行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
AC11.0R2
{{sendMatomoQuery("行为管理AC","使用监听模式")}}

使用监听模式

更新时间:2022-01-24

Proxy单点登录的监听模式,也是通过监听登录数据完成单点登录的。分为两种情况:

第一种情况:Proxy服务器在外网方向,如图所示:

数据流过程如下:

1、用户通过Proxy服务器代理上网,设备监听PC和Proxy服务器的交互

2、PC成功经过Proxy服务器认证的同时也经过设备的认证。设置步骤:

第一步:设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,点击『用户认证』→『认证策略』→『新增认证策略』进行配置.

因为Proxy服务器在设备的外网方向,用户认证前需要放通访问域服务器的权限,在『认证策略』→『认证后处理』→『高级选项』→『认证前使用此组权限』中设置一个认证前使用的组,并在上网策略中放通这个组访问Proxy服务器的权限。

第二步:点击进入『用户认证』→『单点登录』→『Proxy』页面进行配置。勾选[启用Proxy单点登录]

勾选[监听计算机登录Proxy的数据,获取登录信息]

在[Proxy代理服务器地址列表]中输入Proxy服务器的IP和监听端口,如果有多个Proxy服务器,则一行一个IP和端口,此处的端口设置Proxy认证的端口即可,如下图所示:

第三步:PC登录Proxy服务器,登录成功后即可上网。

注意:1、若Proxy服务器为ISA服务器,并且ISA服务器采用“windows集成身份认证”方式,则需要勾选[兼容kerberos认证方式]以完成单点登录,并且该方式仅适用于登录数据包穿过AC设备的情况,不适用于镜像方式,同时旁路模式下也不支持该功能。

2、这种场景下如果『认证策略』→『认证后处理』→『高级选项』中勾选了[显示免责声明],则需要配置从DMZ口做重定向,否则将无法通过认证上网。

第二种情况:Proxy服务器在内网方向,如图所示:

数据流过程如下:

1、用户通过Proxy服务器代理上网,认证数据不经过AC转发

2、在交换机上设置镜像口,把PC到Proxy服务器的数据镜像到AC上

3、PC成功经过Proxy服务器认证的同时也经过设备的认证。设置步骤:

第一步:设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,点击『用户认证』→『认证策略』→『新增认证策略』进行配置.

第二步:点击进入『用户认证』→『单点登录』→『Proxy』页面进行配置。勾选[启用Proxy单点登录]

勾选[监听计算机登录Proxy的数据,获取登录信息]

在[Proxy代理服务器地址列表]中输入Proxy服务器的IP和监听端口,如果有多个Proxy服务器,则一行一个IP和端口,此处的端口设置Proxy认证的端口即可,如下图所示:

第三步:如果登录数据不经过设备,需要通过设置镜像口,并将镜像口连接到转发登录数据的交换机镜像口上,点击其他选项,设置设备的镜像口。镜像口需要设置空闲网口,已经在使用的网口请不要设置成镜像网口。

第四步:PC登录Proxy服务器,登录成功后即可上网。

此种登录数据不经过AC,采用镜像数据的监听方式不支持[兼容Kerberos认证方式]。