Transcription
Content Gateway Manager HelpForcepoint Web Security8.4.x
1996–3/17/20, ForcepointAll rights reserved.10900-A Stonelake Blvd, Quarry Oaks 1, Ste 350, Austin, TX 78759, USAPublished 3/17/20Forcepoint and the FORCEPOINT logo are trademarks of Forcepoint. Raytheon is a registered trademark of Raytheon Company. All othertrademarks used in this document are the property of their respective owners.This document may not, in whole or in part, be copied, photocopied, reproduced, translated, or reduced to any electronic medium or machinereadable form without prior consent in writing from Forcepoint. Every effort has been made to ensure the accuracy of this manual. However,Forcepoint makes no warranties with respect to this documentation and disclaims any implied warranties of merchantability and fitness for aparticular purpose. Forcepoint shall not be liable for any error or for incidental or consequential damages in connection with the furnishing,performance, or use of this manual or the examples herein. The information in this documentation is subject to change without notice.
ContentsContentsTopic 1Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1Content Gateway deployment options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2SSL inspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2Web proxy cache. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3Cache hierarchy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4Managed cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4DNS proxy cache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4Content Gateway components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4Cache. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4RAM cache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Adaptive Redirection Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Host database. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5DNS resolver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6Content Gateway processes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6Content Gateway administration tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Proxy traffic analysis features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Technical Support. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8Topic 2Getting Started with Content Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Accessing the Content Gateway manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Security certificate alerts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Windows 7 considerations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Configuring Content Gateway for two-factor authentication . . . . . . . . . . . . . 11Accessing the Content Gateway manager if you forget the master administratorpassword . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Content Gateway online Help . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Entering your subscription key. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Providing system information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Verifying that the proxy is processing Internet requests . . . . . . . . . . . . . . . . . . . 16Using the command-line interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Starting and stopping Content Gateway on the command line . . . . . . . . . . . . . . 18The no cop file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Topic 3Web Proxy Caching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Cache requests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Ensuring cached object freshness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22HTTP object freshness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23FTP object freshness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Scheduling updates to local cache content . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Configuring the Scheduled Update option . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Online Help i
ContentsForcing an immediate update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Pinning content in the cache. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29To cache or not to cache? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Caching HTTP objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Client directives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31Origin server directives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32Configuration directives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Forcing object caching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35Caching HTTP alternates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36Configuring how Content Gateway caches alternates. . . . . . . . . . . . . . . . . . . 36Limiting the number of alternates for an object . . . . . . . . . . . . . . . . . . . . . . . 37Caching FTP objects. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Disabling FTP over HTTP caching. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Topic 4Explicit Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39Manual browser configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39Using a PAC file. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Sample PAC file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Using WPAD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42Configuring FTP clients in an explicit proxy environment . . . . . . . . . . . . . . . . . 44Topic 5Transparent Proxy and ARM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47The Content Gateway ARM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Configuring a firewall with ARM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Transparent interception strategies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49Transparent interception with a Layer 4 switch . . . . . . . . . . . . . . . . . . . . . . . 50Transparent interception with WCCP v2 devices . . . . . . . . . . . . . . . . . . . . . . 51Transparent interception and multicast mode . . . . . . . . . . . . . . . . . . . . . . . . . 67Transparent interception with policy-based routing . . . . . . . . . . . . . . . . . . . . 68Transparent interception with software-based routing . . . . . . . . . . . . . . . . . . 69Configuring Content Gateway to serve only transparent requests . . . . . . . . . 70Interception bypass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Dynamic bypass rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72Static bypass rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73Viewing the current set of bypass rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74Connection load shedding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74Reducing DNS lookups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74Topic 6Additional Proxy Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77Content Gateway IP spoofing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77Range-based IP spoofing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78IP spoofing and the flow of traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79Configuring IP spoofing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80ii ForcepointWeb Security
ContentsContent Gateway support for IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82IPv6 configuration summary. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Topic 7Clusters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85Management clustering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86Changing clustering configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86Adding nodes to a cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88Deleting nodes from a cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89Virtual IP failover. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90Enabling or disabling virtual IP addressing . . . . . . . . . . . . . . . . . . . . . . . . . . 90Adding or editing virtual IP addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91What are virtual IP addresses? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91Topic 8Hierarchical Caching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93HTTP cache hierarchies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Parent failover . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94Configuring Content Gateway to use an HTTP parent cache . . . . . . . . . . . . . 94Topic 9Configuring the Cache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95Fault tolerance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95RAM cache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95Changing cache capacity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96Querying cache size . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96Increasing cache capacity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96Reducing cache capacity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Partitioning the cache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Making changes to partition sizes and protocols . . . . . . . . . . . . . . . . . . . . . . 98Partitioning the cache according to origin server or domain . . . . . . . . . . . . . 98Configuring cache object size limit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99Clearing the cache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100Changing the size of the RAM cache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100Topic 10DNS Proxy Caching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103Configuring DNS proxy caching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104Topic 11Saving and Restoring Configurations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107Taking configuration snapshots . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107Save a snapshot on the local system . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107Save a snapshot on an FTP server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108Restoring configuration snapshots . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108Restore a configuration snapshot from the local system. . . . . . . . . . . . . . . . 108Restore a configuration snapshot from an FTP server . . . . . . . . . . . . . . . . . 108Deleting configuration snapshots . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109Topic 12Monitoring Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111Online Help iii
ContentsViewing statistics in the Content Gateway manager . . . . . . . . . . . . . . . . . . . . . 111Viewing statistics from the command line . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112Working with alarms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112Clearing alarms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113Configuring Content Gateway to email alarm messages . . . . . . . . . . . . . . . 114Using a script file for alarms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114Using Performance graphs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114Creating SSL certificate authorities reports . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115Creating an SSL incidents report . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116Topic 13Working With Web DLP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117How the Forcepoint Web Security DLP Module works . . . . . . . . . . . . . . . . . . 117Deploying Content Gateway to work with Forcepoint DLP . . . . . . . . . . . . . . . 118Forcepoint DLP components on the Content Gateway machine . . . . . . . . . 118Forcepoint DLP over ICAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119Registering Content Gateway with Forcepoint DLP . . . . . . . . . . . . . . . . . . . . . 119Registering Content Gateway with Forcepoint DLP manually. . . . . . . . . . . 121Web DLP configuration options for Content Gateway. . . . . . . . . . . . . . . . . 121Stopping and starting Forcepoint DLP processes. . . . . . . . . . . . . . . . . . . . . . . . 122Configuring the ICAP client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123ICAP failover and load balancing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124Topic 14Working With Encrypted Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127Enabling SSL support. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129Initial SSL configuration tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131Internal Root CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131Importing your Root CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132Creating a new Root CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133Creating a subordinate certificate authority . . . . . . . . . . . . . . . . . . . . . . . . . 133Backing up your internal Root CA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137Managing certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138Adding new certificate authorities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139Backing up certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139Restoring certificates. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139Automatic certificate updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140Decryption and Encryption. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141SSL configuration settings for inbound traffic . . . . . . . . . . . . . . . . . . . . . . . 141SSL configuration settings for outbound traffic . . . . . . . . . . . . . . . . . . . . . . 142Validating certificates. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144Configuring validation settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144Bypassing verification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146iv ForcepointWeb Security
ContentsKeeping revocation information up to date . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147Certificate revocation lists. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147Online certification status protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148Directing SSL traffic to Content Gateway via explicit proxy . . . . . . . . . . . . . . 148Managing HTTPS website access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150Viewing incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150Changing the status of an incident . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152Deleting an incident . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152Changing the text of a message. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152Viewing incident details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153Adding websites to the Incident List. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153Client certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154Responding to client certificate requests. . . . . . . . . . . . . . . . . . . . . . . . . . . . 155Importing client certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155When a client certificate is always required: the Hostlist . . . . . . . . . . . . . . . 156Deleting client certificates. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156Customizing SSL connection failure messages . . . . . . . . . . . . . . . . . . . . . . . . . 157SSL decryption port mirroring (appliance deployments). . . . . . . . . . . . . . . . . . 158Topic 15Content Gateway Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159Controlling client access to the proxy . . . .
Online Help iii Contents Content Gateway support for IPv6. . . . . . . . . . . . . . . . . . . . . . . .
