在macOS上启用或禁用AnyConnect SWG代理和漫游安全模块

简介

本文档介绍如何在macOS上启用或禁用AnyConnect SWG代理和漫游安全模块。

问题

在安装Umbrella漫游安全模块的AnyConnect 4.8.x后，使用Umbrella SIG Essentials、SIG插件或ELA（包括SIG）的客户开始将DNS流量和网络流量转发到Umbrella漫游安全模块和SWG，但没有明确的方法来禁用这些行为。

AnyConnect 4.8 MR1是第一个从终端支持Umbrella SWG的版本，但与SWG代理自身安装二进制文件不同，它捆绑了安装Umbrella漫游安全代理的相同二进制文件。  目前，SWG代理可从Umbrella控制面板进行控制，但这是一个影响所有终端安装的全局设置。SWG选择性同步现在可在控制面板中完成，一次为100。

解决方案

由于macOS无法本地控制漫游安全模块和SWG代理的状态，因此必须使用脚本方法进行管理。Cisco Umbrella团队开发了几个脚本来禁用SWG代理，一个脚本用于启用SWG代理、禁用漫游安全模块和启用漫游安全模块，从而使状态保持持续。 

脚本必须作为root用户执行，但是不需要重新启动。升级或重新安装AnyConnect会重新启用漫游安全模块和SWG代理，必须再次执行脚本。可以在本文的底部找到脚本。

检查AnyConnect RSM代理的状态

 要确保AnyConnect RSM代理的状态正确：

1. 打开Cisco AnyConnect安全移动客户端
2. 单击Statistics360054989191
3. 向下滚动到“DNS Protection Status” 
   4403216788116

4403216786708

注意：禁用Umbrella漫游安全模块时，也会禁用SWG代理，因为SWG代理依赖于Umbrella漫游安全模块。

检查AnyConnect SWG代理的状态

 要确保AnyConnect SWG代理的状态正确无误，请执行以下操作：

1. 打开Cisco AnyConnect安全移动客户端
2. 单击Statistics360054989191
3. 向下滚动到“Web Protection Status” 
   360054865132360054865112

脚本用法

 要在macOS中运行脚本，请执行以下操作： 

1.确保脚本具有足够的权限，特别是写入权限。

使用以下命令示例，可以从MAC终端编辑脚本权限：

chmod 777 umbrella_swg_disable.sh    

2.要运行脚本，您可以使用示例命令：

sudo ./umbrella_swg_disable.sh

成功输出示例：

4403216844180

4403216851604

注意：为MAC OS 13+（安全客户端版本5.1.X.XXX及更高版本）添加其他脚本，为MAC OS 13之前的版本（安全客户端5.0.x）添加脚本

适用于SWG设备设置的EFT API

对单台计算机使用卷曲：

curl --location 'https://api.umbrella.com/deployments/v2/deviceSettings/SWGEnabled/set' \--header 'Content-Type: application/json' \--header 'Accept: application/json' \--header 'Authorization: Bearer ' \--data '{    "value": "0",    "originIds": [ 123456789 ]}'

使用具有多个计算机的文件：

curl --location 'https://api.umbrella.com/deployments/v2/deviceSettings/SWGEnabled/set' \--header 'Content-Type: application/json' \--header 'Accept: application/json' \--header 'Authorization: Bearer ' \--data 'your-path/swg-stat.json'

有关更多信息，请参阅此处提供的我们的官方开发人员文档。