Cisco Cisco Web Security Appliance S170 ユーザーガイド
5-4
思科网络安全设备 AsyncOS 8.8 用户指南
第 5 章 获取最终用户凭证
身份验证规划
Active Directory/基本
Active Directory/NTLMSSP
显式转发
透明,基于 IP 的缓存
透明,基于 Cookie 的缓存
优势:
•
所有浏览器和大多数其他应用都
支持
支持
•
基于 RFC
•
最低开销
•
适用于 HTTPS
(CONNECT) 请求
(CONNECT) 请求
•
由于密码不传输到身份验证服务
器,所以更安全
器,所以更安全
•
对连接进行身份验证,而非主机
或 IP 地址
或 IP 地址
•
当客户端应用配置为信任网络
安全设备时,可实现 Active
Directory 环境下真正的单点
登录
安全设备时,可实现 Active
Directory 环境下真正的单点
登录
缺点:
•
每个请求的密码均以明文形式
(Base64) 发送
(Base64) 发送
•
非单点登录
•
中等开销:每个新连接都需要重
新进行身份验证
新进行身份验证
•
主要仅限于 Windows 及主流浏
览器支持
览器支持
优势:
•
适用于全部主流浏览器
•
用户代理不支持身份验证,用户
只需先在某个受支持的浏览器中
完成身份验证即可
只需先在某个受支持的浏览器中
完成身份验证即可
•
开销相对较低
•
如果用户此前已利用 HTTP 请求
完成身份验证,则适用于 HTTPS
请求
完成身份验证,则适用于 HTTPS
请求
缺点:
•
身份验证凭证与 IP 地址关联,而
非与用户关联 (不适用于 Citrix
和 RDP 环境;或者,用户如更
改 IP 地址,亦不适用)
非与用户关联 (不适用于 Citrix
和 RDP 环境;或者,用户如更
改 IP 地址,亦不适用)
•
非单点登录
•
密码以明文形式 (Base64) 发送
优势:
•
适用于全部主流浏览器
•
身份验证与用户关联,而非与主
机或 IP 地址关联
机或 IP 地址关联
缺点:
•
因为 Cookie 为域特定,每个新
的网络域都要完成整个身份验证
过程
的网络域都要完成整个身份验证
过程
•
需要启用 Cookie
•
不适用于 HTTPS 请求
•
非单点登录
•
密码以明文形式 (Base64) 发送
显式转发
透明
优势:
•
由于密码不传输到身份验证服务器,所以更安全
•
对连接进行身份验证,而非主机或 IP 地址
•
当客户端应用配置为信任网络安全设备时,可实
现 Active Directory 环境下真正的单点登录
现 Active Directory 环境下真正的单点登录
缺点:
•
中等开销:每个新连接都需要重新进行身份验证
•
主要仅限于 Windows 及主流浏览器支持
优势:
•
更灵活
透明 NTLMSSP 身份验证与透明基本身份验证类似,只是
Web 代理使用质询和响应 (而非基本的纯文本用户名和密
码)与客户端通信。
Web 代理使用质询和响应 (而非基本的纯文本用户名和密
码)与客户端通信。
使用透明 NTLM 身份验证的优缺点与使用透明基本身份验
证相同,但透明 NTLM 身份验证还有一项优势:不会将密码
发送到身份验证服务器,当客户端应用配置为信任网络安全
设备时,可实现单点登录。
证相同,但透明 NTLM 身份验证还有一项优势:不会将密码
发送到身份验证服务器,当客户端应用配置为信任网络安全
设备时,可实现单点登录。