تجاوز المصادقة في جهاز ويب الآمن

المقدمة

يصف هذا المستند الخطوات اللازمة لإعفاء المصادقة في جهاز ويب الآمن (SWA).

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• أداره /سوا/.

توصي Cisco بتثبيت هذه الأدوات:

• SWA المادية أو الافتراضية

• الوصول الإداري إلى واجهة المستخدم الرسومية (GUI) ل SWA

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

إستثناء المصادقة 

يمكن أن يكون إعفاء المصادقة لبعض المستخدمين أو الأنظمة في نطاق SWA من Cisco أمرا بالغ الأهمية للحفاظ على كفاءة التشغيل والوفاء بالمتطلبات المحددة. أولا، يتطلب بعض المستخدمين أو الأنظمة الوصول دون انقطاع إلى الموارد أو الخدمات الحيوية التي يمكن أن تعوقها عمليات المصادقة. على سبيل المثال، تحتاج الأنظمة المؤتمتة أو حسابات الخدمات التي تؤدي عمليات تحديث أو نسخ إحتياطي منتظمة إلى إمكانية الوصول بسلاسة دون حدوث تأخيرات أو حالات فشل محتملة بواسطة آليات المصادقة.

بالإضافة إلى ذلك، هناك سيناريوهات يوصي فيها موفر خدمة الويب بعدم إستخدام وكيل للوصول إلى خدماتهم. وفي مثل هذه الحالات، يضمن الإعفاء من المصادقة الامتثال للمبادئ التوجيهية للمزودين ويحافظ على موثوقية الخدمات. بالإضافة إلى ذلك، ولحظر حركة المرور بشكل فعال لبعض المستخدمين، غالبا ما يكون من الضروري إعفاءهم أولا من المصادقة ثم تطبيق سياسات الحظر المناسبة. يتيح هذا الأسلوب التحكم الدقيق في أذونات الوصول.

في بعض الحالات، تكون خدمة الويب التي يتم الوصول إليها موثوقة ومقبولة بشكل عام، مثل تحديثات Microsoft. يؤدي إعفاء المصادقة لمثل هذه الخدمات إلى تبسيط إمكانية الوصول لكافة المستخدمين. وعلاوة على ذلك، هناك حالات لا يدعم فيها نظام تشغيل المستخدم أو التطبيق آلية المصادقة المكونة في النهج المتسلسل، مما يستلزم إجراء تجاوز لضمان الاتصال.

أخيرا، لا تتطلب الخوادم ذات عناوين IP الثابتة التي ليس لها تسجيلات دخول للمستخدم والتي لها وصول محدود وموثوق به إلى الإنترنت المصادقة، نظرا لأن أنماط الوصول الخاصة بها يمكن التنبؤ بها وآمنة.

ومن خلال إعفاء المصادقة بشكل إستراتيجي لهذه الحالات، يمكن للمؤسسات موازنة الاحتياجات الأمنية مع الكفاءة التشغيلية.

طرق إستثناء المصادقة في Cisco SWA

يمكن تحقيق إعفاء التوثيق في النهج المتبع على نطاق الدولة من خلال أساليب مختلفة، كل منها مكيف لسيناريوهات ومتطلبات محددة. فيما يلي بعض الطرق الشائعة لتكوين إستثناءات المصادقة:

• عنوان IP أو قناع الشبكة الفرعية: واحدة من أكثر الطرق وضوحا هي إستثناء عناوين IP المحددة أو الشبكات الفرعية بأكملها من المصادقة. وهذا مفيد بشكل خاص للخوادم التي تحتوي على عناوين IP ثابتة أو مقاطع شبكة موثوق بها تتطلب الوصول غير المنقطع إلى الإنترنت أو الموارد الداخلية. بتحديد عناوين IP هذه أو أقنعة الشبكة الفرعية في تكوين SWA، يمكنك التأكد من أن هذه الأنظمة تتجاوز عملية المصادقة.
• منافذ الوكيل: يمكنك تكوين SWA لاستثناء حركة المرور استنادا إلى منافذ وكيل محددة. ويكون هذا الإجراء مفيدا عندما تستخدم تطبيقات أو خدمات معينة منافذ مخصصة للاتصال. بتعريف هذه المنافذ، يمكنك إعداد SWA لتخطي المصادقة لحركة المرور على هذه المنافذ، مما يضمن الوصول بسلاسة إلى التطبيقات أو الخدمات ذات الصلة.
• فئات عنوان URL: طريقة أخرى هي إستثناء المصادقة استنادا إلى فئات عنوان URL. يمكن أن يتضمن هذا كل من فئات Cisco المحددة مسبقا وفئات URL المخصصة التي تقوم بتعريفها استنادا إلى الاحتياجات الخاصة لمؤسستك. على سبيل المثال، إذا تم إعتبار خدمات ويب معينة، مثل تحديثات Microsoft، موثوق بها ومقبولة بشكل عام، يمكنك تكوين SWA لتجاوز المصادقة لفئات URL المحددة هذه. وهذا يضمن إمكانية وصول جميع المستخدمين إلى هذه الخدمات دون الحاجة إلى المصادقة.
• وكلاء المستخدم: يعد إستثناء المصادقة المستندة إلى وكلاء المستخدم مفيدا عند التعامل مع تطبيقات أو أجهزة معينة لا تدعم آليات المصادقة التي تم تكوينها. من خلال تحديد سلاسل وكيل المستخدم لهذه التطبيقات أو الأجهزة، يمكنك تكوين SWA لتجاوز المصادقة لحركة المرور التي تنشأ منها، مما يضمن الاتصال بسلاسة.

.

خطوات تجاوز المصادقة 

فيما يلي الخطوات اللازمة لإنشاء توصيف تعريف لاستثنائه من المصادقة:

الخطوة 1. من واجهة المستخدم الرسومية، أختر مدير أمان الويب ثم انقر على توصيفات التعريف.
الخطوة 2. انقر على إضافة ملف تخصيص لإضافة ملف تخصيص.
الخطوة 3. أستخدم خانة الاختيار تمكين ملف تعريف التعريف لتمكين ملف التعريف هذا، أو لتعطيله بسرعة دون حذفه.
الخطوة 4. قم بتعيين اسم ملف تعريف فريد.
الخطوة 5. (إختياري) أضف وصفا.
الخطوة 6. من القائمة إدراج المنسدلة، أختر المكان الذي سيظهر فيه ملف التعريف هذا في الجدول.

ملاحظة: ملفات تعريف المناصب التي لا تتطلب المصادقة على رأس القائمة. يقلل هذا الأسلوب الحمل على SWA، ويقلل قائمة انتظار المصادقة، ويؤدي إلى مصادقة أسرع للمستخدمين الآخرين.

الخطوة 7. في قسم طريقة تعريف المستخدم، أختر إستثناء من المصادقة/ التعريف.

الخطوة 8. في تحديد الأعضاء حسب الشبكة الفرعية، أدخل عناوين IP أو الشبكات الفرعية التي يجب أن يطبقها ملف تعريف التعريف هذا. يمكنك إستخدام عناوين IP وحزم توجيه المجال التبادلي دون فئات (CIDR) والشبكات الفرعية.

الخطوة 9. (إختياري) انقر فوق خيارات متقدمة لتحديد معايير عضوية إضافية، مثل منافذ الوكيل أو فئات عنوان URL أو وكلاء المستخدم.

تحذير: في النشر الشفاف للوكيل، لا يمكن ل SWA قراءة وكلاء المستخدم أو عنوان URL الكامل لحركة مرور HTTPS ما لم يتم فك تشفير حركة مرور البيانات. ونتيجة لذلك، إذا قمت بتكوين ملف تعريف التعريف باستخدام وكلاء المستخدم أو فئة عنوان URL مخصص مع التعبيرات العادية، فإن حركة المرور هذه تفشل في مطابقة ملف تعريف التعريف.

للحصول على مزيد من المعلومات حول كيفية تكوين فئة URL المخصصة، تفضل بزيارة: تكوين فئات URL المخصصة في جهاز ويب الآمن - Cisco

تلميح: تستخدم السياسة منطق AND، مما يعني أنه يجب استيفاء جميع الشروط لكي يتطابق ملف تعريف المعرف. عند تعيين الخيارات المتقدمة، يجب استيفاء كل متطلب لتطبيق النهج.

الصورة - خطوات لإنشاء توصيف هوية لتجاوز المصادقة

الخطوة 10. إرسال التغييرات وتنفيذها.

معلومات ذات صلة

• دليل المستخدم ل AsyncOS 15.0 ل Cisco Secure Web Appliance - GD(نشر عام) - تصنيف المستخدمين النهائيين لتطبيق السياسة [جهاز الويب الآمن من Cisco] - Cisco
• تكوين فئات عنوان URL المخصصة في جهاز ويب الآمن - Cisco
• كيفية إستثناء حركة مرور Office 365 من المصادقة وفك التشفير على جهاز أمان الويب (WSA) من Cisco - Cisco