简介
本文档介绍如何在思科网络安全设备(WSA)(所有AsyncOS版本7.x及更高版本)上绕过特定用户代理的身份验证。
如何绕过特定用户代理的身份验证?
您可以使用特定应用的用户代理绕过该应用的身份验证。此过程分为两步。
- 确定应用程序使用的用户代理字符串。
- 对于标准应用,您可以在以下网站上找到用户代理字符串:
http://www.user-agents.org/
http://www.useragentstring.com/pages/useragentstring.php
http://www.infosyssec.com/infosyssec/security/useragentstrings.shtml
- 您还可以从设备上的访问日志确定用户代理字符串。请完成以下步骤:
- 在GUI中,选择System Administration > Log Subscription > Access logs。
- 在自定义字段中添加%u。
- 提交并确认更改。
- 根据客户端IP地址对访问日志执行复制或尾部操作。
- 用户代理字符串可以位于访问日志行的末尾。
示例:在Chrome浏览器中,您可以看到用户代理字符串为Mozilla/5.0 (Windows;U;Windows NT 5.1;en-US) AppleWebKit/525.13 (KHTML,如Gecko) Chrome/0.X.Y.Z Safari/525.13。)
- 将WSA配置为绕过用户代理字符串的身份验证。
- 选择网络安全管理器>身份。单击Add Identity。
- 名称:用户代理AuthExempt标识
- 在上方插入:设置为订单1
- 按子网定义成员:空白(或还可以定义IP地址范围/子网)
- 通过身份验证定义成员:无需身份验证
- Advanced > User Agents:单击None Selected。在自定义用户代理下,指定用户代理字符串。
- 选择网络安全管理器>访问策略。单击Add Policy。
- 策略名称:用户代理的身份验证免除
- 在策略上插入:设置为订单1
- 身份策略:用户代理AuthExempt身份
- 高级:无
此配置免除对指定用户代理的身份验证。访问策略仍会根据访问策略设置过滤(基于URL类别)和扫描(McAfee、Webroot)流量。
反馈