Cisco Cisco Web Security Appliance S690 User Guide
5-29
思科网络安全设备 AsyncOS 8.8 用户指南
第 5 章 获取最终用户凭证
凭证
支持的透明请求身份验证代理
* 在客户端向某 HTTP 站点提出请求并通过身份验证后生效。在此之前,行为取决于事务类型:
•
本地 FTP 事务。事务绕过身份验证。
•
HTTPS 事务。丢弃事务。但是,您可以将 HTTPS 代理配置为解密第一个出于身份验证目的
的 HTTPS 请求。
的 HTTPS 请求。
** 使用基于 Cookie 的身份验证时, Web 代理无法验证 HTTPS、本地 FTP 以及 FTP over
HTTP 事务的用户身份。由于此限制,所有 HTTPS、本地 FTP 以及 FTP over HTTP 请求都
会绕过身份验证,根本不请求身份验证。
HTTP 事务的用户身份。由于此限制,所有 HTTPS、本地 FTP 以及 FTP over HTTP 请求都
会绕过身份验证,根本不请求身份验证。
*** 这种情况下,即便配置了基于 Cookie 的代理,也不会使用任何代理。
跟踪重新进行身份验证的用户
借助重新进行身份验证,如果某具有更高权限的用户进行身份验证并获得授权,则 Web 代理会
根据配置的身份验证代理,为该用户提供不同时长的身份缓存:
根据配置的身份验证代理,为该用户提供不同时长的身份缓存:
•
会话 Cookie。具有权限的用户身份一直持续到浏览器关闭或会话超时。
•
持久性 Cookie。具有权限的用户身份一直持续到代理超时。
•
IP 地址。具有权限的用户身份一直持续到代理超时。
•
无代理。Web 代理默认为每个新连接请求身份验证,但是如果启用重新进行身份验证,Web
代理即为每个新请求请求身份验证,所以使用 NTLMSSP 时,身份验证服务器的负载会越
来越大。但身份验证活动的增加对用户而言可能不太明显,因为大多数的浏览器会一直无提
示地缓存具有权限的用户凭证及身份验证,直到浏览器关闭。此外,如果在透明模式下部署
Web 代理,且并未启用 “将相同的代理设置应用于显式转发请求” (Apply same surrogate
settings to explicit forward requests) 选项,则显式转发请求不会使用任何身份验证代理,重
新进行身份验证也会增加负载。
代理即为每个新请求请求身份验证,所以使用 NTLMSSP 时,身份验证服务器的负载会越
来越大。但身份验证活动的增加对用户而言可能不太明显,因为大多数的浏览器会一直无提
示地缓存具有权限的用户凭证及身份验证,直到浏览器关闭。此外,如果在透明模式下部署
Web 代理,且并未启用 “将相同的代理设置应用于显式转发请求” (Apply same surrogate
settings to explicit forward requests) 选项,则显式转发请求不会使用任何身份验证代理,重
新进行身份验证也会增加负载。
注意
如果网络安全设备使用身份验证代理 Cookie,思科建议启用凭证加密。
凭证
身份验证凭证的获取方式,一种方式是通过提示用户通过浏览器或其他客户端应用输入凭证从用
户获取,另一种方式是从其他来源以透明方式获取。
户获取,另一种方式是从其他来源以透明方式获取。
•
•
•
•
代理类型
凭证加密已禁用
凭证加密已启用
协议:
HTTP
HTTPS
本地 FTP
HTTP
HTTPS
本地 FTP
无代理
不适用
不适用
不适用
不适用
不适用
不适用
基于 IP
是
否/是*
否/是*
是
否/是*
否/是*
基于 Cookie
是
否/是**
否/是**
是
否/是**
否/是**