 不支持从 IWSA 5.6、IWSA 5.0、IWSA 3.1 的其他语言版本进行迁移。

在执行完全迁移之前，请确保源和目标 IWSA 6.5 计算机上的硬件配置和部署

模式相同。

趋势科技建议您将目标 IWSA 6.5 计算机配置为使用与备份配置文件（从源 IWSA 6.5 计算机导出）中相同的 IP 地址，以防止完全迁移后出现意外行为。

请勿将两台 IWSA 6.5 计算机同时连接到网络。每次应只连接一台 IWSA 6.5 计算机。

可以将以下 IWSA 产品的配置和策略信息迁移到 IWSA：

• IWSA 5.6

• IWSA 6.5

重要说明• 您可以将 IWSA 配置导出到备份文件。导出信息包括系统级和应用程序级

的配置设置。

• 使用 Web 控制台中的配置备份与恢复页面来导入包含 IWSA 6.5 配置的备

份文件。将显示一个窗口，提示您选择完全迁移或部分迁移。

• 配置备份文件中的密码信息不会以明文形式显示。

• IWSA 在审计日志中记录配置导入或导出操作。

4-2


未迁移的信息

以下列出未迁移的项目。

完全迁移

• 存储在数据库、报告、消息和已隔离文件中的日志

• 特征码和引擎文件以及位于配置文件中的相关版本信息

• 数据库密码

• 产品激活码

• 操作系统和应用程序 patch

部分迁移

• 存储在数据库、报告、消息和已隔离文件中的日志

• 特征码和引擎文件以及位于配置文件中的相关版本信息

• 数据库密码和配置

• 产品激活码

• 部署模式配置

• Web 控制台中 “管理”菜单下除用户识别以外的所有配置设置

• 来自 IWSA 5.6 的以下设置：

• 时间表报告

• 日志和报告路径

• （针对 IWSA 6.5 到 IWSA 6.5 的部分迁移）系统级设置，如 IP 地址、

主机名等

• 操作系统和应用程序 patch

4-3


迁移过程概述

此过程列出完全迁移和部分迁移的主要步骤。

过程：

1. 备份先前的 IWSx 设置。

2. 安装 IWSA 6.5。

3. 将之前备份的配置文件导入新的 IWSA 计算机。如果您要从源 IWSA 迁移

到目标 IWSA 6.5，并且两个设备都是以独立模式配置的，则可以选择执行

完全迁移或部分迁移。否则，缺省情况下，仅执行部分迁移。

4. 可以访问 Web 控制台来配置 IWSA 6.5 的新功能。

注意：迁移过程完成后，缺省设置将应用导入的 IWSA 6.5 功能。

有关未迁移的设置列表，请参考第 4-3 页的未迁移的信息。

从 IWSA 5.6 迁移到 IWSA 6.5

注意：如果您要恢复到之前的备份 IWSA 5.6 配置， IWSA 6.5 只支持部分迁移。

IWSA 6.5 不支持从其他语言版本迁移。

过程：

1. 打开源 IWSA 的 Web 控制台，选择管理 > 配置备份与恢复，然后单击导出。

此窗口将显示进度条。完成导出过程后，结果页将显示状态。如果配置导出成功， IWSA 会打开一个对话框，提示您将配置文件保存到本地磁盘。

在计算机的本地驱动器上保存文件。

2. 打开目标 IWSA 6.5 计算机的 Web 控制台，然后从主菜单中选择管理 > 配置备份与恢复。

3. 单击浏览选择备份文件，然后单击导入。

4-4


从一个 IWSA 6.5 迁移到另一个 IWSA 6.5

注意： IWSA 6.5 不支持从 IWSA 6.5 的其他语言版本迁移。

仅当两个设备均以独立模式配置时，才支持从一个 IWSA 6.5 设备到另一个 IWSA 6.5 设备的完全迁移。

要执行完全迁移，请确保硬件配置和部署模式在两台 IWSA 计算机上均相同。

趋势科技还建议您将两台计算机都配置为使用同一个 IP 地址，从而防止完全

迁移后出现意外行为。

如果备份文件中的 IP 地址信息与您要向其导入文件的 IWSA 计算机的 IP 地址

不同，则不会显示迁移结果窗口。在这种情况下，可以在 “审计日志”窗口中查看迁移结果。

完全迁移之后，如果源 IWSA 计算机上启用了单独管理接口，您必须使用源 IWSA 计算机的管理 IP 地址来访问目标 IWSA 6.5 计算机上的 Web 控制台。

过程：

1. 打开源 IWSA 6.5 计算机的 Web 控制台，然后选择管理 > 配置备份/恢复。

然后，单击导出备份配置。

此窗口将显示进度条。完成导出过程后，结果页将显示状态。如果配置导出过程成功， IWSA 会打开一个对话框，提示您将配置文件保存到本地磁

盘。在计算机的本地驱动器上保存文件。

2. 打开目标 IWSA 6.5 计算机的 Web 控制台，然后从主菜单中单击管理 > 配置

备份/恢复。

3. 单击浏览选择备份文件，然后单击导入。

注意：如果您要从源 IWSA 6.5 迁移到目标 IWSA 6.5，并且两个设备都是以独立

模式配置的，则可以选择执行完全迁移或部分迁移。否则，缺省情况下，仅执行部分迁移。

4. 选择一个选项，然后单击确定继续操作。

4-5


迁移之后现有客户可以查看《IWSA 管理员指南》第一章的 “新增功能”部分来了解

此版本中可用的新增功能。新客户可以查看列于 “新增功能”部分后面的所有其他 IWSA 功能。

4-6

附录 A

部署集成

本附录描述了以下内容：

• 第 A-2 页的分布式环境中的 IWSA

• 第 A-4 页的与 LDAP 的集成

• 第 A-7 页的使用 WCCP 与 Cisco 路由器的集成

• 第 A-7 页的使用反向代理服务器保护 HTTP 或 FTP 服务器

• 第 A-9 页的与 ICAP 设备的集成

A-1


分布式环境中的 IWSA趋势科技 Web 安全网关 (IWSA) 设计为分布式系统的一部分，并且可以基于配

置设置建立大量网络连接。

管理员必须确保以下内容：

• 没有阻止任何所需通道

• 所有通道都具有足够的吞吐量

• 服务器使用受支持的软件版本

• 服务器能够处理繁重的通信负载

连接要求和属性

表 A-1 提供所需的连接及其属性。

表 A-1. 所需的连接和属性

连接组件通信：类型和容量如果连接丢失

客户端应在实际网络中度量。无防护

数据库服务器类型：TCP

容量：

• 低 — 如果访问日志记

录功能已禁用。• 中 — 如果访问日志记

录功能已启用。

缓存数据用于已启动的服务。

服务将不会启动。

LDAP 服务器

（如果配置）

类型：LDAP

容量：中


服务将不会启动。

趋势科技 ActiveUpdate 服务器

类型：HTTP 和 HTTPS

容量：10-50 Mb/天

IWSA 组件无法及时更新。

A-2

部署集成

吞吐量和可用性要求

管理员必须确定 IWSA 可用性要求。

• IWSA 停机时间是否可接受？

• 如果可接受，则 IWSA 停机时执行的正确操作是什么（绕过还是停止）？

• 如果使用了具有多个 IWSA 实例的故障转移配置， LDAP 和数据库服务器

是否具有相同级别的故障转移？

Web 信誉类型：HTTP

容量：取决于特定访问


服务将不会启动，用户将被授予对请求的 URL 的访问权限。

趋势科技损害清除服务器（如果配置）

类型：HTTP

容量：取决于受感染的计算机数量

未针对受感染的计算机执行清除。

表 A-1. 所需的连接和属性（续）

连接组件通信：类型和容量如果连接丢失

A-3


与 LDAP 的集成

支持用于容纳多个 LDAP 服务器的多个域

IWSA 具有一个 LDAP 模块，可用于与多个 LDAP 服务器进行通信，并能够建

立类似多域树和林的环境。

IWSA LDAP 集成支持多个域和多个 LDAP 服务器。

在 IWSA Web 控制台中配置 LDAP 功能：

1. 转到管理 > IWSA 配置 > 用户识别 > 用户识别

2. 输入 LDAP 连接的必需信息

3. 单击测试连接以验证 LDAP 配置和连接。如果测试成功，将会显示一条成

功消息。

4. 单击保存以保存此配置。

注意：配置 LDAP 前，请确保 IWSA DNS 可解析 LDAP 域名。

为用户认证提供了两种认证方法。标准认证将提供一个标准的 401 或 407 认证对话框，以指定用户帐户和密码。如果客户端计算机是 Microsoft Active Directory 域中的 Windows 桌面，则将应用透明认证。网页认证将为用户认证

显示一个基于 Web 的认证页面。临时策略适用于网页认证。 IWSA 6.5 中添加

了 cookie 模式，以在 NAT 和终端服务器环境（仅在网页认证中可用）中解决

用户认证。

只要查询 AD 服务器并且远程 AD 服务器启用了全局编目， Windows Active Directory (AD) 全局编目就将启用 LDAP 客户端（如 IWSA），以查询要查询的

域的本地对象，以及那些驻留在远程域中的对象。全局编目服务器接受端口 3268 上的 LDAP 请求，并且允许跨林中的所有其他域，查询全局组和通用组中

的用户凭证、完整名称和成员资格。为用户/组成员驻留在远程域（作为众多

子域级别一部分）中的父组创建 IWSA LDAP 策略时，使用全局编目非常方便。

A-4

部署集成

要使用此功能，IWSA 管理员应配置 IWSA 从 Web 控制台管理员 > 配置 > 用户

识别页面使用的主 LDAP 服务器，以与指定的启用全局编目的 Active Directory 服务器通信，该服务器使用端口 3268，而不是缺省 LDAP 通信端口 389。

注意：全局编目仅在 Microsoft Active Directory 中可用。使用全局编目端口的优势包

括使 LDAP 对象查找的性能更佳，以及允许查找驻留在 Active Directory 树的

许多子级（超过三级）中的对象。但是，为了使 IWSA 可以利用全局编目，

为对象请求的 AD 以及查询的用户或组对象驻留的 AD 需要启用全局编目。

IWSA 支持使用仅配置为主 LDAP 服务器，而非 IWSA 备用认证服务器一部分

的全局编目端口。

提示：趋势科技建议您允许 IWSA 查询 Active Directory 根服务器并启用全局编目，

并且在应用策略时使用通用组类型执行组嵌套。可通过全局编目查看，并且将在整个 Active Directory 中可见。有关详细信息，请参阅 Microsoft 支持 (http://support.microsoft.com/kb/231273)。

A-5


透明模式下的 LDAP 认证

在部署为透明模式（桥接和 WCCP）的 IWSA 上配置 LDAP 认证之前，请检查

以下条件以确保满足每一项。

• IWSA 必须具有一个有效主机名，该主机名在 Web 控制台的管理 > 部署

向导 > 网络接口页面中指定。确保在企业 DNS 服务器中也输入该主机名。

• 确保启用了用户 ID 缓存。缺省情况下，已启用。如果由于任何原因而被

禁用，必须在启用透明模式认证之前重新启用。您可以在 CLI 中使用 configure module ldap ipuser_cache enable 命令启用用户 ID 缓存。

• 缺省情况下， IWSA 可保留用户 ID 缓存信息的长时间为两小时。如果您

需要降低缓存超时值，可以在 CLI 中使用 configure module ldap ipuser_cache interval 命令设置稍短一些的缓存时间间隔。

• 如果启用了认证， IWSA 将阻止所有尝试访问 Internet 的非浏览器应用程

序。例如，在用户有机会登录到 IWSA 服务器之前， MSN 应用程序可能会

尝试访问 Internet。如果发生此种情况，该应用程序会被阻止，因为用户尚

未成功认证到 IWSA。您可以执行以下操作之一：

a. 将应用程序访问的 URL 添加到 “全局可信 URL”以绕过针对该应用

程序的 LDAP 认证。此列表中的 URL 会绕过认证和内容扫描。

b. 在启动需要访问 Internet 的应用程序之前，指示用户打开 Web 浏览器

并获取认证。

c. 将客户端计算机的 IP 地址添加到 “LDAP 认证白名单”。此列表中的 IP 地址会绕过 LDAP 认证。

• 当在正向代理服务器模式或使用 Active Directory 的透明模式下启用了用户

或组认证时，您可以利用 Internet Explorer Web 浏览器提供的自动认证功能。

通过自动认证功能，已登录到域网络的客户端无需输入登录信息（如用户名和密码）便可以访问本地 Intranet；也就是说，不会显示密码弹出窗口。

注意：您必须在每台客户端计算机上配置 IE 设置以启用自动认证。

缺省情况下， IE 7.0、 IE 8 和 IE 9 中启用了自动认证。

有关其他信息，请参考《管理员指南》。

A-6

部署集成

使用 WCCP 与 Cisco 路由器的集成

可以在网络（在网关上使用 Cisco 路由器）上集成 IWSA，而不会更改客户端

计算机的浏览器设置。这是通过利用 Cisco 的 WCCP 协议实现的。

注意：有关在 WCCP 模式下部署的详细信息，请参阅《IWSA 6.5 管理员指南》，

“附录 F， WCCP 部署和故障排除”。

使用反向代理服务器保护 HTTP 或 FTP 服务器

如果要保护 HTTP 服务器，请在 HTTP 代理服务器模式下安装 HTTP 扫描服务，

并且使用反向代理服务器配置。

• 在 pni 文件的 [http] 部分定义以下配置设置

• self_proxy=reverse — 指定操作模式

• reverse_server — 指定受保护的 HTTP 服务器的 IP 地址

• reverse_server_port — 指定受保护的 HTTP 服务器的 TCP 端口

注意：为了在 HTTP/HTTPS 环境中简化反向代理服务器配置的部署， IWSA 可以

在由 [main]/secondaryport 配置参数指定的端口上侦听传入 (HTTPS)连接，并且无需扫描就可将此通信转发到受保护服务器的端口 443。

A-7


图 A-1. 保护专用服务器

如果要保护 FTP 服务器，请安装 FTP 扫描服务并将其配置为使用 FTP 代理

服务器。

• 在 pni 文件的 [ftp] 部分定义以下配置设置：

• proxy_mode=dedicated 指定操作模式

• ftp_server 指定受保护的 FTP 服务器的 IP 地址

• ftp_server_port 指定受保护的服务器的 TCP 端口

A-8

部署集成

与 ICAP 设备的集成

可以在使用 ICAP 1.0 兼容的缓存服务器的网络上集成 IWSA。

设置 ICAP 1.0 兼容的缓存服务器

将 ICAP 客户端配置为与 ICAP 服务器通信。

• 第 A-9 页的为 NetCache 设备设置 ICAP：

• 第 A-11 页的为 Blue Coat 端口 80 安全设备设置 ICAP：

• 第 A-14 页的为 Cisco CE ICAP 服务器设置 ICAP：

为 NetCache 设备设置 ICAP为 NetCache 设备设置 ICAP：

1. 在浏览器窗口中，通过打开 http://{SERVER-IP}:3132 登录到 NetCache 控制台。

2. 单击设置，然后在左侧菜单中单击 ICAP > ICAP 1.0。

3. 单击常规，然后选择启用 ICAP V1.0。单击提交更改。

注意：如果未提供 NetCache 所需的 ICAP 许可证密钥，将会显示一条错误消息：

“icap: This service is not licensed”。

4. 输入 ICAP 许可证密钥：

a. 单击设置选项卡，然后在左侧菜单上单击系统 > 使用授权。此时会显

示系统使用授权屏幕。

b. 在 ICAP 使用授权部分键入 IWFLPWA。

c. 单击提交更改。

5. 在 ICAP 1.0 屏幕中选择服务场选项卡，然后单击新建服务场来添加 ICAP 服务器。然后，在服务场名称字段中指定服务场名称。

• 对于响应模式，在矢量点字段中选择 RESPMOD_PRECACHE

• 对于请求模式，在矢量点字段中选择 REQMOD_PRECACHE

A-9


6. 选择服务场启用。

7. 在负载均衡字段中，选择用于负载均衡的适当算法（如果在服务场中具有

多个 ICAP 服务器）。清除发生故障时跳过。

注意：如果优先考虑的是限制病毒在网络中的传播，则禁用发生故障时跳过。否则，启用发生故障时跳过来确保对 Internet 的无阻连接。

8. 在一致性字段下，从下拉菜单中选择强，并保留 lbw 阈值字段为空。

9. 在服务文本框下（对于响应模式），输入：icap://{ICAP-SERVER-IP}:1344/resp on?

其中 ICAP-SERVER-IP 是用于响应模式的 IWSA ICAP 的 IP 地址。

在服务文本框下（对于请求模式），键入 icap://{ICAP-SERVER-IP}:1344/REQ-Service on?

其中 ICAP-SERVER-IP 是用于请求模式的 IWSA ICAP 的 IP 地址。

对于多个 IWSA ICAP 服务器服务，请在步骤 9 中键入其他条目。例如：

对于响应模式，

• icap://{ICAP-SERVER1-IP}:1344/resp on

• icap://{ICAP-SERVER2-IP}:1344/resp on

单击提交更改。

对于请求模式，

• icap://{ICAP-SERVER1-IP}:1344/REQ-Service on

• icap://{ICAP-SERVER2-IP}:1344/REQ-Service on

单击提交更改。

注意：如果服务场内有多个 ICAP 服务器，并选择了强一致性，则请确保所有 ICAP 服务器具有完全相同的 intscan.ini 和其他配置文件，以及具有

相同的病毒码。如果 ICAP 服务器具有不同的配置，则服务场将无法正确

工作。

10. 单击访问控制列表选项卡，然后选择启用访问控制列表。

11. 在 HTTP ACL 字段中键入 icap （ICAP 服务器的服务器场名称） any。

A-10

部署集成

12. 单击提交更改。

要配置扫描基于 HTTP 的 FTP 通信，请转至 FTP > 配置 > 访问控制列

表，然后将 “icap（服务场名称）”添加到 FTP ACL 字段。

为 Blue Coat 端口 80 安全设备设置 ICAP

为 Blue Coat 端口 80 安全设备设置 ICAP：

1. 在 Web 浏览器的地址栏中，通过键入 http://{SERVER-IP}:8081 登录到

管理控制台（指定端口 8081 作为缺省管理端口）。

例如，如果首次安装期间配置的 IP 地址为 123.123.123.12，则在 Web 浏览

器中输入 URL http://123.123.123.12:8081。

2. 选择管理。键入登录用户名和密码（如果提示）。

3. 在左侧菜单中单击 ICAP，然后单击 ICAP 服务。

4. 单击新建。此时将显示添加 ICAP 服务屏幕。

5. 在 ICAP 服务名称字段中，键入字母数字名称，然后单击确定。

6. 高亮显示新的 ICAP 服务名，然后单击编辑。

此时将显示编辑 ICAP 服务名屏幕。

7. 输入或选择以下信息：

a. ICAP 版本号（即 1.0）

b. 服务 URL （包含病毒扫描服务器主机名或 IP 地址和 ICAP 端口号）。

缺省 ICAP 端口号是 1344。

• 响应模式：

icap://{ICAP-SERVER-IP}:1344

• 请求模式：

icap://{ICAP-SERVER-IP}:1344/REQ-Service

其中， ICAP-SERVER-IP 是 IWSA ICAP 的 IP 地址。

c. 大连接数（范围为 1-65535）。缺省值是 5。

d. 连接超时，这是 Blue Coat 端口 80 安全设备等待病毒扫描服务器答复

的秒数。时间范围是从 60 至 65535 的时间间隔。缺省超时是 70 秒。

A-11


e. 选择受支持的方法类型（响应或请求模式）。

f. 使用缺省预览大小（字节数） 0。

g. 单击检测设置，从 ICAP 服务器获取设置（建议）。

h. 要注册 ICAP 服务进行运行状况检查，请在运行状况检查选项区域下

单击注册。

8. 单击确定，然后单击应用。

注意：您可以编辑已配置的 ICAP 服务。要再次编辑服务器配置，请选择服务，

然后单击编辑。用于为 Blue Coat 配置 ICAP 的示例基于版本 2.1.07。此设置会因使用的 Blue Coat 版本而异。

9. 添加响应或请求模式策略。

Visual Policy Manager 需要安装 Sun™ Microsystems, Inc. 公司的 Java 2 运行时

环境标准版 V.1.3.1 或更高版本（也称为 Java 运行时或 JRE）。如果您的工

作站上已经安装了 JRE，安全网关将打开一个独立的浏览器窗口并启动 Visual Policy Manager。首次启动策略编辑器时，它会显示一个空策略。

如果您的工作站上没有安装 JRE，则会显示一个安全警告窗口。单击是

继续。遵照说明安装 JRE。

添加响应模式策略：

a. 选择管理。键入登录用户名和密码（如果提示）。

b. 在左侧菜单中单击策略，然后单击 Visual Policy Manager。

c. 单击开始。

如果显示 Java 插件安全警告屏幕，则单击授权此会话。

d. 在菜单栏中，单击编辑 > 添加 Web 内容策略。

此时会显示添加新策略表屏幕。

e. 在选择策略表名称字段下键入策略名称。单击确定。

A-12

部署集成

f. 在操作列下，右键单击跳过 ICAP 响应服务，然后单击设置。

此时会显示添加对象屏幕。

g. 单击新建，然后选择使用 ICAP 响应服务。

此时将显示添加 ICAP 服务操作屏幕。

h. 在 ICAP 服务/群集名称字段下选择 ICAP 服务名。在 ICAP 服务发生

通信错误时部分下启用拒绝请求。单击确定，然后再次单击确定。

i. 单击安装策略。

添加请求模式策略：

a. 选择管理。键入登录用户名和密码（如果提示）。

b. 在左侧菜单中选择策略，然后单击 Visual Policy Manager 选项卡。

c. 单击开始。如果显示 Java 插件安全警告屏幕，则单击授权此会话。

d. 在菜单栏中，单击编辑 > 添加 Web 访问策略。

此时会显示添加新策略表屏幕。

e. 在选择策略表名称字段下键入策略名称。单击确定。

f. 在操作列下，右键单击拒绝，然后单击设置。

此时会显示添加对象屏幕。

g. 单击新建，然后选择使用 ICAP 请求服务。此时将显示添加 ICAP 服务操作屏幕。

h. 在 ICAP 服务/群集名称字段下选择 ICAP 服务名。

i. 在 ICAP 服务发生通信错误时部分下启用拒绝请求。

j. 单击确定，然后再次单击确定。

k. 单击安装策略。

10. 要检查当前策略，请转至 “策略”屏幕，单击 “策略文件”选项卡，

然后单击 “当前策略”。

A-13


图 A-2. 当前配置的策略

为 Cisco CE ICAP 服务器设置 ICAP

IWSA 支持 Cisco ICAP 服务器 (CE V5.1.3, b15)。所有 ICAP 设置均通过命令行

接口 (CLI) 执行；没有与 Cisco ICAP 实现关联的用户界面。

为 Cisco CE ICAP 服务器设置 ICAP：

1. 打开 Cisco CE 控制台。

2. 输入 config 进入配置模式。

3. 键入 ICAP 显示所有 ICAP 相关命令的列表。

4. 通过键入以下内容创建响应修改服务：

icap service RESPMOD SERVICE NAME

此时会打开 ICAP 服务配置菜单。显示所有可用命令的列表。键入以下

命令：

server icap://ICAP SERVER IP:1344/resp（用以指定服务器类型）

vector-point respmod-precache （用以指定适当的矢量点类型）

error-handling return-error （用以指定适当的错误处理类型）

enable（用以启用 ICAP 多服务器配置）

5. 输入 exit。

A-14

部署集成

6. 通过键入以下内容创建请求修改服务：

icap service REQUESTMOD SERVICE NAME

输入该命令会进入 ICAP 服务配置菜单。显示所有可用命令的列表。发出

以下命令：

server icap://ICAP SERVER IP:1344/REQ-Service（用以指定服务

器类型）

vector-point reqmod-precache（用以指定适当的矢量点类型）

error-handling return-error （用以指定适当的错误处理类型）

enable（用以启用 ICAP 多服务器配置）

7. 输入 exit。

8. 对于另外的配置步骤，请输入以下内容：

icap append-x-headers x-client-ip （用以启用报告的 X 客户端头）

icap append-x-headers x-server-ip （用以启用报告的 X 服务器头）

icap rescan-cache ISTag-change （用以打开更新的 ISTAG 重新扫描）

icap bypass streaming-media （用以将流媒体从 ICAP 扫描中排除）

icap apply all （用以应用所有设置并激活 ICAP 类型）

show icap （用以在根 CLI 菜单中显示当前的 ICAP 配置）

配置病毒扫描服务器群集

要使 Blue Coat 端口 80 安全设备与多个病毒扫描服务器配合工作，必须在安全

网关中配置群集（添加群集，然后向群集中添加相关的 ICAP 服务）。

使用管理控制台配置群集：

1. 选择管理。

键入登录用户名和密码（如果提示）。

2. 在左侧菜单中单击 ICAP，然后单击 ICAP 群集选项卡。

3. 单击新建。

此时将显示添加 ICAP 群集屏幕。

4. 在 ICAP 群集名称字段中，键入字母数字名称，然后单击确定。

A-15


5. 高亮显示新的 ICAP 群集名称，然后单击编辑。

此时将显示编辑 ICAP 群集名称屏幕。

6. 单击新建向群集中添加 ICAP 服务。

此时将显示添加 ICAP 群集条目屏幕。选择列表中包含可供添加到群集中

的所有服务的列表。

7. 选择一个服务，然后单击确定。

8. 高亮显示 ICAP 群集条目，然后单击编辑。

此时将显示编辑 ICAP 群集条目名称屏幕。

9. 在 ICAP 群集条目权重字段中，指定介于 0-255 之间的权重。

10. 单击确定，然后再次单击确定，后单击应用。

删除群集配置或条目

您可以删除整个病毒扫描服务器群集的配置，也可以从群集中删除各个条目。

注意：如果某个 Blue Coat Port 80 Security Appliance 策略的策略规则中使用了某个群

集名称，则不要删除其中使用的群集。

使用管理控制台删除群集配置：

1. 选择管理。键入登录用户名和密码（如果提示）。

2. 在左侧菜单中单击 ICAP，然后单击 ICAP 群集选项卡。

3. 单击要删除的群集。

4. 单击删除，然后单击确定进行确认。

A-16

部署集成

启用 "X-Virus-ID" 和 "X-Infection-Found" 头

只要发现病毒， IWSA 便可从 ICAP 服务器返回两个可选的头："X-Virus-ID"和 "X-Infection-Found" 头。出于性能考虑，缺省情况下不会返回这些头，因为

很多 ICAP 客户端并不使用这些头。它们必须在 IWSA 管理控制台中启用。

• "X-Virus-ID" 包含一行 US-ASCII 文本，其中含有所发现的病毒或风险的

名称。例如：

X-Virus-ID:EICAR 测试字符串

• "X-Infection-Found" 返回感染类型的数字代码、解决方法和风险描述。

关于这些参数值的更多详细信息，请参阅：

http://www.icap-forum.org/documents/specification/draft-stecher-icap-subid-00.txt

启用 X-Virus-ID 头：

1. 在主菜单中，单击管理 > 网络配置 > 部署模式。

2. 在部署模式页面上，选择启用 X-Virus-ID ICAP 头和/或启用 X-Infection-Found ICAP 头。

A-17


A-18

附录 B

微调和故障排除

本附录介绍了以下内容：

• 第 B-2 页的IWSA性能微调

• 第 B-5 页的故障排除

B-1


IWSA性能微调如果您遇到浏览性能过慢问题，请考虑以下修改办法和趋势科技 Web 安全网

关 (IWSA) 远程评估服务。

URL 过滤

IWSA 利用趋势科技 URL 过滤引擎，根据 “趋势科技 Web 信誉”功能提供的

数据来执行 URL 分类和信誉评级。趋势科技建议您使用缺省设置（每周更新

检查）来确保软件具有新的 URL 过滤引擎。

IWSA 可以基于 Web 信誉反馈和/或 URL 过滤模块控制 URL 访问。Web 信誉和 URL 过滤模块的组合是一个由 IWSA 提供的多层、多重威胁保护解决方案。

URL 过滤模块基于 URL 所属的类别允许或拒绝 Web 访问。 Web 信誉根据请求

的 URL 是否为网络钓鱼或域名欺诈威胁、是否有潜在黑客威胁或信誉评价分

值是否让您无法信任，来允许或拒绝 Web 访问。可选的 URL 过滤模块和 Web 信誉均由您在策略中指定的设置来控制。

有关其他详细信息，请参阅《管理员指南》第 8 章。

LDAP 性能微调

当运行 IWSA 以使用用户/组名认证识别方法 (LDAP) 时， HTTP 代理的性能取

决于 LDAP 目录服务器的响应能力。糟糕的情况是，每个 HTTP 请求都要求 LDAP 查询以认证用户凭证。这些查询引入了用 IWSA 和 LDAP 服务器之间传

送和接收延迟来表示的延迟时间，并将负载添加到 LDAP 服务器自身。

LDAP 内部缓存

为减少要求的 LDAP 查询数量， IWSA 提供了若干内部缓存：

• 用户组成员资格缓存：此缓存可以存储组成员资格信息。缺省情况下，此缓

存中的项在 2 小时内或缓存已满（此时将从旧项开始替换项）之前有效。

此缓存中项的使用期限 (TTL) 可以通过 Web 控制台进行配置：管理员 > IWSA 配置 > 用户识别。

B-2


• 客户端 IP 到用户 ID 缓存：此缓存将客户端 IP 地址与近通过该相同 IP 地址进行认证的用户相关联。任何来自相同 IP 地址作为先前认证请求的请

求将被视为归属该用户，来自该认证的新请求将在可配置窗口中提供并在一定时间内（HTTP 缺省为 15 分钟， ICAP 为 90 分钟）发出。它的局限性

在于 IWSA 可见的客户端 IP 地址在一段时间内必须只对应一个用户，因此，

此缓存在有代理服务器或在客户端和 IWSA 之间有源 NAT 亦或在 DHCP 频繁地重新分配客户端 IP 的环境中都不适用。

要启用或禁用此缓存，请更改 intscan.ini 文件的 [user-identification] 部分中的 enable_ip_user_cache 设置。要更改此缓存的 TTL，请更改 ip_user_central_cache_interval（以小时为单位）。例如，要创建 30 分钟的 TTL，请输入 0.5。

• 用户认证缓存：这就避免了重新认证使用永久连接通过的多个 HTTP 请求。

当用户使用永久连接通过凭证验证时， IWSA 将在用户认证缓存中添加一

项（缓存项中关键的两部分是客户端 IP 地址和客户端用户名），这样后

续通过保持活动状态连接的请求便无需再次进行认证。客户端 IP 地址和客

户端用户名作为两个分别指向 “客户端 IP 到用户 ID 缓存”和 “用户组

成员资格缓存”的向前引用或链接。因此， IWSA 将仍可以从 IP 用户和用

户组缓存中检索用户的连接信息。

当用 LDAP 集成部署 IWSA 时，请务必考虑认证 HTTP 请求时放置在 LDAP 目录服务器上的额外负载。在无法有效使用客户端 IP 到用户 ID 缓存的环境

中，目录服务器则需要以与 IWSA 接受 HTTP 请求的相同速率处理查询。

启用 LDAP 时，禁用详细记录

基于服务器性能原因，趋势科技建议您在启用 LDAP 时，在 intscan.ini 文件

的 [http] 部分“verbose”参数下关闭详细记录。详细记录主要用于软件开发人

员识别异常应用程序行为并排除故障。在产品部署中，通常不需要详细记录。

如果启用详细记录的同时也启用了 LDAP， IWSA 会将用户认证信息和组成员

资格信息记录到 \Log 文件夹的 HTTP 日志中。根据内部流量和与用户相关的

组数量，日志中每个用户可能包含上百行内容，因此可能会大量消耗磁盘空间。详细记录使服务一直忙于将 I/O 操作发到操作系统中。这可能防止服务及

时响应 HTTP 请求，因此可能会产生等待时间。在一个极度爆发的 HTTP 流量

环境中，当 IWSA 在详细模式下启动时，可能会观察到明显的延迟。

B-3


透明模式下的 LDAP 认证

在部署为透明模式的 IWSA 上配置 LDAP 认证之前，请检查以下条件以确保满

足每一项。

• IWSA 必须指定有效的主机名（单击管理 > 部署向导，然后在“网络接口”

页面上更新主机名）。确保在企业 DNS 服务器中也输入该主机名。

• 确保启用了用户 ID 缓存。缺省情况下，已启用。如果由于任何原因而

被禁用，必须在启用透明模式认证之前重新启用。您可以在 CLI 中使用 configure module ldap ipuser_cache enable 命令启用用户 ID 缓存。

• 缺省情况下， IWSA 可保留用户 ID 缓存信息的长时间为 2 小时。如果您

需要降低缓存超时值，可以在 CLI 中使用 configure module ldap ipuser_cache interval 命令设置稍短一些的缓存时间间隔。

• 如果启用了认证， IWSA 将阻止所有尝试访问 Internet 的非浏览器应用程序。

例如，在用户有机会登录 IWSA 服务器之前， MSN 应用程序可能会尝试访

问 Internet。如果发生此种情况，该应用程序会被阻止，因为用户尚未成功

认证到 IWSA。您可以执行以下操作之一：

a. 将应用程序访问的 URL 添加到 “全局可信 URL”以绕过针对该应用

程序的 LDAP 认证。此列表中的 URL 会绕过认证和内容扫描。

b. 在启动需要访问 Internet 的应用程序之前，指示用户打开 Web 浏览器

并获取认证。

c. 将客户端计算机的 IP 地址添加到 “LDAP 认证白名单”。此列表中的 IP 地址会绕过 LDAP 认证。

注意：当在正向代理服务器模式或使用 Active Directory 的透明模式下启用了用户/组认证时，您可以利用 Internet Explorer Web 浏览器提供的自动认证功能。通过自

动认证功能，已登录到域网络的客户端无需输入登录信息（如用户名和密码）便可以访问本地 Intranet；也就是说，不会显示密码弹出窗口。

有关详细的配置步骤，请参阅《IWSA 管理员指南》。

B-4


故障排除

故障排除提示• 问题： IWSA 无法连接到“数据库连接设置”页面中指定的数据库。 IWSA

管理控制台显示以下错误消息：

JDBC-ODBC BRIDGE:[UNIXODBC] 无法连接到服务器；无法连接到远程套接字。

解决方案：

• 检查 ODBC 连接或数据库服务器，然后重试。

• 问题：IWSA 管理控制台显示认证错误消息。

JDBC-ODBC BRIDGE:[UNIXODBC]FATAL:用户的密码认证失败。

解决方案：

• 验证 PostgreSQL 服务器的用户凭证，同时确保数据库设置正确

（管理 > IWSA 配置 > 数据库连接）。如果问题仍然存在，请确保 etc/iscan/odbc.ini 文件中的权限正确。

联系技术支持之前

就您的问题联系技术支持时，使用特定信息可以简化过程。

安装问题

联系趋势科技技术支持以加快过程之前，请收集有关安装问题的以下信息。

1. IWSA 版本和 Build 号

2. 安装过程中出现的精确错误的截图

3. 安装阶段

B-5


常规功能问题

如果 IWSA 出现问题，请收集以下信息以提供给趋势科技支持：

• 描述了 IWSA 的当前状态的系统文件。

要编译这些文件，请访问 Web 控制台，选择管理 > 支持，然后单击生成系

统信息文件。此按钮是情况诊断工具 (CDT) 的扩展，单击该按钮可以打包

当前的计算机 “状态”。

通过单击生成系统信息文件按钮 IWSA 生成的系统文件将按以下格式打包

成单个文件：info_YYYYMMDD_999999.tar.tz

其中， YYYY 是生成包文件的当前年份， MM 是当前月份， DD 是当前日期。

999999 是 UNIX 时间码。

系统文件包含以下信息：

• IWSA 信息 — 包括 IWSA 产品版本、引擎版本、 Build 号、当前特征码

文件（如果可用），以及 IWSA Hot Fix 和 Service Pack 信息。产品和集

成设置也包含在此项信息中

• IWSA 系统日志 — 包含 IWSA 日志和调试日志、 Syslog 守护程序生成

的日志（如果系统日志已启用）以及核心转储文件

• 系统/网络信息 — 包含硬件配置、操作系统、 Build、系统资源状态、

安装的其他应用程序以及网络信息

• 符合 CDT 要求的配置/插件信息 — 包含有关因 IWSA 添加新组件

（如 TMCM 或 MCP 代理）而对 CDT 进行的更改的信息

• 首先会在下面列出的第一个目录中创建核心文件，然后将其移到第二个

目录：

• /etc/iscan/CoreDump

• /etc/iscan/UserDumps

在请求趋势科技技术支持帮助诊断问题起因时，可以使用这些文件。要自行查看文件，请使用类似 GDB （GNU 项目调试工具）的程序。

B-6


• 问题出现当天的日志文件

• 问题出现当天的所有日志文件（缺省情况下，日志存储在 /etc/iscan/log 中）

• 确保在 intscan.ini 文件的 [ftp]、 [http] 和 [notification] 部分中设置 verbose=1

• 确保在 intscan.ini 文件的 [ftp] 和 [http] 部分中设置 log_trans=yes

• 从 Web 控制台中对系统状态选项卡页面进行截图。

• 记录 IWSA 版本号

• URL 示例（如果适用）

• 通过使用 CLI 捕获命令捕获失败事务的数据包（例如，在启用模式下输入 start task capture interface eth0）。

B-7


B-8

附录 C

有关 IWSA 安装和部署的最佳实践


• 第 C-2 页的 IWSA 安装概述

• 第 C-4 页的正确评估环境规模

• 第 C-4 页的选择部署方法和冗余性

C-1


IWSA 安装概述本安装概述提供了有关安装和配置趋势科技 Web 安全网关 (IWSA) 以发挥核心

扫描、日志记录和报告功能的顺序和主要步骤的快速参考。《IWSA 管理员

指南》“ 佳实践”附录中的详细部分将提供用于下载必要内容的 URL。有关安装 IWSA 的完整说明，请参阅以下章节：

• 第 3-1 页的安装趋势科技 Web 安全网关 (IWSA)

• 第 4-1 页的迁移到趋势科技 Web 安全网关 (IWSA)

有关功能和命令的完整说明，请参阅《IWSA 管理员指南》。

安装和配置 IWSA：

1. 从趋势科技更新中心或通过购买 IWSA 安装磁盘获取新的 IWSA 软件和

文档集。可以从以下网站下载 IWSA 产品和更新：

http://downloadcenter.trendmicro.com/index.php?regs=CH&clk=result_page&clkval=drop_list&prodid=1413

2. 注册产品以获取激活码。激活 IWSA 及其核心模块将需要这些激活码。

可以在以下网站注册产品：

https://olr.trendmicro.com/registration/apac/zh-cn/product_login.aspx

3. 查看《IWSA 客户规模评估指南》和《IWSA 安装指南》，以确定部署拓

扑和支持环境所需的 IWSA 单元数目。

4. 使用从步骤 2 获取的激活码安装 IWSA 应用程序。使用管理 > 产品使用

授权功能执行此任务。

5. 下载适用于已安装的 IWSA 产品的任何 Service Pack 和关键 Patch。 Service Pack 和关键 Patch 是特定版本，容纳了包含先前 Service Pack 的先前 Hot Fix 和关键 Patch 的新 Service Pack。佳实践是下载和安装适用于 IWSA 版本的新 Service Pack 以及用于使 IWSA 单元保持新的任何较新关键 Patch。

IWSA 提供来自不同应用程序 Service Pack 的操作系统更新。还确保下载并

应用新的操作系统 Patch 以及应用程序 Service Pack。始终读取 Patch 的自述文件，以在升级系统前熟悉安装过程。

使用管理 > 系统更新功能执行这些任务。

C-2

http://downloadcenter.trendmicro.com/index.php?regs=CH&clk=result_page&clkval=drop_list&prodid=1413

https://olr.trendmicro.com/registration/us/en-us/product_login.aspx


6. 配置系统设置。这包括设置系统日期和时间、配置可选网络配置（如为远

程访问、 PING、可选静态路由等启用 SSH）、定义可选上游代理服务器、

启用 SNMP 等。使用 “管理”功能执行这些任务。

7. 如果需要根据 LDAP 用户和/或组强制执行策略、记录事件和报告 Internet 活动，请将 IWSA 配置为企业 LDAP 服务器。使用管理 > IWSA 配置 > 用户识别选项卡执行此功能。

8. 查看自动特征码文件的缺省设置，并扫描引擎更新时间间隔。如有必要，

进行更改以满足您的需求。也可以为新安装的 IWSA 系统执行手动更新，

以更新签名文件并扫描引擎。使用 “更新”功能执行这些任务。

9. 将日志设置和外部 Syslog 服务器配置为设置日志记录粒度并设置任何第三

方日志记录支持。查看缺省系统日志保留选项，如有必要，进行更改以满足您的需求。使用 “日志”功能执行这些任务。

10. 创建策略以监控和管理 Internet 通信。可以为以下协议和通信类型定义策

略：应用程序控制、HTTPS、HTTP、Applet 和 ActiveX、URL 过滤、访问

配额及 FTP。使用 “应用程序控制”、 HTTP 和 FTP 功能执行这些任务。

11. 定义报告模板和预设报告。查看预设报告的缺省数目以保存每日、每周、

每月报告。如有必要，进行更改以满足您的需求。使用 “报告”功能完成这些任务。

12. 创建其他管理员、审计员或报告员帐户，以备份管理员帐户并授予其他用户

访问管理和报告功能。使用管理 > 管理控制台 > 帐户管理功能完成此任务。

13. 备份 IWSA 配置以保留新创建的配置的副本。使用管理 > 配置备份/恢复

功能完成此任务。

14. 可选安装步骤可能包括以下内容：

• 定制通知消息

• 将 IWSA 注册到高级报告和管理 (ARM) 模块

• 将 IWSA 注册到趋势科技防毒墙控制管理中心 (TMCM) 中央管理系统

C-3


正确评估环境规模将 IWSA 安装到网络之前，必须首先确定支持公司的用户数量和 Internet 活动

所需的 IWSA 服务器数。有关如何计算环境所需的 IWSA 单元数目的详细信息，

请参阅《IWSA 客户规模评估指南》。

正确评估环境规模的注意事项包括：

• 公司中将访问 Internet 的用户总数

• 同时访问 Internet 的用户数

• 每个活动用户平均使用的并发会话数目

• 用户数量和 Internet 使用的增长情况

• 所使用的服务器硬件的类型

• IWSA 进行扫描所需的带宽量

• 冗余性和故障转移

最佳实践建议• 始终评估环境的规模增长情况。趋势科技建议不要根据当前大峰值负载

评估部署的规模，因为 Internet 使用率将始终增长。

• 将冗余性构建到 IWSA 体系结构，以避免单一故障点并在设备出现故障期

间提供冗余。

• 冗余体系结构必须设计为当故障转移到备用单元或备用设备时支持大用

户数。否则，当单元出现故障时，性能和响应时间期望将下降。

选择部署方法和冗余性IWSA 是针对部署选项的灵活的 Web 网关安全产品之一。 IWSA 可在以下拓

扑中部署：

• 正向代理服务器

• 透明桥接

• 用于获得高可用性的透明桥接

• WCCP

C-4


• ICAP

• 反向代理服务器

• 简单透明性

每个部署模式均有各自的优点且满足特定需求。确定如何将 IWSA 产品安装到

网络之前，应了解每个部署模式的优点和缺点。有关每个部署方法及其提供的主要优点的详细信息，请参阅第 2-1 页的部署入门。

如果要考虑使用冗余的体系结构，则必须查看和考虑以下几点：

WCCP — IWSA 支持 Cisco WCCP 协议，以允许将负载共享、冗余性和可伸缩

性构建到 IWSA 体系结构。如果路由器和/或交换机支持 Cisco WCCP，则这是

添加高可用性功能的经济的方法之一。 WCCP 的一个缺点是，它只能将常用

的 Internet 协议有效地重定向到扫描设备。有关受支持的 WCCP 版本的信息，

请参阅 IWSA 自述文档。

ICAP — IWSA 支持 ICAP v1.0 设备，以允许扫描来自常用缓存服务器的内容。

ICAP 还可以用于通过一对多配置（多个 IWSA 服务器连接到一个缓存服务器）

创建可伸缩的体系结构。对于需要缓存 Web 内容来减少带宽消耗和缩短 Internet 延迟的客户，这是一个常用选项。

SQUID — IWSA 绑定常用开放式源代码缓存程序（称为 Squid），以便为客户

提供一种缓存 Web 内容而无需支付其他使用授权费用的经济方法。使用 IWSA 3.1， Squid 可通过 IWSA 的 CLI 接口启用并可作为与 IWSA 相关的下游代理服

务器或上游代理服务器进行部署。从 IWSA 5.1 开始，基本 Squid 配置、报告和

启用与 IWSA 5.1 Web 控制台集成。在使用 IWSA 5.1 的上游代理服务器模式下

支持 Squid。Squid 支持由开放式源代码社区提供，为了方便起见，趋势科技的 Web 网关产品中提供了该支持。

代理服务器 Pac 文件 — 如果在正向代理服务器模式下进行部署，则可以通过

代理服务器 pac 文件创建简单负载共享。通过创建可根据源 IP 地址或源网络

将通信路由到特定 IWSA 设备的代理服务器 pac 文件，许多客户已获得良好效

果。这样，您可以手动缩放网络并加载许多 IWSA 服务器的共享用户，而不会

增加任何成本或提高网络复杂度。

您也可以将代理服务器 pac 文件配置为返回多个代理服务器以创建简单冗余的

解决方案。请注意，并非所有浏览器都能够解释多个代理服务器响应。如果浏览器无法解释多个代理服务器，则不可能存在冗余。

C-5


第 4 层负载平衡交换机 — IWSA可在正向代理服务器模式下通过使用 “简单透

明性”功能来支持外部负载平衡交换机。外部负载平衡交换机增加了成本并提高了配置复杂度，但就冗余性和负载共享而言提供了高性能和灵活性。趋势科技客户已成功使用的商业负载平衡器包括 Foundry Networks/Brocade、 F5 和 Citrix NetScaler。如果考虑到成本，则基于开放式源代码软件的替代负载平衡器

（如 Red Hat Enterprise）也可提供良好的可伸缩性和冗余性选项。

• 如果在 VMware 下安装，请考虑使用 VMware 的冗余性和容错功能创建可靠

的可伸缩解决方案。这些包括：

• VMotion

• vSphere Fault Tolerance 服务

请注意，在撰写本文时， vSphere 的容错服务仅允许一个虚拟 CPU。这允许开

发完全冗余的解决方案，但由于单个 CPU 限制而降低性能。有关设置 vSphere FT 配置的详细信息，请参阅 VMware Web 站点上的《利用 VMware Fault Tolerance for High Availability 的佳实践指南》文档。

最佳实践建议• IWSA 使用混合式恶意软件扫描体系结构，该体系结构由基于云的扫描和

原位扫描引擎组成。此解决方案提供了行业的高检测和防护率之一。基于云的扫描引擎基于信誉服务提供了主动检测和阻止服务。要确保低延迟的高速性能，需要为 IWSA 提供对快速、可靠的 DNS 体系结构的访问权

限。不应使用由 ISP 提供的 DNS 服务器，因为 IWSA 设备频繁发出的 DNS 请求可能未获得大力支持，并可能使 ISP 的 DNS 服务器崩溃。

• IWSA 的内部时钟设置应与安全体系结构中的其他服务器和设备同步。这

些包括 LDAP 服务器、 Syslog 服务器、上游 SIEM 设备和趋势科技的高级

报告和管理服务器。如果日期和时间不匹配，则关键事件的日志记录和报告可能不正确。为了获得佳效果，请使用相同的一组 NTP 服务器同步所

有设备上的日期和时间。

• 要实现 3000 以上用户的高容量安装，应考虑将服务器专用于存储 Squid 缓存功能（如果已启用）。在高工作负载期间， IWSA 和 Squid 将竞争相同的

磁盘服务。这将影响缓存命中性能以及 IWSA 的报告性能。其中一个替代

方案是使用同一服务器中的两个物理硬盘适配器卡，该服务器具有两个单独的磁盘卷 — 一个用于 IWSA，另一个用于 Squid。

C-6


• 要实现冗余性和可伸缩性，请考虑安装 IWSA 的多个实例，并使用此

部分中提到的扩展选项之一消除单一故障点以及提高系统正常运行时间。或者，可以在高可用性部署模式下将两个 IWSA 设备安装为群集对。

• 要使用上游代理服务器进行安装，必须在正向代理服务器设置和更新连接

设置中正确配置 IWSA 的上游代理服务器设置，以确保正确访问 Internet。

• 如果计划使用 IWSA 保护客户可访问的外部 Web 服务器，请考虑在反向代

理服务器模式下安装单独的 IWSA 实例，以保护这些 Web 服务器。不要将

外部 Web 服务器置于普通用户将通过的企业 IWSA 服务器之后，因为这可

能会影响强制执行客户策略和普通企业用户策略的能力。

• 要在 VMWare ESX 上使用透明桥接模式进行安装， IWSA 的外部接口将连

接到绑定到物理网络适配器的虚拟交换机。好不要将任何其他虚拟机连接到此虚拟交换机，也不要将虚拟机专供 IWSA 使用。

• 安装 IWSA 之后，始终检查趋势科技下载站点是否存在其他关键 Patch 和/或 Service Pack，以确保已安装新的 Patch。 IWSA 下载站点上列出的 Patch 按时间顺序列出。始终将新的应用程序和操作系统 Patch 应用于特

定版本。 IWSA Service Pack 是向后兼容的。即，新的 Service Pack 将始终

包含在 Service Pack 发布日期之前发布的任何 Hot Fix 和 Patch。不需要在适

用于您产品的新 Service Pack 之前安装先前的 Patch。IWSA 可能具有以下 Patch 类型：

• 应用程序 Service Pack — 用于更新 IWSA 应用程序的 Service Pack 或 Patch。新的 Service Pack 将包含所有先前发布的 Patch。

• 操作系统 Service Pack — 用于更新操作系统和驱动程序文件的 Service Pack 或 Patch。新的 Service Pack 将包含所有先前发布的 Patch。

• 关键 Patch — 用于解决紧迫的应用程序或操作系统问题且不会包含先

前 Patch 的 Patch。仅为解决特定问题而发布。

C-7


C-8

附录 D

维护和技术支持


• 第 D-2 页的产品维护

• 第 D-3 页的联系技术支持

• 第 D-6 页的安全信息中心

D-1


产品维护趋势科技可能会不定期地发布一些针对报告的已知问题的 patch 或适用于您的

产品的升级。要找到有无适用于趋势科技 Web 安全网关 (IWSA) 的 patch，请访

问以下 URL：


将显示 “更新中心”窗口。从此窗口的链接中选择您的产品：

单击趋势科技™ Web 安全网关 (IWSA) 链接可以进入 IWSA “更新中心”页面。

向下滚动以查看可用的 patch。

Patch 都标有日期。如果找到尚未应用的 patch，请打开自述文档以确定该 patch 是否适合您。如果适合，请遵照自述文件中的安装说明进行操作。

维护协议

“维护协议”是贵组织与趋势科技之间的合同，其中包括在支付相关费用后获得技术支持和产品更新权利的相关规定。在购买趋势科技产品时，产品随附的《许可协议》描述了该产品 “维护协议”的条款。

趋势科技软件的使用授权通常只包括自购买之日起为期一(1)年的产品更新、

病毒码文件更新及基础技术支持（“维护”）的权利。第一年以后的维护，应每年按照趋势科技当时的维护费用标准续订。

注意：维护协议会到期时，《许可协议》不会到期。

维护协议到期后，仍然可以执行扫描，但无法更新产品，即使手动进行更新也是如此。并且也无权从趋势科技接收技术支持。

通常，在维护协议到期前九十 (90) 天，系统将提醒您产品即将到期。您可以向

经销商、趋势科技销售代表或通过以下趋势科技联机注册 URL 购买续订维护

以更新维护协议：

https://olr.trendmicro.com/registration/

D-2



续订维护协议

趋势科技或授权经销商为所有注册用户提供为期一 (1) 年的技术支持、病毒码

文件下载和程序更新，在此之后必须购买续订维护。

维护协议到期后，仍然能够扫描，但病毒码文件与程序更新将停止。为免发生这种情况，请尽快更新维护协议。

要购买更新维护，请联系您的产品购买来源供应商。维护协议（延展一年时间的防护）将通过邮件发送给贵公司 “注册资料”中所列的公司主要联系人。

要查看或修改贵公司的“注册资料”，请在趋势科技联机注册 Web 站点上登录

帐户：

https://olr.trendmicro.com/registration

系统将提示您输入登录 ID 和密码。

要查看 “注册资料”，请键入作为新用户首次向趋势科技注册产品时所创建的登录 ID 和密码，然后单击登录。

联系技术支持要联系趋势科技技术支持，请访问以下 URL：

http://www.trendmicro.com.cn/corporate/techsupport/solutionbank/

然后，单击以下区域之一的链接：

• 亚洲/太平洋

• 澳洲和新西兰

• 欧洲

• 拉丁美洲

• 美国和加拿大

按照说明联系您所在区域的支持人员。

在中国，您可以通过电话、传真或电子邮件与趋势科技销售代表取得联系。我们的 Web 站点和电子邮件地址如下：


[email protected]

D-3



[email protected]


要获取区域联系信息以及所有区域和全球办事处的特定技术支持号码，请打开 IWSA 管理控制台，然后从管理控制台大标题的菜单中选择支持。

常用的美国电话与传真号码如下：

电话：+1 (408) 257-1500（总机）

传真：+1 (408) 257-2003

我们的美国总部位于硅谷中心：

Trend Micro, Inc.10101 N. De Anza Blvd.Cupertino, CA 95014

TrendLabs

TrendLabs 是趋势科技防病毒研究的全球部门和为趋势科技用户提供新安全

信息的产品支持中心。

TrendLabs 的 “病毒医生”监视全世界潜在的安全风险，以确保趋势科技产品

能抵御新出现的风险，从而保持其安全性。每天这些努力成果的高点都通过频繁的病毒码文件更新及高级威胁扫描引擎改进与客户共享。

TrendLabs 由上百个工程师及有资历支持人员的团队组成，提供广泛的产品和

技术支持服务。专业服务中心和快速回复团队位于东京、马尼拉、台北、慕尼黑、巴黎和加利福尼亚洲的森林湖市，可帮助降低病毒爆发的可能性并提供紧急支持。

知识库

趋势科技知识库是全天候在线的资源，其中包括了成千上万趋势科技产品的自助技术支持步骤。例如，若您收到错误消息并想找出处理办法，请使用知识库。每天都有新解决方案添加至知识库。

还可以在知识库中找到产品常见问题解答、热门提示、预防病毒的建议及支持和销售的区域联系信息。

所有趋势科技用户以及使用产品评估版的任何人员都可以访问知识库。请访问：


D-4



如果您无法找到特定问题的答案，知识库还提供一项额外服务，使您可以通过电子邮件提交问题。通常会在 24 小时内给您答复。

已知问题

已知问题是 IWSA 软件中可能暂时需要解决方案的多种功能。已知问题通常记

录在产品随附的自述文档的第 7 节中。还可以在趋势科技更新中心找到趋势科

技产品的自述文件以及产品手册的新副本：


可以在技术支持知识库中找到已知问题：


趋势科技建议您始终查看自述文件以获取有关可能影响安装或性能的已知问题的信息，以及特定版本中新增功能的介绍、系统要求和其他提示。

将可疑代码发送给趋势科技

您可将病毒、受感染的文件、特洛伊木马、可疑蠕虫病毒、间谍软件及其他可疑文件发送到趋势科技供进一步评估。要执行此操作，请访问趋势科技提交向导：

http://www.trendmicro.com.cn/corporate/techsupport/entsubwizard/WebSubmission.asp

单击 “提交可疑文件/未检测到的病毒”链接。将显示以下窗口。

将提示您提供以下信息：

• 电子邮件：您想要用于接收防病毒团队回复邮件的电子邮件地址。

• 产品：您当前使用的产品。如果您使用多个趋势科技产品，请选择对您提

交的问题产生影响大的产品或常使用的产品。

• 受感染的座席数：您组织中受感染的用户人数。

• 上传文件：趋势科技建议您为可疑文件创建受密码保护的 zip 文件，并使用

单词“virus”作为密码－然后在上传文件框中选择该受保护的 zip 文件。

D-5






• 描述：针对您遭遇的病毒症状输入简短的描述。我们的病毒工程师团队将

在 48 小时内 “解剖”文件以识别并特征化其中可能包含的任何风险，然

后将干净的文件返回给您。

注意：通过提交向导/病毒医生执行的提交将迅速地发出并免受趋势科技病毒

响应服务等级合约书中规定的策略及限制的约束。

当您单击下一步时，将显示确认窗口。此窗口还会显示您提交的问题的案例号码。记录案例号码以便跟踪使用。

如果您想要通过电子邮件联系，请将疑问发送到下列地址：

[email protected]

在美国，您也可以拨打免费咨询电话：

(877) TRENDAV 或 877-873-6328

安全信息中心在因特网上的趋势科技安全信息 Web 站点有免费的完整安全信息：

http://www.trendmicro.com/vinfo/zh-cn/

访问安全信息站点以：

• 阅读每周病毒报告，其中包括了本周期望触发的风险列表，并描述了本周

全球 10 大流行的风险

• 查看全球 10 大风险病毒地图

• 查阅病毒百科全书，是对已知风险（包括风险评估、感染症状、易感染平

台、损害例程和如何移除风险的说明以及计算机谣言）的相关信息的综合。

• 从欧洲计算机防病毒研究所 (EICAR) 下载测试文件，帮助测试您的安全产

品是否已正确配置

• 阅读常规病毒信息，如：

• 病毒入门书，帮助您了解病毒、特洛伊木马、蠕虫病毒及其他风险之

间的不同

• 趋势科技安全计算指南

D-6

http://www.trendmicro.com/vinfo/zh-cn/


• 对风险评估的描述，帮助您了解评估等级为“非常低”、“低”、“中”

或 “高”的风险的损害潜能

• 病毒及其他安全风险术语的词汇表

• 下载综合行业白皮书

• 免费订购趋势科技病毒警报服务，以及时了解病毒爆发和获得每周病毒报告

• 了解 Web 管理员可用的免费病毒更新工具

• 阅读关于 TrendLabs、趋势科技全球防病毒研究以及支持中心的信息

打开安全信息：

1. 打开 IWSA 管理控制台。

2. 在屏幕右上角面板的下拉菜单中单击安全信息。

此时将显示安全信息窗口。

D-7


D-8

附录 E

在 VMware ESX 下为 IWSA 创建新的

虚拟机

本附录描述了如何为趋势科技 Web 安全网关 (IWSA) 创建新的虚拟机。

• 第 E-2 页的简介

• 第 E-2 页的创建新的虚拟机

• 第 E-16 页的启动 IWSA 虚拟机并完成安装

E-1


简介

本文档并没有介绍 ESX 的实际安装过程。请参考 VMware 的产品文档来安装此产品。

以下部分中概述的步骤详细说明了在 VMware ESX 下创建用以安装 IWSA 的新虚拟机的过程。

创建新的虚拟机

为您的环境创建虚拟机时，可将下列步骤用作指南。所选的 CPU 数量、 NIC 卡数量、内存和硬盘空间应反映部署要求。在此处输入的值用于说明目的。

创建新的虚拟机：

1. 打开 VMware 虚拟基础架构客户端，然后单击配置选项卡。

2. 在硬件区域中，单击存储。

3. 在存储区域中，双击包含足以上传 IWSA ISO 的空间的存储区域。

E-2

在 VMware ESX 下为 IWSA 创建新的虚拟机

图 E-1. “配置”选项卡

E-3


将打开 “数据存储浏览器”窗口。

图 E-2. 存储区域

4. 在按钮栏中，单击上传按钮（带有上指箭头的数据库图标），然后将 IWSA ISO 上传到此数据存储。

5. 完成上传后关闭数据存储。

创建虚拟机

6. 在菜单栏中，选择文件 > 新建 > 虚拟机。

E-4


将显示 “新建虚拟机向导”。

图 E-3. 虚拟机配置

7. 在虚拟机配置下，选中典型。


E-5


将显示 “名称和位置选择”页面。

图 E-4. 虚拟机的名称和位置

9. 在名称字段中键入相应的计算机名称，然后单击下一步。

E-6


将显示 “虚拟机数据存储选择”页面。

图 E-5. 虚拟机数据存储

10. 选择虚拟机驻留的数据存储。

该数据存储不必与用于上传 IWSA ISO 的数据存储相同。


E-7


将显示 “虚拟机子操作系统”窗口。

图 E-6. 虚拟机子操作系统

注意：如果使用的是 ESXi 5.0，则必须选择作为子操作系统的 Linux 和 Red Hat Enterprise Linux 6 （64 位）。

12. 对于子操作系统，选择 Linux 和 Red Hat Enterprise 6 （64 位）。


E-8


将显示 “新建虚拟机向导（虚拟机 CPU）”窗口。

图 E-7. 虚拟机 CPU

14. 选择虚拟机的处理器数量。

IWSA 利用虚拟 SMP，因此，请选择可用虚拟处理器的大数量。


E-9


将显示 “新建虚拟机向导（内存）”窗口。

图 E-8. 虚拟机内存

16. 至少为 IWSA 分配 2048 MB 内存。

对于生产网络，趋势科技建议内存至少为 4096 MB。


E-10


将显示 “新建虚拟机向导（内存）”窗口。

图 E-9. 虚拟机网络

18. 接受缺省网络设置，然后单击下一步。

注意：趋势科技建议使用的适配器类型为 E1000 或 VMXNet3。硅旁路卡也可以由 VMware 识别并用作正常的网卡。

E-11


将显示 “虚拟磁盘容量”窗口。

图 E-10. 虚拟磁盘容量

19. 出于测试目的，缺省情况下足以分配 50 GB 的磁盘。

对于生产环境，至少提供 300 GB 用于日志记录和报告。有关磁盘空间分

配的详细信息，请参阅第 1-2 页的硬件要求。


E-12


将显示 “新建虚拟机向导 (准备完成新虚拟机)”窗口。

图 E-11. 准备完成

21. 选中提交前编辑虚拟机设置复选框，然后单击继续。

E-13


将显示 “虚拟机属性”窗口。

图 E-12. “虚拟机属性”窗口

22. 单击软盘驱动器，然后单击移除。

23. 单击资源选项卡，并保留 IWSA 的 CPU 和内存。

警告！如果跳过此步骤， IWSA 将无法正常运行。

24. 选择新建 CD/DVD 选项，然后选择右侧的数据存储 ISO 文件单选按钮。

E-14


25. 单击浏览，然后选择在步骤 4 中上传的 IWSA ISO。

如果未将安装 ISO 复制到 VMware 服务器的硬盘上，则可以选择加载安装

程序的主机设备或客户端设备。客户端设备使用远程工作站的 CD/DVD ROM 驱动器执行安装，而主机设备使用 VMware 服务器的 CD/DVD ROM 驱动器执行安装。使用这两种方法中的一种将节省 VMware 服务器上 500 MB 或更大的磁盘空间。

26. 确保选中新建 CD/DVD 的启动时连接复选框。

注意： IWSA 安装在 VMware ESX Server 上并在透明桥接模式下进行配置时，必须启

用虚拟交换机以接受 ESX Server 中的混合模式。

在桥接模式下部署 IWSA 时，不要将两个数据网络接口连接到同一交换机；

否则，将在网络中创建循环。

图 E-13. ESX Server 中的混合模式

27. 单击完成。

新的 IWSA 6.5 虚拟机现在已准备就绪并配置好，可供使用并开始安装过程。

E-15


启动 IWSA 虚拟机并完成安装

完成安装并启动虚拟机时，可将下列步骤用作指南。

启动新的虚拟机：

1. 在 VMware 虚拟基础架构客户端控制台中，选择先前创建的虚拟机的名称。

2. 右键单击该名称并选择电源，然后选择启动。虚拟机将启动。

3. 连接到 IWSA 虚拟机的控制台。

连接到 IWSA 虚拟机的控制台：

1. 在 VMware 虚拟基础架构客户端控制台中，单击创建的虚拟机的名称。

2. 在右侧框架中，选择 “控制台”选项卡。此时将显示 IWSA 虚拟机登录提

示符。

3. 键入 enable 作为用户名。

4. 键入密码。

注意：缺省情况下， admin、 root 和 enable 帐户的密码均为 adminIWSS85。

E-16

附录 F

在 Microsoft Hyper-V 下为 IWSA 创建

新的虚拟机

本附录介绍了如何在 Microsoft Hyper-V 下为趋势科技 Web 安全网关 (IWSA) 创建新的虚拟机。

• 第 F-2 页的简介

• 第 F-3 页的在 Microsoft Hyper-V 上安装 IWSA 6.5

F-1


简介从 IWSA 5.1 SP1 开始，支持基于 Microsoft Hyper-V 的虚拟平台。本文档提供

有关在基于 Hyper-V 的虚拟机上安装 IWSA 6.5 的分步安装指南。

本文档没有介绍 Hyper-V 的实际安装过程。要安装此产品，请参考 Microsoft 的产品文档。

本文档中的过程介绍了如何将 IWSA 6.5 安装到 Windows 2008 Server R2 Hyper-V 服务器中。只有安装适当的 Microsoft Windows 2008 Server R2 和 Hyper-V 支持后，

才能继续操作。

Hyper-V 的 IWSA 支持

IWSA 6.5 将仅支持 Hyper-V 2.0 和 Windows Server 2008 R2 （或更高版本）。

Hyper-V 平台的 IWSA 安装仅支持正向代理服务器模式、WCCP 模式、ICAP 模式和反向模式。不支持透明桥接模式。

Hyper-V 虚拟化模式

Hyper-V 提供以下两种支持 IWSA 的虚拟化模式：

1. 完全虚拟化

2. 超虚拟化

由于完全虚拟化模式存在 Hyper-V 性能限制，因此建议在超虚拟化模式下安装 IWSA。这样， IWSA 可以实现更高的吞吐量性能，并支持企业网络环境。

IWSA 6.5 提供必需的集成 Hyper-V 驱动程序（集成服务的新版本为 v3.1），

以支持在 Hyper-V v2 下作为超虚拟化虚拟机进行安装。

F-2

在 Microsoft Hyper-V 下为 IWSA 创建新的虚拟机

在 Microsoft Hyper-V 上安装 IWSA 6.5为您的环境创建虚拟机时，可将下列步骤用作指南。所选的 CPU 数量、 NIC 卡数量、内存和硬盘空间应反映部署要求。在此处输入的值用于说明目的。

创建虚拟网络分配：

1. 在 Hyper-V 服务器管理器菜单中，右键单击 Hyper-V 管理器。

将显示一个菜单。

图 F-1. 连接到服务器

F-3


2. 选择连接到服务器。

此时将显示一个对话框，提示您选择要连接到的虚拟化服务器的位置。

图 F-2. 虚拟化服务器的位置

3. 选择虚拟化服务器的位置，然后单击确定。

4. 连接正确的 Hyper-V 服务器后，右键单击 Windows 2008 R2 服务器，然后

选择虚拟网络管理器。

图 F-3. 选择虚拟网络管理器

F-4


5. 通过从选项列表中选择外部并单击添加，创建新的虚拟网络。

图 F-4. 添加 “外部”虚拟网络

F-5


6. 从外部下拉菜单中，选择要连接到新虚拟网络的物理网络适配器以支持 IWSA 6.5。请参阅图 F-5。

注意：此物理适配器必须连接到网络，并且有权访问公司网络和公共 Internet。

图 F-5. 物理网络适配器选择

警告！您必须保留保留 IWSA 的 CPU 和内存。如果跳过此步骤， IWSA 将无法正常运行。

F-6


导入 IWSA 映像

配置 Hyper-V 网络设置后，将 IWSA 6.5 映像导入到新的虚拟机中。趋势科技提

供预配置的 Hyper-V IWSA 6.5 映像，可进行快速部署。要安装 IWSA，请使用

以下步骤将此预配置的映像导入到 Windows 2008 R2 服务器中。

导入 IWSA 映像：

1. 在服务器管理器中，找到要配置的虚拟机的文件夹，然后单击名称。

将显示一个菜单。

图 F-6. 导入新的虚拟机

F-7


2. 从菜单选项中选择导入虚拟机。

此时将显示导入虚拟机对话框。

图 F-7. 导入 IWSA 映像的配置

3. 在位置中，指定包含虚拟机文件的文件夹的位置。

4. 在设置区域中，选择用于复制虚拟机的选项。

5. 选择用于复制所有文件的选项。

6. 单击导入。

F-8


此时将显示进度栏，指示导入过程的状态。

图 F-8. 映像导入进度

为 IWSA 分配资源

成功导入 IWSA 映像后，可以配置必要的资源并将其分配给 IWSA 虚拟机。

这包括网络适配器、 CPU、内存和硬盘空间。

为 IWSA 分配资源：

1. 在服务器管理器中，找到要配置的虚拟机的文件夹，然后单击服务器名称。

此时将显示虚拟机区域。

F-9


2. 右键单击要配置的虚拟机。

此时将显示带有选项列表的菜单。

图 F-9. 设置菜单选项

F-10


3. 选择设置... 选项。

此时将打开该虚拟机的设置框。

图 F-10. 为 IWSA 虚拟机分配虚拟网络适配器

4. 在硬件区域中，选择网络适配器。

5. 在网络下拉菜单中，选择先前在过程的步骤 6 中配置的外部网络适配器：

第 F-3 页的创建虚拟网络分配：

6. 在硬件区域中，选择处理器配置虚拟机的 CPU。

F-11


此时将显示 “处理器”区域。

图 F-11. 为 IWSA 虚拟机分配处理器

7. 键入要分配给虚拟机的逻辑处理器的数量。

Hyper-V 允许您多分配四个逻辑处理器。而 IWSA 要求少分配两个逻

辑处理器。有关环境规模评估的更多信息，请参见《IWSA 6.5 规模评估

指南》。

F-12


8. 在硬件区域中，选择内存为 IWSA 环境分配内存。

此时将显示内存区域。

图 F-12. 为 IWSA 虚拟机分配内存

9. 键入您要分配给 IWSA 环境的合适内存大小。

F-13


10. 在硬件区域中，选择要在其上创建虚拟硬盘的硬盘控制器。

此时将显示 IDE 控制器区域。

图 F-13. 为 IWSA 虚拟机添加硬盘驱动器

11. 从选项列表中选择硬盘驱动器。

12. 单击添加。

F-14


此时将显示硬盘驱动器区域。

图 F-14. 硬盘驱动器设置

13. 在介质区域中，保持选中虚拟硬盘 (.vhd) 文件选项。

14. 单击新建。

此时将显示新建虚拟硬盘向导。


F-15


此时将显示选择磁盘类型窗口。

图 F-15. 配置虚拟硬盘驱动器向导

F-16


16. 保持选中固定大小选项，然后单击下一步。

此时将显示指定名称和位置窗口。

图 F-16. 指定硬盘驱动器的名称和位置

注意：在此示例中，我们将虚拟硬盘驱动器命名为 "IWSA_30Gig"，并将其大小

设置为 30GB。选择固定大小以获取大性能。这是趋势科技建议对 IWSA 应用程序使用的磁盘卷类型。

17. 适当地为应用程序的硬盘命名。

18. 选择将存储虚拟硬盘文件的位置。


F-17


此时将显示配置磁盘窗口。

图 F-17. 指定硬盘驱动器大小

20. 保持选中缺省的新建空白虚拟硬盘选项。

21. 在大小中，键入要分配给虚拟硬盘驱动器的磁盘大小。


F-18


此时将显示摘要窗口，其中列出了虚拟硬盘驱动器的配置。

图 F-18. 虚拟硬盘驱动器配置摘要

23. 单击完成完成对虚拟硬盘的配置。

F-19


此时将显示进度栏，指示硬盘创建过程的状态。完成此过程后，将显示硬盘驱动器区域。

图 F-19. 将虚拟硬盘添加到 SCSI 控制器

24. 在硬件区域中，选择在上述步骤中新创建的硬盘驱动器。

25. 在硬盘驱动器区域的控制器菜单中选择 SCSI 控制器。

26. 单击应用。

27. 单击确定完成 IWSA 虚拟机的资源分配过程。

F-20


启动 IWSA 虚拟机并完成安装

要完成 IWSA 虚拟机的安装，必须按以下过程中介绍的步骤启动虚拟机、

连接到虚拟机控制台和配置各种参数。

启动 IWSA 虚拟机：

1. 在服务器管理器中，单击创建的虚拟机的名称。

2. 在菜单栏中，选择操作。

3. 在菜单中，选择启动。这将启动虚拟机。您现在可以连接到 IWSA 虚拟机

的控制台。

连接到 IWSA 虚拟机的控制台：

1. 在服务器管理器中，右键单击要配置的虚拟机的名称。

2. 在菜单中，选择连接... 选项。

此时将显示 IWSA 虚拟机登录提示符。

3. 键入 enable 作为用户名。

4. 键入密码。

注意：缺省情况下， admin、 root 和 enable 帐户的密码均为 adminIWSS85。

F-21


检查和/或更改键盘类型：

5. 检查键盘类型并进行重新配置（如有必要）。

图 F-20. 显示当前键盘类型

a. 要检查键盘类型，请在系统提示符中键入：

show system keyboard

将显示当前的键盘类型。缺省情况下，键盘类型会设为 "US"。

b. 如果要更改键盘类型，请在系统提示符中键入：

configure system keyboard <keyboard type>

其中， <keyboard type> 是要配置的特定键盘类型的代码。

F-22


图 F-21. 配置系统键盘类型

F-23


完成硬盘配置：

1. 在 enable 系统提示符中，键入：

configure system harddisk

此操作将在 IWSA/var 文件夹中添加新的虚拟硬盘驱动器。

图 F-22. 配置虚拟硬盘供 IWSA 使用

注意： IWSA 支持为每台虚拟机添加一个虚拟硬盘驱动器。

配置网络设置：

1. 在 enable 系统提示符中，键入以下命令，为 IWSA 虚拟机配置网络设置：

a. 要配置网络接口卡的 IP 地址，请键入：

configure network interface static <eth0> 10.10.10.1 255.255.25

其中， <eth0> 是先前创建的虚拟网络适配器的名称。

F-24


图 F-23. 配置 IP 地址

注意：确保使用早期供 IWSA 使用而创建的正确虚拟网络接口卡 (NIC) 名称。

F-25


b. 要配置网关地址，请在系统提示符中键入：

configure network route default 10.10.10.254

图 F-24. 配置缺省网关

F-26


c. 要配置域名服务器 (DNS) 分配，请在系统提示符中键入：

configure network dns 10.10.99.1 10.10.100.2

图 F-25. 配置 DNS 服务器

F-27


d. 要创建网络主机名，请在系统提示符中键入：

configure network hostname my_iwsva.company.com

图 F-26. 配置主机名

访问 IWSA Web 控制台

配置网络参数后，现在可以访问 IWSA Web 控制台来更改部署模式、

查看缺省策略和进行任何其他配置设置。

有关配置 IWSA 的更多信息，请参考《IWSA 管理员指南》。

要访问 IWSA Web 管理界面，请将浏览器导航到：

http://iwsa_ip_address:1812

有关详细说明，请参考第 3-10 页的安装后说明。

F-28

索引

索引

AApplet 和 ActiveX 扫描组件 1-3

安全信息中心 D-6

安装 1-1, 1-3, 3-1, 4-1

Bare Metal 3-4

Blue Coat 端口 80 安全网关, A-11, A-14

必需的信息 1-6

概述 C-2

IWSA 3-3

Microsoft Hyper-V 3-4

NetCache 设备 A-9

全新 1-6

VMware ESX 虚拟机 3-5

问题 B-5

现有 FTP 代理服务器 1-2, 2-8

佳实践 C-4

安装之后 3-10

BBlue Coat 端口 80 安全网关, 设置 A-11

白皮书 D-7

病毒扫描服务器群集, 配置 A-15

病毒百科全书 D-6

病毒地图 D-6

病毒警报服务 D-7

病毒入门书 D-6

病毒扫描服务器群集服务器群集 A-15

病毒医生－见 TrendLabs D-4部署

方法和冗余性 C-4

部署集成 A-1

CCisco CE ICAP 服务器，设置 A-14

Cisco 路由器 A-7

configure module ldap ipuser_cache B-4

configure module ldap ipuser_cache interval B-4

操作系统 (operating system)要求 1-2

操作系统 Service Pack C-7

插件信息 B-6

产品更新 D-2

产品维护 D-2

词汇表 D-7

DDMZ 2-2DVD

用于可启动的安装 3-2

代理 (proxy)更新 1-8

配置 (configuration) 1-6

登录到控制台首次 3-10

第四层交换机 2-12–2-13

独立模式 2-15

多服务器 2-16

FTP 代理 2-7

HTTP 代理服务器 2-15

多服务器 2-27

多个域 A-4

EEICAR 测试文件 D-6

enable_ip_user_cache B-3

1-1


FFTP

服务 2-4

流程 2-7

扫描组件 1-3

上游代理服务器 1-2, 2-8

反向代理服务器模式 1-10

概述 2-29

非军事区 2-2

分布式环境 A-2

风险评估 D-7

符合 CDT 要求 B-6

附属模式FTP 代理 2-9

HTTP 代理服务器后置 2-19

HTTP 代理服务器前置 2-17

HTTP 反向代理服务器 2-30

HTTP 双代理服务器 2-21

双代理服务器 2-20

服务器群集删除 A-16

服务器位置 2-2

G高容量 C-6

更新中心 D-2

功能问题 B-6

故障排除 D-7

故障排除提示 B-5

关键 Patch C-7

规模评估 C-4

HHTTP

服务 2-4

扫描组件 1-3

HTTP 流程规划 2-5

HTTPS 解密 2-7

Hyper-V安装 F-3

简介 F-2

核心文件 B-6

IICAP 2-23

兼容的缓存服务器, 设置 A-9

许可证密钥 A-9

要求 1-5

用于 Blue Coat 设备 A-11

用于 Cisco CE 服务器 A-14

用于 NetCache 设备 A-9

ICAP 安装说明 A-9

ICAP 模式 1-10

部署 2-23

多服务器 2-27

HTTP 代理服务器 2-25

Internet 内容修改协议 2-23

ip_user_central_cache_interval B-3IWSA

组件 1-3

IWSA 服务器放置防火墙，无 DMZ 2-3

在 DMZ 中放置两个防火墙 2-2IWSA ICAP

多个服务器服务 A-10

JJava 运行时 A-12

集成 A-4

Cisco 路由器 A-7

激活码 1-8

基于 HTTP 的 FTP 2-12

技术支持 D-3

联系之前 B-5

URL D-3

1-2

索引

简单透明性模式 1-10

兼容性服务器平台 1-3

K客户端 IP 到用户 ID 缓存 B-3

客户端配置 2-11

可伸缩性 C-7

可疑文件 D-5

可用性 A-3

可用性要求 A-3

控制管理中心组件 1-3

控制管理中心, TMCM, 趋势科技控制管理中心 1-7

LLDAP A-4

集成 A-4

透明模式下的认证 A-6, B-4

详细记录 B-3

性能微调 B-2

要求 1-5

联机帮助 1-xii

连接要求 A-2

浏览器要求 1-4

MMicrosoft SQL Server Desktop Engine (MSDE)

1-7每周病毒报告 D-6

命令行访问 1-8

目录 (LDAP) 服务器性能 B-2

要求 1-5

目录服务器 1-5

NNetCache 设备, 设置 A-9

Ppatch D-2

Q启用 WCCP 的交换机或路由器 2-14

迁移 1-6

关于 4-2

过程概述 4-4

IWSA 5.1 4-5

迁移后 4-6

未迁移的信息 4-3

要迁移的版本 4-2

重要说明 4-2

趋势科技联系信息 D-4

趋势科技控制管理中心组件 1-3

全局编目 A-5

群集配置或条目, 删除 A-16

R认证 (authentication)

错误消息 B-5

认证（authentication）自动 B-4

日志位置 B-7

冗余性 C-7

Sservice pack C-7

SNMP 1-7

SNMP 通知组件 1-3Squid

预安装 3-4

上游代理服务器 C-7

时钟设置 C-6

数据包捕获 B-7

1-3


数据库 1-7

故障排除 B-5

无法连接 B-5

数据库类型和位置 1-7

数据库要求 1-5

TTMCM

组件 1-3

TrendLabs D-4, D-7

添加策略请求模式 A-13

响应模式 A-12

透明桥接模式 1-9

概述 2-32

规划 2-33

吞吐量 A-3

吞吐量要求 A-3

UURL

安全信息中心 D-6

技术支持 D-3

知识库 D-4–D-5

注册 (registration) D-2–D-3

自述文档 D-5

URL 过滤组件 1-3

user_groups_central_cache_interval B-2

VVisual Policy Manager A-12

WWCCP A-7

WCCP 模式 1-10

Web 控制台密码 1-7

外部 Web 服务器 C-7

网络通信规划 1-8

网络信息 B-6

维护 D-2

维护协议 D-2

到期时间 D-2

定义 D-2

更新 D-3

续订 D-2–D-3问题

安装 B-5

功能 B-6

XX-Infection-Found A-17

系统日志 B-6

系统信息 B-6

系统要求 1-2

X-Virus-ID A-17

详细记录 B-3

性能微调 B-2

许可协议 D-2

Y要求 1-2

ICAP 1-5

建议 1-2

可用性 A-3

连接 A-2

浏览器 (browser) 1-4

数据库 1-5

属性 A-2

吞吐量 A-3

低 1-2

移除 1-1, 3-1, 4-1

已知问题 D-5

知识库 D-5

自述文件 D-5

硬件要求 1-2

应用程序 Service Pack C-7

用户认证缓存 B-3

用户组成员资格缓存 B-2

1-4

索引

Z正向代理服务器模式 1-9

部署 2-10

概述 2-10

知识库 D-4

URL D-4

注册 (registration)URL D-2–D-3

注册码 (Registration Key) 1-8

注册资料 D-3

主要程序 1-3

自述文件 1-xi, D-2

组件安装 1-3

佳实践建议 C-6

1-5


1-6

i-i

IBCM66844/150109

i-ii

C /¥ T TM Web ]

Documents