Verificatie omzeilen in Secure Web Appliance

Downloadopties

  • PDF     (436.2 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (274.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (230.9 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:7 oktober 2024
Document-id:222458

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document worden de stappen beschreven voor het vrijstellen van verificatie in Secure Web Appliance (SWA).

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • SWA-beheer.

    Cisco raadt u aan deze hulpprogramma's te installeren:

    • Fysieke of virtuele SWA
    • Administratieve toegang tot de grafische gebruikersinterface (GUI) van SWA

    Gebruikte componenten

    Dit document is niet beperkt tot specifieke software- en hardware-versies.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Verificatie vrijgesteld 

    Het vrijstellen van verificatie voor bepaalde gebruikers of systemen in de Cisco SWA kan cruciaal zijn voor het handhaven van de operationele efficiëntie en het voldoen aan specifieke vereisten. Ten eerste vereisen sommige gebruikers of systemen ononderbroken toegang tot kritieke bronnen of services die kunnen worden gehinderd door authenticatieprocessen. Geautomatiseerde systemen of serviceaccounts die regelmatig updates of back-ups uitvoeren, hebben bijvoorbeeld naadloze toegang nodig zonder de vertragingen of potentiële storingen die door authenticatiemechanismen worden geïntroduceerd.


    Bovendien zijn er scenario's waarin de webserviceprovider aanbeveelt geen proxy te gebruiken om toegang te krijgen tot hun service. In dergelijke gevallen waarborgt het vrijstellen van authenticatie de naleving van de richtlijnen van de provider en handhaaft het de betrouwbaarheid van de service. Om verkeer voor bepaalde gebruikers effectief te blokkeren, is het vaak nodig om ze eerst vrij te stellen van authenticatie en vervolgens het juiste blokkeringsbeleid toe te passen. Deze aanpak maakt nauwkeurige controle over toegangsrechten mogelijk.


    In sommige gevallen is de webservice die wordt geopend vertrouwd en universeel acceptabel, zoals Microsoft-updates. Het vrijstellen van authenticatie voor dergelijke diensten vereenvoudigt de toegang voor alle gebruikers. Bovendien zijn er situaties waarin het besturingssysteem of de toepassing van de gebruiker het geconfigureerde verificatiemechanisme in de SWA niet ondersteunt, waardoor een bypass nodig is om connectiviteit te garanderen.

    Ten slotte vereisen servers met vaste IP-adressen zonder gebruikersaanmeldingen en beperkte, vertrouwde internettoegang geen verificatie, omdat hun toegangspatronen voorspelbaar en veilig zijn.

    Door authenticatie voor deze gevallen strategisch uit te sluiten, kunnen organisaties beveiligingsbehoeften afwegen tegen operationele efficiëntie.

    Methoden voor het vrijstellen van verificatie in Cisco SWA

    Het vrijstellen van authenticatie in SWA kan worden bereikt door middel van verschillende methoden, elk afgestemd op specifieke scenario's en vereisten. Hier zijn enkele veelvoorkomende manieren om authenticatie-vrijstellingen te configureren:

    • IP-adres of subnetmasker: een van de meest eenvoudige methoden is om specifieke IP-adressen of volledige subnetten vrij te stellen van verificatie. Dit is met name handig voor servers met vaste IP-adressen of vertrouwde netwerksegmenten waarvoor ononderbroken toegang tot internet of interne bronnen nodig is. Door deze IP-adressen of subnetmaskers in de SWA-configuratie op te geven, kunt u ervoor zorgen dat deze systemen het verificatieproces omzeilen.
    • Proxypoorten: u kunt de SWA configureren om verkeer vrij te stellen op basis van specifieke proxypoorten. Dit is handig wanneer bepaalde toepassingen of services aangewezen poorten gebruiken voor communicatie. Door deze poorten te identificeren, kunt u de SWA instellen om de verificatie voor verkeer op deze poorten te omzeilen, waardoor naadloze toegang voor de relevante toepassingen of services wordt gegarandeerd.
    • URL-rubrieken: Een andere methode is om verificatie op basis van URL-rubrieken uit te sluiten. Dit kan zowel vooraf gedefinieerde Cisco-categorieën als aangepaste URL-categorieën omvatten die u definieert op basis van uw specifieke behoeften van de organisatie. Als bepaalde webservices, zoals Microsoft-updates, bijvoorbeeld betrouwbaar en universeel aanvaardbaar worden geacht, kunt u de SWA configureren om verificatie voor deze specifieke URL-categorieën te omzeilen. Dit zorgt ervoor dat alle gebruikers toegang hebben tot deze services zonder dat authenticatie nodig is.
    • User Agents: Het vrijstellen van verificatie op basis van user agents is nuttig bij het omgaan met specifieke toepassingen of apparaten die de geconfigureerde verificatiemechanismen niet ondersteunen. Door de user agent-tekenreeksen van deze toepassingen of apparaten te identificeren, kunt u de SWA configureren om verificatie te omzeilen voor verkeer dat van deze toepassingen of apparaten afkomstig is, waardoor naadloze connectiviteit wordt gegarandeerd.

    .

    Stappen om authenticatie te omzeilen 

    Hier zijn de stappen voor het maken van een identificatieprofiel om te worden vrijgesteld van verificatie:

    Stap 1. Kies Web Security Manager in de GUI en klik op Identificatieprofielen.
    Stap 2. Klik op Profiel toevoegen om een profiel toe te voegen.
    Stap 3. Schakel het selectievakje Identificatieprofiel inschakelen in om dit profiel in te schakelen of snel uit te schakelen zonder het te verwijderen.
    Stap 4. Wijs een unieke profielnaam toe.
    Stap 5. (Optioneel) Beschrijving toevoegen.
    Stap 6. Kies in de vervolgkeuzelijst Invoegen waar dit profiel in de tabel moet worden weergegeven.

    note-icon

    Opmerking: Positie-identificatieprofielen waarvoor geen verificatie vereist is, bovenaan de lijst. Deze aanpak vermindert de belasting van de SWA, minimaliseert de verificatiewachtrij en resulteert in snellere verificatie voor andere gebruikers.

    Stap 7. Kies in het gedeelte Gebruikersidentificatiemethode de optie Vrijstellen van verificatie/identificatie.

    Stap 8. In het Leden definiëren op subnet, voert u de IP-adressen of subnetten in die dit identificatieprofiel moet toepassen. U kunt IP-adressen, Classless Inter-Domain Routing (CIDR)-blokken en subnetten gebruiken.

    Stap 9. (Optioneel) Klik op Geavanceerd om aanvullende lidmaatschapscriteria te definiëren, zoals Proxypoorten, URL-categorieën of User Agents.

    caution-icon

    Let op: bij transparante proxy-implementatie kan SWA de user agents of de volledige URL voor HTTPS-verkeer niet lezen, tenzij het verkeer is gedecodeerd. Als u het identificatieprofiel configureert met behulp van User Agents of een aangepaste URL-categorie met reguliere expressies, komt dit verkeer niet overeen met het identificatieprofiel.

    Ga voor meer informatie over het configureren van een aangepaste URL-categorie naar: Aangepaste URL-categorieën configureren in Secure Web Appliance - Cisco

    tip-icon

    Tip: het beleid maakt gebruik van een AND-logica, wat betekent dat aan alle voorwaarden moet worden voldaan om het ID-profiel te laten overeenkomen. Wanneer geavanceerde opties zijn ingesteld, moet aan elke vereiste worden voldaan voordat het beleid van toepassing is.

    Image - Steps to Create ID Profile to Bypass AuthenticationAfbeelding - Stappen voor het maken van een ID-profiel om verificatie te omzeilen

    Stap 10. Verzenden en wijzigingen vastleggen.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    07-Oct-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Amirhossein Mojarrad
      technisch adviseur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten