首页帮助文档软件下载故障处理按场景找工具工具全景图兼容性查询在线实验平台服务信息查询产品安全中心订单验收材料下载

行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
全网AC13.0.18
行为管理AC 文档 产品手册 接入管理 接入认证 Portal认证 单点登录 Proxy
{{sendMatomoQuery("行为管理AC","Proxy")}}

Proxy

更新时间:2022-01-18

如果用户网络环境中已经部署代理服务器,并且内网用户使用代理服务器上网都有账号和密码,那么可以采用Proxy单点登录的方式,在内网用户通过代理服务器的验证之后就通过设备的认证,即终端用户连接到代理服务器即可上网,无需通过设备再次认证。Proxy单点登录分监听方式和执行指定登录控件两种。

启用Proxy单点登录:开启和关闭Proxy单点登录功能。

  • 监听计算机登录Proxy的数据,获取登录信息:通过监听的方式获取用户登录proxy服务器的信息,如果用户登录代理服务器的数据不通过AC设备,需要设置监听镜像口。监听方式的Proxy单点登录配置请参见PROXY单点登录配置章节。

  • 兼容Kerberos认证方式:若Proxy服务器为ISA服务器,并且ISA服务器采用“windows集成身份认证”方式,则需要勾选“兼容kerberos认证”方式以完成单点登录,并且该方式仅适用于登录数据包穿过AC设备的情况,不适用于镜像方式。

  • Proxy代理服务器地址列表:填写代理服务器的IP地址。

通过Proxy执行指定的登录控件,获取登录信息:需要在代理服务器上配置一个登录脚本,用户登录Proxy服务器时会自动执行该脚本,发送登录数据包到AC设备,完成登录过程。

一般适用于用户使用Proxy代理上网的环境,并且每个用户均分配了代理服务器的账号。使用Proxy单点登录的认证方式时,当用户通过Proxy服务器的验证时,同时通过设备的认证。

使用监听模式

Proxy单点登录的监听模式,也是通过监听登录数据完成单点登录的。分为两种情况:

第一种情况:Proxy服务器在外网方向,如图所示。

数据流过程如下:

  1. 用户通过Proxy服务器代理上网,设备监听PC和Proxy服务器的交互。

  2. PC成功经过Proxy服务器认证的同时也经过设备的认证。

操作步骤

  1. 设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,点击[portal认证/认证策略/新增认证策略]进行配置。

  2. 因为Proxy服务器在设备的外网方向,用户认证前需要放通访问Proxy服务器的权限,在[认证策略/认证后处理/高级选项/认证前使用此组权限]中设置一个认证前使用的组,并在权限策略中放通这个组访问Proxy服务器的权限。

  3. 点击进入[portal认证/单点登录/Proxy]页面进行配置。

4.勾选[启用Proxy单点登录],勾选[监听计算机登录Proxy的数据,获取登录信息]。

5.在[Proxy代理服务器地址列表]中输入Proxy服务器的IP和监听端口,如果有多个Proxy服务器,则一行一个IP和端口,此处的端口设置Proxy认证的端口即可,如下图所示。

6.PC登录Proxy服务器,登录成功后即可上网。

说明:
1.若Proxy服务器为ISA服务器,并且ISA服务器采用“windows集成身份认证”方式,则需要勾选[兼容kerberos认证方式]以完成单点登录,并且该方式仅适用于登录数据包穿过AC设备的情况,不适用于镜像方式,同时旁路模式下也不支持该功能。
2.这种场景下如果[认证策略/认证后处理/高级选项]中勾选了[显示免责声明],则需要配置从DMZ口做重定向,否则将无法通过认证上网。

第二种情况:Proxy服务器在内网方向,如图所示。

数据流过程如下:

  1. 用户通过Proxy服务器代理上网,认证数据不经过AC转发;

2.在交换机上设置镜像口,把PC到Proxy服务器的数据镜像到AC上;

3.PC成功经过Proxy服务器认证的同时也经过设备的认证。

操作步骤

  1. 设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,进入[portal认证/认证策略/新增认证策略]进行配置。

  2. 点击进入[portal认证/单点登录/Proxy]页面进行配置。

  3. 勾选启用Proxy单点登录,勾选监听计算机登录Proxy的数据,获取登录信息。

  4. 在Proxy代理服务器地址列表中输入Proxy服务器的IP和监听端口,如果有多个Proxy服务器,则一行一个IP和端口,此处的端口设置Proxy认证的端口即可,如下图所示。

5.如果登录数据不经过设备,需要通过设置镜像口,并将镜像口连接到转发登录数据的交换机镜像口上,点击<其他选项>,设置设备的镜像口。镜像口需要设置空闲网口,已经在使用的网口请不要设置成镜像网口。

6.PC登录Proxy服务器,登录成功后即可上网。

说明:当登录数据不经过AC,采用镜像数据的监听方式不支持[兼容Kerberos认证方式]。

使用ISA控件方式

ISA控件方式可用于ISA服务器在内网,登录ISA的数据不经过设备的情况下,通过在ISA服务器上注册扩展插件,将PC登录ISA成功后的信息通过扩展的插件通知设备,来完成用户在设备上的登录。

数据流的过程大致如下:

  1. PC通过HTTP代理,通过ISA的PRXOY认证;

  2. ISA将PC登录成功的信息发给AC设备;

  3. AC设备自动将PC认证通过,放行PC上网数据。

操作步骤

步骤1.设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,点击[portal认证/认证策略],新增认证策略进行配置。

步骤2.点击进入[portal认证/单点登录/Proxy]页面进行配置。

步骤3.勾选[启用Proxy单点登录],勾选[通过Proxy执行指定的登录控件,获取登录信息],表示使用ISA控件方式实现单点登录。在请输入共享密钥:输入共享密钥。

步骤4.在设备上下载ISA单点登录控件及示例,配置ISA服务器,注册插件并配置SangforAC.ini。

1. 插件MyAuthFilter.dll 放到ISA 安装目录下,如C:/Program Files/ISA server/

2. 运行 regsvr32 “C:/Program Files/ISA server/MyAuthFilter.dll” 注册插件

3. 将示例配置文件SangforAC.ini 放到C 盘根目录下。下面是配置文件的说明:

  • ACIP=192.168.0.1 设备IP的地址。

  • key=123 登录ISA的数据包加密密钥,要跟设备上设置的一致。

  • cycle=30 每个IP 地址发送登录数据包的最小间隔(单位:秒),作用是避免每个IP 地址每发起一个新会话访问一个新网站,就发一次登录数据包,这样发送过于频繁。

  • logpath=调试日志路径,为空表示关掉日志,填写路径表示开启日志,默认关掉,请在有需要的时候再打开。另外,请保证NETWORK SERVICE用户对该文件所在目录具有可读写权限。

  • maxlogsize=1调试日志文件最大容量(单位:MB),日志文件到达上限值时,会自动清空。charset=UTF-8支持编码有UTF-8、UTF-16、GB2312、GB18030、BIG5。

4. 在ISA 插件面板确认“Sangfor ISA Auth Filter”插件已启用。

021

步骤5.PC登录Proxy服务器,登录成功后即可上网。

说明:
1.每次修改SangforAC.ini文件后需要重新注册插件。
2.ISA 插件无法实现当域用户注销或关闭电脑时,让域用户自动从设备上注销。但可以通过在设备控制台上设置超时时间,让用户从设备上自动注销掉。
3.AC和ISA服务器密钥必须一致,且此密钥不要跟其他方式单点登录密钥相同。
4.ISA服务器要放通自身连接AC设备UDP 1773 端口的数据。
5.如果Proxy服务器在AC WAN区域,则需要放通用户认证前访问Proxy服务器的权限。
6.放通权限在[认证策略/认证后处理/高级选项]中,勾选[认证前使用此组权限],并设置一个组。在这个用户组的上网权限设置中放通Proxy服务器的IP和端口。