zScaler cookie身份验证是如何工作的?
我正在为我的组织实现一个web过滤器,我正在考虑zScaler。我不想使用代理PAC文件。我刚刚和zScaler的销售通了电话,他们声称他们可以区分我的用户使用cookie后NAT。他们没有解释它是如何工作的,但给我看了一个演示。我的拓扑如下:
RFC 1918 -> FW -> 1.1.1.1 - 1.1.1.2 ->路由器->因特网
基本上,在上面的路由器,我将GRE隧道到他们的禅宗节点。禅宗只会看到我的公共知识产权,1.1.1.1。
当我第一次访问互联网时,我将不得不进行认证。之后,使用cookie跟踪用户会话。这对我来说毫无意义,因为:
- 例如,两个站点,cnn.com和reddit.com将有完全不同的cookie由我的浏览器设置。zScaler将看到如下内容:
- 1.1.1.1:23883 -> cnn.com:80 + headers和浏览器发送的潜在cookies,它们是cnn.com特有的,不一定将我标识为joeDomainUser。
- 1.1.1.1:26364 -> reddit.com:80 + headers和浏览器发送的潜在cookies,它们是reddit.com特有的,不一定将我标识为joeDomainUser。
当然,如果我对cnn.com进行身份验证,它可以向响应中注入一个cookie,但是当我访问reddit.com时,它将如何跟踪我呢?浏览器将发送不同的cookie。
回答 1
Server Fault用户
发布于 2016-12-22 18:35:00
您需要记住,作为代理,它们位于所有web请求的路径中(或者至少是所有非SSL请求,除非您使用SSL解密)。
当您第一次访问cnn.com时,他们会发现您没有该站点的身份验证cookie。他们将暂时将您重定向到他们的身份验证站点,而不是为站点服务。
一旦您到达该身份验证站点,就会发生两件事中的一件。如果您已经通过Zscaler身份验证(他们可以使用cookie(在本例中是针对其auth站点的cookie)来识别它),那么它们将将您重定向回cnn.com,其中包含唯一标识您的查询字符串(?xxx=yyy添加到URL)。当浏览器遵循重定向时,它们将再次拦截请求,再次重定向--这一次将返回到原始URL (没有额外的查询字符串的cnn.com ),他们将为cnn.com域设置一个zscaler身份验证cookie,这是因为就浏览器而言,响应来自真正的cnn.com,因此它允许设置cookie (尽管响应确实来自cnn.com)。
在此之后,对cnn.com的每个请求都将包含该域的auth cookie,因此他们将知道是您提出了请求。经过一段时间(我认为24小时),cookie将超时,并且它们将再次经历整个重定向过程。
如果您在上面的第一次重定向过程中还没有通过Zscaler的身份验证,那么他们就会让您登录,然后遵循相同的过程。
如果您在启用像这样的身份验证之后查看cookie列表,您会发现每个站点都为其设置了一个新的cookie --这就是该域的Zscaler。
尽管他们可能声称,他们这样做的方式并没有那么独特-各种其他的网络安全产品使用完全相同的机制。由于所有重定向(每个域至少发生一次,每24小时一次),会对性能产生轻微的影响--但通常情况下,不太明显。
https://serverfault.com/questions/822300
复制相似问题
腾讯云开发者
