在macOS上啟用或禁用AnyConnect SWG代理和漫遊安全模組

簡介

本文檔介紹如何在macOS上啟用或禁用AnyConnect SWG代理和漫遊安全模組。

問題

在將AnyConnect 4.8.x與Umbrella漫遊安全模組一起安裝後，使用Umbrella SIG Essentials、SIG外掛或ELA（包括SIG）的客戶開始將DNS流量和網路流量轉發到Umbrella漫遊安全模組和SWG，但沒有禁用這些行為的明確方法。

AnyConnect 4.8 MR1是第一個從終端支援Umbrella SWG的版本，但與SWG代理自身安裝二進位制檔案不同，它被捆綁到安裝Umbrella漫遊安全代理的二進位制檔案。  目前，可以從傘狀控制面板控制SWG代理，但這是一個影響所有終端安裝的全域性設定。現在，可以在儀表板中完成SWG選擇性同步，一次為100。

解決方案

因為macOS不能本地控制漫遊安全模組和SWG代理的狀態，所以必須使用指令碼方法管理此狀態。Cisco Umbrella團隊開發了幾個指令碼來禁用SWG代理，一個指令碼用於啟用SWG代理、禁用漫遊安全模組以及啟用漫遊安全模組，這將使狀態具有永續性。 

指令碼必須作為root使用者執行，但是不需要重新啟動。升級或重新安裝AnyConnect將重新啟用漫遊安全模組和SWG代理，並且必須再次執行指令碼。可以在本文的底部找到指令碼。

檢查AnyConnect RSM代理的狀態

 要確保AnyConnect RSM代理的狀態正確無誤，請執行以下操作：

1. 開啟Cisco AnyConnect安全移動客戶端
2. 點選統計資訊360054989191
3. 向下滾動到「DNS Protection Status」 
   4403216788116

4403216786708

附註：禁用Umbrella漫遊安全模組時，也會禁用SWG代理，因為SWG代理依賴於Umbrella漫遊安全模組。

檢查AnyConnect SWG代理的狀態

 要確保AnyConnect SWG代理的狀態正確無誤，請執行以下操作：

1. 開啟Cisco AnyConnect安全移動客戶端
2. 點選統計資訊360054989191
3. 向下滾動到「Web Protection Status」 
   360054865132360054865112

指令碼用法

 要在macOS中運行指令碼，請執行以下操作： 

1.確保指令碼具有足夠的許可權，特別是寫許可權。

使用以下命令示例，可以從MAC終端編輯指令碼許可權：

chmod 777 umbrella_swg_disable.sh    

2.要運行指令碼，可以使用示例命令：

sudo ./umbrella_swg_disable.sh

成功輸出示例：

4403216844180

4403216851604

附註：為Secure Client 5.1.X.XXX版及更高版本的MAC OS 13+新增其他指令碼，為Secure Client 5.0.x版13以前版本的macOS新增指令碼

適用於SWG的EFT裝置設定API

對單個電腦使用捲曲：

curl --location 'https://api.umbrella.com/deployments/v2/deviceSettings/SWGEnabled/set' \--header 'Content-Type: application/json' \--header 'Accept: application/json' \--header 'Authorization: Bearer ' \--data '{    "value": "0",    "originIds": [ 123456789 ]}'

使用包含多台電腦的檔案：

curl --location 'https://api.umbrella.com/deployments/v2/deviceSettings/SWGEnabled/set' \--header 'Content-Type: application/json' \--header 'Accept: application/json' \--header 'Authorization: Bearer ' \--data 'your-path/swg-stat.json'

有關詳細資訊，請參閱此處提供的我們的官方開發人員文檔。