簡介
本文檔介紹如何在思科網路安全裝置(WSA)和所有AsyncOS版本7.x及更高版本上繞過特定使用者代理的身份驗證。
如何繞過特定使用者代理的身份驗證?
您可以使用特定應用程式的使用者代理程式來略過驗證。此過程分為兩個步驟。
- 確定應用程式使用的使用者代理字串。
- 對於標準應用程式,您可以在以下網站上找到使用者代理字串:
http://www.user-agents.org/
http://www.useragentstring.com/pages/useragentstring.php
http://www.infosyssec.com/infosyssec/security/useragentstrings.shtml
- 您還可以從裝置上的訪問日誌中確定使用者代理字串。請完成以下步驟:
- 在GUI中,依次選擇System Administration > Log Subscription > Access logs。
- 在自定義欄位中增加%u。
- 提交並提交更改。
- 根據客戶端IP地址複製或跟蹤訪問日誌。
- 使用者代理字串可以位於訪問日誌行的末尾。
範例:在Chrome瀏覽器中,您可以看到使用者代理程式字串為Mozilla/5.0 (Windows;U;Windows NT 5.1;en-US) AppleWebKit/525.13 (KHTML,如Gecko) Chrome/0.X.Y.Z Safari/525.13。)
- 配置WSA以繞過使用者代理字串的身份驗證。
- 選擇網路安全管理器>身份。按一下Add Identity。
- 名稱:使用者代理程式AuthExempt Identity
- 在上方插入:設為訂單1
- 按子網定義成員:空白(或者您也可以定義IP地址範圍/子網)
- 透過身份驗證定義成員:無需身份驗證
- Advanced > User Agents:按一下None Selected。在自定義使用者代理下,指定使用者代理字串。
- 選擇網路安全管理器>訪問策略。按一下Add Policy。
- 策略名稱:使用者代理的身份驗證免除
- 在策略上插入:設定為訂單1
- 身份策略:使用者代理AuthExempt身份
- 高級:無
此配置免除對指定使用者代理的身份驗證。訪問策略仍會根據訪問策略設定過濾(基於URL類別)和掃描(McAfee 、 Webroot)流量。