簡介
本文檔介紹如何繞過思科網路安全裝置(WSA)(所有AsyncOS版本7.x及更高版本)上特定使用者代理的身份驗證。
如何繞過特定使用者代理的身份驗證?
您可以通過其使用者代理繞過特定應用程式的身份驗證。這是一個兩步過程。
- 確定應用程式使用的使用者代理字串。
- 對於標準應用程式,您應該能夠在以下網站上找到使用者代理字串:
http://www.user-agents.org/
http://www.useragentstring.com/pages/useragentstring.php
http://www.infosyssec.com/infosyssec/security/useragentstrings.shtml
- 您還可以通過裝置上的訪問日誌確定使用者代理字串。請完成以下步驟:
- 在GUI中,選擇System Administration > Log Subscription > Access logs。
- 在自定義欄位中新增%u。
- 提交並提交更改。
- 根據客戶端IP地址複製或跟蹤訪問日誌。
- 使用者代理字串應位於訪問日誌行的末尾。
範例:在Chrome瀏覽器中,您可以看到使用者代理字串為Mozilla/5.0(Windows;U;Windows NT 5.1;(美國)AppleWebKit/525.13(KHTML,類似壁虎)Chrome/0.X.Y.Z Safari/525.13。)
- 配置WSA以繞過使用者代理字串的身份驗證。
- 選擇Web Security Manager > Identities。按一下Add Identity。
- 名稱:使用者代理身份驗證豁免標識
- 在上方插入:設定為訂單1
- 按子網定義成員:空白(或者您也可以定義IP地址範圍/子網)
- 通過身份驗證定義成員:無需身份驗證
- 高級>使用者代理:按一下「None Selected」。在自定義使用者代理下,指定使用者代理字串。
- 選擇Web Security Manager > Access Policies。按一下Add Policy。
- 策略名稱:使用者代理的身份驗證豁免
- 在策略上插入:設定為訂單1
- 身份策略:使用者代理身份驗證豁免標識
- 高級:無
此配置應免除對指定使用者代理的身份驗證。訪問策略仍會根據訪問策略設定進行過濾(基於URL類別)和掃描(McAfee、Webroot)流量。