行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
AC 12.0R3
{{sendMatomoQuery("行为管理AC","使用ISA控件方式")}}

使用ISA控件方式

更新时间:2022-01-19

ISA控件方式可用于ISA服务器在内网,登录ISA的数据不经过设备的情况下,通过在ISA服务器上注册扩展插件,将PC登录ISA成功后的信息通过扩展的插件通知设备,来完成用户在设备上的登录。如图所示:

数据流的过程大致如下:

1、PC通过HTTP代理,通过ISA的PRXOY认证;

2、ISA将PC登录成功的信息发给AC设备;

3、AC设备自动将PC认证通过,放行PC上网数据。设置方法:

第一步:设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,点击『portal认证』→『认证策略』→『新增认证策略』进行配置.

第二步:点击进入『portal认证』→『单点登录』→『Proxy』页面进行配置。勾选[启用Proxy单点登录]

勾选[通过Proxy执行指定的登录控件,获取登录信息],表示使用ISA控件方式实现单点登录。在[请输入共享密钥]中输入共享密钥,如下图所示:

第三步:在设备上下载ISA单点登录控件及示例,配置ISA服务器,注册插件并配置

SangforAC.ini。

  1. 插件MyAuthFilter.dll放到ISA安装目录下,如C:ProgramFiles\ISAserver\

  2. 运行regsvr32“C:ProgramFiles\ISAserver\MyAuthFilter.dll”注册插件

  3. 将示例配置文件SangforAC.ini放到C盘根目录下。下面是配置文件的说明:

[config]

ACip=192.168.0.1设备IP地址

key=123 登录ISA的数据包加密密钥,要跟设备上设置的一致

cycle=30每个IP地址发送登录数据包的最小间隔(单位:秒),作用是避免每个IP地址每发起一个新会话访问一个新网站,就发一次登录数据包,这样发送过于频繁。

logpath=调试日志路径,为空表示关掉日志,填写路径表示开启日志,默认关掉,请在有需要的时候再打开。另外,请保证NETWORKSERVICE用户对该文件所在目录具有可读写权限。

maxlogsize=1调试日志文件最大容量(单位:MB),日志文件到达上限值时,会自动清空。

charset=UTF-8支持编码有UTF-8、UTF-16、GB2312、GB18030、BIG5

  1. 在ISA插件面板确认“SangforISAAuthFilter”插件已启用。

第四步:PC登录Proxy服务器,登录成功后即可上网。

注意:1、每次修改SangforAC.ini文件后需要重新注册插件
2、ISA插件无法实现当域用户注销或关闭电脑时,让域用户自动从设备上注销。但可以通过在设备控制台上设置超时时间,让用户从设备上自动注销掉。如下图:

3、AC和ISA服务器密钥必须一致,且此密钥不要跟其他方式单点登录密钥相同。
4、ISA服务器要放通自身连接AC设备UDP1773端口的数据
5、如果Proxy服务器在ACWAN区域,则需要放通用户认证前访问Proxy服务器的权限。

如何放通权限?

在【认证策略】—【认证后处理】—【高级选项】中,勾选[认证前使用此组权限],并设置一个组。

在这个用户组的上网权限设置中放通Proxy服务器的IP和端口。