行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
AC11.2R1
行为管理AC 文档 最新动态 上网AC版本更新动态
{{sendMatomoQuery("行为管理AC","上网AC版本更新动态")}}

上网AC版本更新动态

更新时间:2024-05-09

本页内容主要提供各版本新增和改动功能,查看各版本的发布时间,请参考软件包更新时间,点击查看

AC&SG12.0.80

【新版本功能说明】
1)新增打印审计功能
2)新增Windows文件外发截屏功能
3)新增飞书、阿里邮箱文件外发审计
4)资产识别与防共享优化
5)上网代理优化
6)新增动态码双因素认证
7)新增SAML2.0认证
8)新增华为Agile Controller对接
9)新增IPv4/IPv6双栈认证
10)支持和SaaS-EDR对接
11)准入排障优化(单用户检测和802.1x可视化排障)
12)新增自动备份设备配置到外部邮箱或FTP服务器
13)SAVE杀毒检测新增自定义“扫描文件格式”和“扫描文件大小”

AC&SG12.0.62

质量改版本, 提升 AC 产品品质, 提高产品稳定性,安全性。

1.历史版本关键问题修复,覆盖认证、snmp、准入客户端、授权、上网策略等模块。

2.系统时间支持自动调整夏令时。

3.修复已知安全漏洞。

AC&SG12.0.45

版本概述 新增/优化功能
1、导入新硬件平台;
2、合入已知的安全问题和网上问题;
3、解决历史遗留问题;
4、合入双硬盘,支持双硬盘发货。
AC&SG12.0.45为适配新硬件架构、支持双硬盘的版本。无新增功能,与12.0.44版本的功能保持一致。

AC&SG12.0.44

版本概述 新增/优化功能

精品化版本,优化部分功能, 提升 AC 产品稳定性、安全性。

 

 

 

 

新增登录网关浏览器设置支持的 TLS 版本,默认全选,可选配置 TLS1.0、TLS1.1、TLS1.2。
Radius 认证服务器计费方式,支持接收到注销报文后自动注销用户方式选择, 可选择自动注销用户,或不自动注销用户。
EDR 平台对接,支持配置 IP+端口,默认端口为 443。
移除深信服设备对接-自动协商功能。
移除邮件易部署功能。

其他注意事项

1.行为感知系统使用 BA3.0.15 版本的程序进行数据采集和分析。

2.12.0.44 支持接入BBC 和 X-Central 进行集中管理。

AC&SG12.0.42

新增/优化功能 功能详细介绍

新版本GCS升级功能合入

(1)增加md5校验二维码

(2)51111端口开关配置:默认关闭51111端口。默认不能连接升级客户端,需要在web控制台开启开关

RSA密钥长度升级

1. 自定义证书配置密钥长度升级

2. 增加颁发的证书私钥长度勾选框

巡检工具优化

1. 报告生成加入百分比

2. 优化报告内容

支持网口扩展型号设备 支持动态网口的展示方式
防翻墙功能优化方案合入 增加代理工具防翻墙封堵DNS配置
支持LDAP认证通过SSL的传输方式与AD域进行第三方的认证联动 修改认证服务器配置ldap页面
VPN模块支持LDAPS 修改VPN模块LDAP服务器配置,支持LDAPS
设备内置文档更新

微信帮助文档更新

H3CIMC单点登录配置文件更新

OPENSSL升级至1.0.2t版本

无前端改动
网上问题

1.增加网络配置增加对设备地址/网关地址相同的判断

2.认证中搜索用户支持子组

前端首页加载性能优化

顶部立即显示

左树和首页同步显示

注意事项
1.行为感知系统使用BA3.0.12版本的程序进行数据采集和分析。
2.12.0.42支持接入BBC和X-Central进行集中管理。

AC&SG12.0.41

版本概述/主要特性 新增/优化功能 功能详细介绍
此版本在AC 核心能力-应用识别能力的基础上,突破基于应用的选路,构造基于应用识别的核心技术壁垒,有效的增强了 AC 的核心竞争力。 流量优化 优化了链路负载在功能,在原来 IP、协议、带宽做选路的基础上增加了基于用户、域名、应用、DSCP 的选路功能。
DNS 代理 新增了 DNS 代理功能,将指定的 DNS 请求劫持到指定 DNS 服务器。
授权管理优化 授权接入云图,之后版本可以通过在线授权后离线授权两中形式进行授权。
持续合入安全漏洞问题以及网上问题。  

注意事项:

1.行为感知系统使用BA3.0.12 版本的程序进行数据采集和分析。

2.12.0.41 支持接入BBC 和X-Central 进行集中管理。

AC&SG12.0.40

版本概述/主要特性 新增/优化功能 功能详细介绍

12.0.40版本为精品化版本,着力于解决网上问题。

合入管理员三权分立、双因子认证等,等保 2.0 要求等功能。

系统管理/ 系统配置/ 管理员账号 合入管理员三权分立、双因子认证等, 等保 2.0 要求等功能

注意事项

A.行为感知系统使用BA3.0.12 版本的程序进行数据采集和分析。

B.12.0.40 支持接入BBC 和X-Central 进行集中管理。

AC&SG12.0.27

版本概述/主要特性 新增/优化功能 功能详细介绍

版本主要是在数据中心灵活性上做改进,让数据中心数据易用,为拉动AC销售带来更大机会。
1.数据中心内置应用在使用和展示上,不一定都贴切用户需求,数据中心数据量庞大,需要更灵活方法将数据更有效的使用起来。
2.数据中心本身只能通过发布版本才能对外更新,极大程度上局限了版本灵活性,使得数据中心内置应用不能灵活的及时更新。
3.数据中心作为一个应用展示平台,不仅仅需要内部开发的应用能够使用,外部开发的应用也可以上传到数据中心来进行数据操作。

 

 

 

 

内置行为感知系统-日志导出

1.内置行为感知系统支持进行日志导出功能,内置行为感知系统日志导出界面在日志中心->系统配置->日志导出。
2。日志导出支持配置ftp服务器和syslog服务器配置完成后能够定时向服务器发送数据。

外置行为感知系统-日志导出

1.内置行为感知系统支持进行日志导出功能,内置行为感知系统日志导出界面在日志中心->系统配置->日志导出。
2.日志导出支持配置ftp服务器和syslog服务器配置完成后能够定时向服务器发送数据。

外置行为感知系统-添加自定义APP

1.开发数据查询接口以及表生成接口,客户可以开发说明文档指引进行自定义应用的开发。
2.客户开发完成的自定义应用能够上传行为感知系统,在行为感知系统运行应用。

行为感知系统-在线升级

支持内、外置行为感知系统在线升级,能够整体升级感知系统框架,也可单独升级单个应用

sip对接

与SIP对接,支持SIP下发冻结、解冻策略,AC

对对应用户进行冻结和解冻。

注意事项:

1.行为感知系统使用BA3.0.8版本的程序进行数据采集和分析。
2.12.0.27支持接入BBC和X-Central进行集中管理。

 

AC&SG12.0.26

版本概述/主要特性 新增/优化功能 功能详细介绍

稳定性版本改进

 

 

外部syslog设置-新增发送登录注销日志 勾选【登录注销日志】后,用户登录会往已经配置的syslog服务器发送一条登录的日志,用户注销也会往syslog服务器发送一条注销
日志
僵尸主机检测-添加推送EDR

启用了僵尸主机检测,并且开启推送EDR,设备检测到内网安全域中疑似中了病毒木马的僵尸主机,就会推送EDR重定向页面

注意事项:

需要先开启【终端检测与响应(EDR)】中的推送功能

防内网DoS攻击-添加推送EDR

设备检测到内网DoS攻击流量,
就会对风险PC主机推送EDR重定向页面

注意事项:

需要先开启【终端检测与响应(EDR)】中的推送功能

 序列号-上网安全授权序列号默认不开启试用

新发货场景:
1.上网安全授权序列号默认不开启试用,可以按需开启试用,试用有效期为3个月
升级场景:
1.12.0.14及之前老版本杀毒序列号为无效状态,升级后安全授权序列号为无效状态,可以按需开启试用
2.12.0.14及之前老版本杀毒序列号为已过期状态,升级后安全授权序列号为已过期状态,可以按需开启试用
3.12.0.14及之前老版本杀毒序列号为有效状态,升级后安全授权序列号为有效状态,过期后可以再试用
4.12.0.17至12.0.26老版本试用产生的过期状态,升级后状态变为无效,不可以继续试用
5.12.0.17至12.0.26老版本购买的上网安全授权序列号产生的过期状态,升级后状态仍为过期状态,不可以继续试用
6.12.0.17至12.0.26老版本试用状态,升级后状态仍为试用,试用时间不变

设备升级-限制5年前的设备升级

从12.0.26版本开始,增加限制升级功能。对于使用超过5年的设备,不再允许升级到新发布的版本。具体判断标准为:设备的开始使用时间为序列号激活时间,升级判断的截止日期根据升级包的发布日期来生成。二者相差超过66个月(5年半),则不再允许升级到当前升级包。判断仅针对物理机生效

注意事项:

升级限制仅针对物理设备生效,对vac不生效

认证服务器-OA认证服务器
添加同步组织结构
功能

企业微信、MOA、钉钉这三个平台支持同步组织结构,开启对应功能后,用户通过企业微信、MOA钉钉认证上线,本地会创建与认证服务器上对应的用户组,用户会上线到对应创建的组

注意事项
1.行为感知系统使用BA3.0.7版本的程序进行数据采集和分析。
2.12.0.26支持接入BBC和X-Central进行集中管理。

AC&SG12.0.25

版本概述/主要特性 新增/优化功能 功能详细介绍

1.新增OA帐号和社交帐号认证方式,支持通过钉钉、企业微信、口袋助理、Gmail、Facebook、Line、Twitter的帐号进行OAUTH认证,为客户提供更丰富的认证方式,让终端用户认证更简单。

2.密码认证新增快捷登录方式,支持绑定微信或手机号进行快捷登录,让终端用户认证更简便。

3.新增帐号自注册功能,支持终端用户自行注册帐号,管理员审批的方式进行账号录入,减轻管理员运维工作量。

4.新增用户自管理页面,支持终端用户自行备注和修改个人信息,简化运维工作量。

5.新增会议室二维码认证功能,可单独对会议室中人员上网进行管理。

6.改进用户绑定功能,区分了免认证和限制登录两种绑定目的,支持同时绑定IP和MAC地址。

改进访客二维码认证流程,提供了3种认证流程给管理员选择。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

社交账号认证

1.新增Facebook、Twitter、Line、Gmail账
号Oauth认证对接功能

1.支持Facebook、Twitter、Line、Gmail账号Oauth认证,使用以上第三方账号进行授权认证

OA账号认证

1.新增阿里钉钉,口袋助理,企业微信账号Oauth认证对接功能

1.支持阿里钉钉,口袋助理,企业微信Oauth认证,使用以上第三方账号进行授权认证

第三方认证系统

1.新增自定义的Oauth认证对接功能
2.将CAS服务器归类到第三方认证列表

1.可以根据OAuth认证协议,进行OAuth认证。
2.调整了CAS认证服务器的分类,归类到第三方认证方式下。

会议室二维码

新增会议室二维码认证功能

1.新增了会议室二维码服务器配置,配置需要在认证策略中引用生效
2.此种认证方式下,PC端上网会重定向到认证页面,终端用户在认证页面输入生成的二维码ID即可完成认证上网;移动端则需要连接wifi后扫码预先生成的二维码信息即可完成上网
3.在会议室二维码认证种加入了手机验证开关,手机验证开关功能默认禁用,在启用的情况下下终端用户需要接收短信验证码进行验证通过后才能完成认证

通知设置

1.新增全局短信通知功能

 

1.【系统管理】->【系统配置】->【高级设置】-【通知设置】中可以进行短信网关配置和短信模板内容配置
2.在短信通知配置中“验证码通知”配置用于所有需要发送短信验证码的功能,此配置为全局配置,所有发送短信验证码的功能均使用此模板和短信网关
3.在短信通知配置中“自注册审批”配置用于在账号自注册、终端自注册审批功能
4.在短信通知配置中“新终端审批”配置用于在新终端登录功能

通知设置

2.新增全局邮件通知功能

1.【系统管理】->【系统配置】->【高级设置】-【通知设置】中可以设置发送邮件服务器和邮件内容模板配置
2.在通知内容中“认证验证码通知”配置用于所有需要发送验证码的功能
3.在通知内容中“自注册审批”配置用于在账号自注册、终端自注册审批功能

用户自服务

新增终端注册功能

1.新增终端注册功能,功能配置之后,需要在认
证策略中引用才生效
2.终端注册功能,只能在不需要认证策略中引用

用户自服务

新增账号自注册功能

1.新增账号注册功能,功能配置之后,需要在认证策略中引用才生效
2.账号注册功能,只能在密码认证策略中引用

用户自服务

新增控制台审批功能

1.管理员可以在审批页面中对账号自注册、终端自注册、新终端登录的记录进行审批
2.审批通过表示同意注册行为,相应的记录会录入到设备中
3.拒绝通过则表示不同意注册行为,相应的记录不会录入到系统中。

用户自服务

新增终端用户个人管理
中心功能

1.如果已经在设备在线用户列表中上线的终端,在浏览器中直接输入“HTTP://设备IP/”访问设备web页面根路径,则不需要认证直接跳转到个人中心页面

2.如果没有在设备在线用户列表中上线的终端,在浏览器中直接输入“HTTP://设备IP/”访问设备web页面根路径,则需要先输入密码,认证通过之后才能访问个人中心页面

3.在个人管理中心页面,终端用户可以自己修改当前账号的绑定手机、绑定邮箱、密码等信息

4.在个人管理中心页面,终端用户可以查看到当前账号的终端绑定关系

5.如果设备的【认证高级选项】中开启了“允许用户修改绑定终端信息”开关,则终端用户可以修改当前账号的绑定终端信息

访客二维码

新增一种访客填写信息,担保人扫码进行访客二维码认证功能

 

此认证方式下,终端用户先填写访客信息,然
后在终端上会生成对应二维码,接着担保人扫码此二维码则可以完成认证。

不需要认证

新增通过自注册获取上线用户名功能

1.功能需要先在【用户自服务】->【用户自注册】新增终端自注册配置,然后在不需要认证策略引用配置
2.开启此功能后,不需要认证的终端上网过程中会被重定向到终端自测页面,进行用户名的录入3.在录入的信息未审批通过或者未录入信息的情况下,终端用户不能访问外网,只有录入通过之后才能上网

不允许认证

新增不允许认证返回拒绝页面功能

1.在认证策略中提供功能开关
2.开关默认禁用
3.开启功能的时候,认证策略访问内的终端用户在浏览器中访问外网网站,会被重定向到认证拒绝页面
4.拒绝页面内容可以在【系统管理】->【系统配置】->【终端提示页面定制】中进行修改和配置HTTPS代理的情况下不支持返回页面

不允许认证

新增认证策略范围内允许免认证功能

1.在认证策略的【认证方式】中新增此策略范围内允许免认证开关
2.功能开关默认禁用
开启功能开关则表示当前策略访问内的用户,能使用免认证功能,进行认证上线和上网

系统管理员配置

管理员新增手机号属性
功能

管理员关联了手机号码,可以通过手机号接受
自注册、终端注册、终端绑定的审批通知

在线用户

在线用户列表新增显示用户MAC地址功能

字段默认不显示,可以通过显示列内容的配置
打开

单点登录

新增认证策略范围内容,不允许免认证功能

1.在认证策略的【认证后处理】->【高级选项】中新增此策略范围内不允许免认证开关
2.功能开关默认禁用
3.开启功能开关则表示当前策略访问内的用户,不能使用免认证功能

单点登录

新增认证策略配置对话框中显示已经开启的单点登录功能列表

在打开认证策略的配置框中,会显示已经开启的单点登录方式,之多显示3个,没有开启任何单点登录方式则显示“-”

单点登录

单点登录失败新增跳转到CAS认证页面功能

在单点登录失败中配置跳转SSO服务器则表示单点登录失败的用户会直接跳转到配置的SSO服
务区上进行认证

用户绑定

1.用户绑定记录新增同时绑定IP地址和MAC地址功能
2.用户绑定界面新增获取终端MAC地址功能
3.用户绑定记录绑定目的方式拆分为:免认证、限制登录、免认证且限制

1.绑定目的为免认证则表示匹配到这条记录的终端能够免认证上线
2.绑定目的为限制登录的记录则表示当前的账号只能在IP、MAC的终端上使用,同时该终端也只能使用当前账号进行认证。
3.绑定目的为免认证且限制登录则表示同时具有免认证和限制登录的功能
4.绑定IP地址则表示只要记录中的IP地址与终端IP匹配则绑定记录生效
5.绑定MAC地址则表示只要记录中的MAC地址终端与MAC匹配则绑定记录生效
6.绑定IP地址和绑定MAC地址则表示记录中的MAC地址与终端MAC匹配、同时IP地址与终端IP地址匹配则绑定记录生效
7.自动化获取MAC地址功能,只支持单个IP地址不支持IP地址范围
8.如果终端用户能够同时具有免认证功能和限制登录功能的绑定记录,则免认证功能优先生效

密码认证

新增认证页面找回密码
功能

在认证页面新增找回密码功能,终端用户可以
通过绑定手机、绑定邮箱进行密码重置

密码认证

新增短信快捷登录

1.认证策略新增短信快捷登录开关
2.此功能开关默认禁用
3.开启此功能开关的情况下,终端用户可以使用账号绑定的手机号码,接收短信验证码,然后使用手机号码和验证码完成密码认证
4.使用此认证方式上线后,在线列表中显示的用户名依然是账号名称

密码认证

1.新增绑定手机号认证进行密码认证功能
2.新增绑定邮箱地址进行密码认证功能

1.在终端用户的上网账号有绑定手机、绑定邮箱的情况下,终端用户可以使用“账号+密码”、“手机号+密码”、“邮箱+密码”完成密码认证
2.使用此认证方式上线后,在线列表中显示的用
户名依然是账号名称

密码认证

新增微信快捷登录功能

1.在终端用户的账号存在微信绑定关系的情况下,PC端的终端用户可以直接使用微信扫码二维码,完成密码认证过程;移动端的终端用户,可以直接打开微信完成密码认证过程。
2..在不存在微信绑定关系的情况下,扫码二维码后,会跳转到密码输入框界面,提示没有绑定微信关系,需要先输入用户的账号密码进行微信绑定。
3.使用此认证方式上线后,在线列表中显示的用户名依然是账号名称

密码认证

新增认证策略范围内容,不允许免认证功能

1.在认证策略的【认证后处理】->【高级选项】中新增此策略范围内不允许免认证开关
2.功能开关默认禁用
3.开启功能开关则表示当前策略访问内的用户,不能使用免认证功能

密码认证

新增新终端录入绑定需
要审批功能

1.在认证策略的【认证后处理】->【自动录入绑定关系】中新增“用户使用新终端登录需要审批开关
2.功能开关默认禁用
3.开启功能开关则表示当前策略访问内的用户,使用新终端进行登录的时候需要经过管理员审批,在未审批通过的情况下,新终端部允许上网
4.如果上网终端的信息,在用户绑定关系中不存在绑定记录,则表示该终端为新终端,否则不为新终端

对接CSSP(等保一体机)

支持对接CSSP

深信服设备间单点登录功能支持对接CSSP产品。

注意事项
1.行为感知系统使用BA3.0.6版本的程序进行数据采集和分析。
2.12.0.25支持接入BBC和X-Central进行集中管理。

AC&SG12.0.23

版本概述/主要特性 新增/优化功能 功能详细介绍

 

1.SaaS应用发现与威胁检视

2.SaaS应用控制,能提供客户对SaaS持续管理,能帮助客户分析内部存在的SaaS应用以及威胁情况,客户能针对威胁的等级进行SaaS使用的权限控制。
3.其他易用性改进

 

 

 

 

 

 

 

 

 

 

SaaS应用分析页面 提供SaaS应用分析页面,使IT管理员可以从应用和用户的维度来了解网络中的SaaS应用使用情况
SaaS应用管控

对SaaS应用进行策略管控

针对部分SaaS应用进行精细化管控

SSL证书配置

新增SSL根证书配置界面,客户可以使用自定义根证书

SSL证书分发

将SSL证书页面从认证高级选项移动到策略高级选项

管理员支持外部认证

新增管理员外部认证功能,支持对tacacs+、radiusldap服务器,实现管理员密
码统一维护

用户配额状态

新增用户配额状态显示页面,可以查看用户配额使用情况

DHCP终端识别

新增DHCP终端识别开关,提高移动终端识别的准确性

数据中心支持导出csv格式

 

https杀毒

新增https杀毒开关,支持https下载杀毒

注意事项
1.行为感知系统使用BA3.0.6版本的程序进行数据采集和分析。
2.12.0.23支持接入BBC和X-Central进行集中管理。

AC&SG12.0.22

版本概述/主要特性 新增/优化功能 功能详细介绍
版本合计解决网上问题,合网关类、认证类、数据中心类问题合计71个问题。
1.版本解决2018年6~12月份已经查明原因网上问题,其中解决宕机问题
2个,重大问题14个,以及影响客户业务、重要模块的网上问题,提升产品稳定性和可靠性,拉升产品质量。
2.新增功能用户组排序功能,解决产品用户组没有排序问题。
3.回收界面手动删除日志\恢复出厂配置清空审计日志功能,渠道技术请移步资料库搜索《ACSG_v12.0.22以上版本清理日志操作指导书》
4.Radius认证服务器,编码格式可选GBK和UTF-8
5.短信认证服务器,网关类型为HTTP协议,发送国家码改完可配项
用户组排序 增强易用性,贴合用户的使用习惯

认证服务器->短信认证

新增“发送短信国家码”勾选框

增强产品兼容性

认证服务器->RADIUS服务器

新增“编码”选项,可以选择编码格式为GBK和UTF-8

增强产品兼容性

自动升级

当检测到有可以升级的升级包时,弹窗提示,可以设置升级时间自动升级

简化用户操作步骤

BA

去除恢复出厂设置时删除审计日志选项和日志中心按天删除日志选项

避免用户误操作导致日志丢失

注意事项
1.行为感知系统使用BA3.0.5版本的程序进行数据采集和分析。
2.12.0.22支持接入BBC和X-Central进行集中管理。

AC&SG12.0.18

版本概述/主要特性 新增/优化功能 功能详细介绍

 (—)分支总部统一认证
1.分支的AC设备部署在出口,并且将分支设备的认证托管在总部的认证中心平台,进行统一认证部署,实现用户认证策略、用户组织结构、在线用户信息的统一管理。
2.客户环境中存在BBC设备,在BBC上进行认证托管和策略配置的统一管理和下发,通过BBC平台直接下发认证托管配置到分支设备,实现分支自动接入到认证中心进行认证托管,从而实现统一认证部署。
3.用户通过统一认证部署的解决方案,通过MAC免认证功能实现全网漫游、权随人行。

(二)SSL全解密场景
1.对Https流量进行解密,解密后进行细分控制,审计等行为。

 

 

 

 

 

认证托管系统 提供认证托管配置页面,实现AC设备对接认证中心进行认证托管
SSL揭秘页面 提供HTTPS解密的策略配置页面,支持通过选择应用的方式指定HTTPS揭秘范围
SSL解密排除列表 新增HTTPS解密的排除列表功能,提供相应的配置页面,支持自定义填写排除列表和内置排除列表,进行HTTPS解密功能的域名排除

Radius服务器

新增Radius的计费端口功能,提供相应的配置页面
认证模式深信服设备 新增深信服设备控制器对接功能,提供深信服控制器对接认证中心时的状态展示功能
LDAP开发接口 新增LDAP标准接口功能,提供相应的配置页面
BBC集中管理 BBC支持对接认证中心,获得认证中心的在线用户状态和控制器状态
BBC集中管理 BBC上配置认证托管下发到分支设备,用于分支设备自动对接认证中心

注意事项
1.行为感知系统使用BA3.0.4版本的程序进行数据采集和分析。
2.12.0.18支持接入BBC和X-Central进行集中管理

AC&SG12.0.17

版本概述/主要特性 新增/优化功能 功能详细介绍

主要应用场景

1、通道日常运维场景

随着业务的发展,人数增加,用户行为,外部条件的改变,原有通道配置不合理,造成通道拥挤,业务缓慢。所以需要定期检视流控通道的运行状态。

通过带宽通道可视化模块可以查看线路使用情况,空闲情况,通道吞吐情况,应用使用情况,用户使用情况,通过上述信息可以调整配置,减少不合理的配置,提高带宽利用率。

2.针对中小企业和分支企业的分支出口场景

在出口部署一台AC,需要AC对上网用户做一定的安全检测和防护功能,并对中了僵尸网络的用户能进行及时告警。

针对有很多分支部署,IT管理员需要花费大量时间去建立VPN连接,为了降低企业IT成本,减少分支IT,与BBC结合,实现了AutoVPN,总部管理员仅需明确需要建立VPN连接两端的设备,剩余的配置由BBC自动下发到设备生效,给管理员所画即所得的体验。

 

 

 

流量管理状态页面

1.增强流控通道的可视化,让客户更直观了解带宽通道使用情况,并合理设置流控策略,简化用户运维成本,也更好的节省带
宽资源。
实时状态-首页 首页增加EDR接入状态和上网安全概览,方便可以能及时了解到内网安全信息。
上网安全-安全状
安全状态展示内网网络环境的安全状况,统计内网防DoS,僵尸网络,恶意url和SAVE杀毒的攻击情况。并可以对内网被攻击的用户及时采取推送查杀通知,隔离,删除恶意文件等措施。及时发现和处理内网安全攻击减少客户损失。
上网安全-安全设置 增加网络安全设置,给客户内网环境多道保障。支持云脑查杀,SAVE引擎杀毒等多种扫描方式增加网络安全,内容安全和终端安全全方位的安全检测,为客户打造一个安全的上网环境。

日志中心-安全日志

在日志中心增加上网安全日志查询节点,记录多种攻击的具体信息,方便客户排查和及时采取措施减少攻击。
在管理员操作日志,新增EDR选择查询,方便客户了解操作EDR联动杀毒历史记录
vpn 新增SDWAN智能选路

注意事项

有其他注意事项,需提醒的,整理在此次。

1.行为感知系统使用BA3.0.4版本的程序进行数据采集和分析。

2.12.0.17支持接入BBC进行集中管理。

 

AC&SG12.0.14

版本概述/主要特性 新增/优化功能 功能详细介绍

主要应用场景

1.网络故障监测,通过实时监控设备在客户网络中的网络情况,快速发现内网DOS攻击、流量超过设备限制、网卡丢包异常、网关不通等影响业务网络的异常情况,帮助管理员准确定位问题,快速恢复业务。

2.权限策略故障排查,上网权限策略匹配排查,协助运维人员定位异常策略匹配问题,快速解决问题。

3.用户认证故障排查,当认证失败的情况下,提供了故障检测方法和解决方案

4.高可用性,主备模式支持伴随升级功能,支持BBC、GCS服务器给主备设备下发升级包,一次下发,2台设备连续同时升级成功。升级过程中会进行双机切换来保证业务不中断。

5.修复多个已知缺陷,增强产品稳定性

6.新增智能客服“信服君”,各类产品问题均可在线咨询信服君

7.杀毒引擎全面升级为基于智能算法的恶意文件检测引擎(SAVE引擎),能有效识别勒索、木马等高危文件

8.移动终端识别率提升、解决防共享误判问题

 

 

 

 

 

故障监控中心-网络故障排查

1.新增了网络故障检测模块用于模块配置和检测结果展示
故障监控中心-权限故障排查 1.新增了权限故障检测模块用于模块配置和检测结果展示
故障监控中心-用户认证故障排查 1.新增了用户认证故障检测模块,用于模块配置和检测结果展示
防DOS攻击 1.简化了防DOS的配置方式
深信服终端安全EDR推广配置 新增EDR推广功能,提供页面配置EDR对接
网关杀毒 1.避免新引擎误判,加入了杀毒文件白名单配置功能,支持MD5配置

注意事项
有其他注意事项,需提醒的,整理在此次。
1.行为感知系统使用BA3.0.3版本的程序进行数据采集和分析。
2.12.0.14支持接入BBC进行集中管理。

AC&SG12.0.13

新增/优化功能 功能详细介绍

高可用性

支持旁路高可用

旁路支持主主、主备模式部署

管理员账号

支持登录允许尝试次数可配

 

支持登录允许尝试次数可配,日志中心管理员操作日志会记录对应的失败次数

上网审计

重要操作审计日志

日志中心所有导出都有对应管理员操作日志

上网策略

并发连接数限制支持告警邮件

连接数达到并发连接数限制,可以发送告警邮件给管理员

告警日志

安全事件日志增加告警日志

日志中心网关杀毒、安全事件增加日志级别

审计分析报告

上网行为监控中动作过滤,增加告警筛选项

日志中心所有行为日志动作过滤,增加告警筛选项

SNMP

支持SNMPtarp告警

用于主动给设备告警日志发送给SNMP服务器

管理员日志

数据删除操作日志

系统日志的日志清理中记录数据删除日志

操作日志

升级日志记录

规则库升级有对应升级日志

准入

审计代理安全

支持配置准入卸载需要输入密码

BA

产品卸载安全

支持BA卸载需要输入密码

管理员账号

用户角色

管理员角色配置可以设置页面权限;新增管理员引用角色,自动引用角色中已设置好的权限

双因素认证

邮件验证

支持管理员用户登录需要邮件验证码,此功能必须开启告警功能

日志中心

支持日志按天删除

支持审计日志,按指定保留天数删除

注意事项
有其他注意事项,需提醒的,整理在此次。
行为感知系统使用BA3.0.2版本的程序进行数据采集和分析。
2.12.0.13支持接入BBC进行集中管理。

AC&SG12.0.12

版本概述/主要特性 新增/优化功能 功能详细介绍

整体概述

1.攻坚产品线疑难严重问题 6 个

2.解决影响客户设备卡死、异常重启,高概率宕机问题 3 个

3.合入 30+网上问题

本次的版本更新可以有效的提升产品可靠性和稳定性

主要应用场景一、稳定性提升

1.适用所有 ACSG11.X

使用场景二、IAM 版本升级场景

1.适用所有 IAM11.X 升级场景

 

 

 

 

 

部署模式

界面可配

wan
口需要封堵不该
开放的端口

问题出现条件:
1.wan 口有许多端口默认被打开,客户使用扫描工具扫描出外网端口,存在安全隐患
问题影响范围:
1.WAN 口端口默认关闭,支持页面新增端口放通及拒绝

部署模式

界面可配禁用H323 的功能,要有个开关,某些设备不需要我们支持H323

问题出现条件:
1.PC--ALG--AC--外网防火墙穿越服务器已经对数据包完成了alg 处理,ac 上的H323 驱动做了二次处理,所以有问题

问题影响范围:
1.H323 协议视频无法正常连接

VPN

界面可配

路由部署内网思科路由器IPSEC 中断就建立不起来vpn

问题出现条件:
1.两台思科VPN 设备部署路由模式的AC 两侧通信,且回包的spi 跟去包的spi 不同
问题影响范围:
1.VPN 建立失败

注意事项

有其他注意事项,需提醒的,整理在此次。

行为感知系统使用BA3.0.1版本的程序进行数据采集和分析。

2.12.0.9支持接入BBC进行集中管理。

AC&SG12.0.9

版本概述/主要特性 新增/优化功能 功能详细介绍

1.支持接入BBC进行进行配置下发统一管控

2.支持分支上报分支的基础信息到BBC进行统一展示

 

 

用户绑定个数限制

1.将原来在用户绑定页面的高级设置配置移动到此页面;并给用户绑定页面的高级设置按钮设置链接跳转

2.开放接口

1.提供给第三方使用的接口,具体接口的使用方法见左边截图红框的下载文档链接下载的文档;

3.告警页面

1.新增了序列号告警和关键业务检测告警:

序列号告警:当设备的序列号过期就会触发告警

关键业务检测告警:当配置的IP

或域名AC设备ping不通时就会触发告警

注意事项

有其他注意事项,需提醒的,整理在此次。

1.行为感知系统使用BA3.0.1版本的程序进行数据采集和分析。

2.12.0.9支持接入BBC进行集中管理。

AC&SG12.0.8

版本概述/主要特性 新增/优化功能

目标客户
可针对所有AC新、老客户
主要应用场景

 

 DC升级场景
1.支持网关升级,默认给内置DC升级为内置BA
2.支持外置DC的升级为外置BA稳定性提升
1.适用所有AC11.X使用场景

 

 

 

 

新增:

网关首页右上角直接跳转到【内置行为感知系统】

新增:

内置BA新增【带宽分析、未关机检测分析、泄密追溯分析、离职倾向分析、办公网上网态势分析、工作效率】免费app应用

新增:

在高级配置中新SNAT代理上网高级配置

变更:

内置日志中心改完内置行为感知系统

变更:

外置数据中心取消,用外置行为感知系统代替

注意事项
有其他注意事项,需提醒的,整理在此次。
1.行为感知系统使用BA3.0.1版本的程序进行数据采集和分析。

2.升级后暂时不支持接入老SC集中管理,后续可以通过在当前版本打BBC定制包或者升级到支持BBC的版本接入BBC进行集中管理

AC&SG12.0.6

版本概述/主要特性 新增/优化功能

1. 优化AC/SG首页
2. 优化对接行为感知系统,同时支持更多数据挖掘应用,数据分析商店新增:带宽分析、泄密追踪分析、离职倾向分析、工作效率分析4款免费应用。

 

 

 

设备状态上移

增加并发数状态

工作效率模块优化

新增4款应用

注意事项

外置数据中心使用DC12.0.6版本的程序进行日志同步。
行为感知系统使用BA3.0版本的程序进行数据采集。
如果需要加入SC集中管理,请使用SC5.1版本设备。
SC_Center_Patch_For_ACSG12.0(20170818).SSU

 

AC&SG12.0.5

版本概述/主要特性 新增/优化功能 功能详细介绍

1.解决11.x版本发布后出现的高频次、影响客户业务、重要模块的网上问题共计700多个(去重后300多个),大幅度提升产品质量。
2.新增PC微信客户端审计功能,支持聊天消息审计和溯源,助力企业安全能力建设
3.新增日志存储空间检测功能,满足安全法日志存储要求,助力企业安全能力建设
4.新增准入补丁规则检测功能,及时发现并消除windows的PC上补丁漏洞风险,助力企业安全能力建设
5.新增arp跨三层取mac方案,提升跨三层取MAC性能至秒机响应,在也不担心三层环境下mac无法识别终端mac问题。
6.优化准入模块,大幅度提升准入客户端并发性能和功能的易用性改进

7.优化防共享模块,更高的识别率和更低误判率

新增5种操作系统:win8.1/win10/winserver2012/winserver2012R2/winserver2016 微软新增了好几种操作系统,但准入规则的操作系统规则只有旧的几种,操作系统规则无法对新的操作系统进行管理
支持上传程序和http、https等网络路径 计划任务规则原只支持共享路径,不

具有适用性。新增可以自主上传程序和http/https等网络路径
新增功能:
1)支持上传程序:点击上传文件可以选择可执行程序的上传;同时可以带参数运行


2)同时也支持http和https的网络路径,同时可以带参数运行

新增补丁检测规则 增加终端安全管理
新增静默模式的开头和补丁排除列表 增加重定向页面的开头。开启静默模式相当于关闭重定向页面,不管PC是违规还是未安装客户端都不会弹重定向;关闭静默模式则与原来保持一致。补丁排除列表可以添加排除检测的KB,有PC不会检测该KB是否
安装
准入规则新增自定义提示内容 管理员可自主编辑提示内容,在客户端右下角弹窗提示
准入规则页面增加违规用户和生效用户数显示 使准入规则的使用情况更加可视化,透明化
微信认证获取手机号配置页面 提供微信认证获取手机号配置页面,用于配置获取手机号的KEY

注意事项
1.外置数据中心使用DC12.0.5版本的程序进行日志同步。
行为感知系统使用BA2.0、BA3.0版本的程序进行数据采集。
2.如果需要加入SC集中管理,请使用SC5.1版本设备。
SC_Center_Patch_For_ACSG12.0(20170818).SSU

AC&SG12.0.3R3

版本概述/主要特性 新增/优化功能 功能详细介绍

目标客户

所有AC新老客户

 

主要应用场景

适用于AC的所有上网场景

 

主要价值卖点

修改网上问题,提高版本稳定性

 

 

 

 

新增ARP或DHCP取MAC功能支持

功能开关默认关闭
功能部署需要

新增静默模式支持

新增MSI包界面下载支持

界面支持静默开关,默认关闭

静默模式下,优先保证用户网络能够正常连通,不管用户是否安装准入客户端都可以正常上网,不会有任何提示;

非静默模式下,用户需要安装准入之后才能上网;不安装会有浏览器重定向提示

新增提供配置接口单点登录用户名称,正则表达式过滤

1.使用的时候需要在后台修改配置

(沟通400客服)

变更跨三层取MAC

跨三层支持ARP和DHCP数据包方案

变更准入静默模式

准入支持静默模式,并且支持MSI安装

注意事项
1.外置数据中心使用DC12.0.3R3版本的程序进行日志同步。
行为感知系统使用BA2.0、BA3.0版本的程序进行数据采集。
如果需要加入SC集中管理,请使用SC5.1版本设备。
SC_Center_Patch_For_ACSG12.0(20170818).SSU

 

AC&SG12.0R1

版本概述/主要特性 新增/优化功能 功能详细介绍

统一认证:集中认证、统一管理

数据价值首页展示:行为分析、安全可视适

泄密风险

1.支持对应用与用户合理配置,展示对应应用有多少人使用
2、在外置,有对泄密文件进行分类,并可对泄密文件进行追溯
终端接入 1.显示哪些用户在哪些时间使用共享接入
上网,只显示最近5个
工作效率 1.显示人均怠工总时长
2.根据人均怠工时长显示top3应用(每款
应用下显示top3具体应用)
违规应用 1.显示top5应用,且每个应用下,有多少用户以及哪些用户产生了违规访问
带宽分析app 1、支持按带宽使用率和累计时长作为流量分析结论的评判依据(优或差)
2、支持显示每条线路状态
3、支持对高带宽消耗应用进行分析
部署模式中新增认证模式部署

1.作为统一认证平台的新产品方案推广方式

2.认证模式下只有认证相关功能

对非认证相关功能进行了隐藏,只支持认证的相关功能的配置页面  

新增认证模式配置

 

新增用户接入趋势、用户在线状态、资源状态相关信息汇总展示

 

1.新增cisco和Aruba的协议对接

2.新增IP地址字段获取方式

3.新增外部Raiuds认证开关配置

 

将实时状态单独拿出来作为一个大节点在左树展示

更好迎合大多数客户习惯

支持泄密暴露应用风险,根据人数排行展示前top5应用

 

支持外发泄密数据统计,根据流量排行展示前top5应用

 

支持共享接入,显示最近5个用户使用共享接入上网

 

支持工作效率统计,按照人均怠工时长排序,列出最影响工作效率的应用

 

支持违规访问应用统计,根据人数排序,展示top5违规应用

 

新增带宽分析和泄密追溯分析app

 

注意事项

1.外置数据中心使用DC12.0版本的程序进行日志同步。行为感知系统使用BA2.0、BA3.0版本的程序进行数据采集。

2.如果需要加入SC集中管理,请使用SC5.1版本设备。SC_Center_Patch_For_ACSG12.0(20170818).SSU

AC&SG11.9R1

版本概述/主要特性 新增/优化功能 功能详细介绍

企业互联网出口路由备份场景

证券客户分支总部路由备份场景

数据分析商店使用场景

1.支持标准GRE协议。
2.GRE功能只支持路由模式。

1.在使用GRE建立隧道的时候,需要先保证网络能通;

2.在GREoverIPSECVPN的对接场景下,要先保证VPN能够正常对接;
3.VPN的对接支持情况与之前版本保持一致。

1.支持标准OSPF协议。
2.功能只支持路由模式。
3.只支持OSPFv2,即只能是ipv4
下的动态路由,ipv6不支持。
1:调试OSPF日志时,需要注意日志选项开关太多,会导致打印日志太多,影响设备性能,在开启了调试开
关后注意要关闭掉。

新增国家地区对象

1.为本地国际流量管理做识别支撑
虚拟线路支持虚拟线路和物理线路切换  
虚拟线路规则WANIP支持选择区域 1.对本地和国际流量做控制

网络配置/路由

1.将静态路由改名为路由
2.新增OSPF动态路由配置页面

提供动态路由OSPF配置功能

网络配置/GRE隧道

1.网络配置节点中新增GRE配置页面

提供GRE相关配置功能

对象定义/IP地址库

1.方便对流量的本地和国际区域做识别区分

为本地国际流量管理做支撑

流量管理/虚拟线路

1.路由下支持进行物理线路和虚拟线路切换

2.虚拟线路规则WANIP支持选择区域

对国际流量进行控制

数据分析商店

1.网关页面新增数据分析商店入口

2.内置日志中心新增数据分析商店入口

3.外置日志中心新增数据分析商店入口

提供数据分析商店入口

分析商店应用管理页面

提供应用的更新和安装管理功能

网安对接功能 提供网安对接功能

注意事项
1.外置数据中心使用DC11.8R3版本的程序进行日志同步。行为感知系统使用BA2.0版本的程序进行数据采集。
2.如果需要加入SC集中管理,请使用SC5.1版本设备。SC5.1_Center_Patch_For_ACSG11.9(20170317).ssu

AC&SG11.8

版本概述/主要特性 新增/优化功能 功能详细介绍

微信连wifi认证

第三方日志对接

 

 

 

 

 

 

 

 

 

 

 

 

新增微信连wifi认证

1.支持手机终端微信连wifi认证
2.支持PC端微信连wifi认证
新增短信后微信认证 1.手机终端用户短信认证通过后能够自动拉起微信进行微信连wifi认证
新增与控制器对接 1.在三层环境中保证微信连wifi认证效果,需要与第三方控制器对接
2.Portal协议支持CMCC1.0、CMCC2.0、华为
Portal2.0
支持与云端对接 1.支持通过云端更新规则库
2.支持上传模板到云端
支持构造测试日志与网监对接 1.通过日志构造,可以发送测试日志到网监平台方便与网监对接
支持显示用户绑定信息 1.在组用户页面可以直接显示用户绑定的详细信息
支持组用户排序功能 1.可以对组用户进行排序,组用户不再是乱序的
支持直接编辑用户的对应绑定内容 1.组用户页面新增用户绑定编辑框,可以直接编辑用户绑定的内容
支持直接搜索用户绑定内容 1.组用户页面可以直接搜索用户绑定的IP或MAC定位到具体用户
支持直接显示绑定的内容 1.用户绑定页面支持直接显示绑定的内容,而不是绑定对象
支持查看用户绑定错误报告 1.通过报告可以查看认证过程中绑定错误的报告
新增radius服务器 1.支持将AC做为radius服务器,该功能主要是微信认证中与控制器对接使用
微信扫一扫 微信扫一扫功能不再生效,需要使用微信连wifi方案进行替代

其他注意事项:

1.外置数据中心使用DC11.8版本的程序进行日志同步。

2.如果需要加入SC集中管理,请使用SC5.0R2以上版本设备

 

AC&SG11.2

版本概述/主要特性 新增/优化功能

主要合入11.0R2,同时提供Hosts页面配置功能,解决内网域名映射需求。

新增ssl识别根证书自动安装功能,解决客户pc手动导入根证书的问题。

 

用户自己的域名在公网无法进行DNS解析时,可以通过设备做Hosts域名映射。

开启ssl识别上网策略后需要用户浏览器导入设备根证书,可以通过开启安装ssl识别根证书的进行自动安装。

AC&SG11.0R2

版本概述/主要特性 新增/优化功能 功能详细介绍

该版本主要解决了AC11.0发布后的一些问题,加强设备稳定性。改进部分功能扩展,满足客户体验性。

新增支持第三方认证系统(CAS认证服务器)  
支持网监对接需求(IAM除外)  
其它功能
1)告警邮件支持设置非标准端口(可使用加密邮箱发送告警邮件)
2)界面支持黑匣子下载
3)支持多个网口同时抓包
 

 

AC&SG11.0

版本概述/主要特性 新增/优化功能 功能详细介绍

1、AC11.0为AC、10G、IAM三合一产品,在提升性能的同时功能也更强大。
1)完善万兆平台的功能,包括认证功能,DC报表,防共享功能等。
2)优化IAM功能,包括与AD域结合认证,移动终端管控,流控和流量配额等功能
3)AC和IAM的性能提升,可以丰富现有AC的选型表,将用户更加细分,满足更多客户的选型要求。

用户认证改进

合入部分用户的订制功能,让认证功能更加完善。

全面支持IPv6

认证,流控,审计,报表等均支持IPv6

页面重构,提升易用性

1)调整页面风格,各功能的入口清晰;
2)首页DashBoard直观展示重要报表

数据中心功能增强

1)增加支持终端、位置查询,支持多选用户/应用
2)支持多维统计:可多维度、多角度分析、递进统计、下钻数据,清晰呈现繁复关系。
3)自定义报表:支持任意拖拽,随意组合,随心所欲的发布报表并汇报领导

数据中心性能优化

1)查询性能提升,支持10G流量的查询

支持多浏览器https访问

解决了数据中心只能IE访问的烦恼,兼容多浏览器

注意:

AC6.1及以下版本,文档资料已暂停运维,部分资料可能不全,建议升级到AC最新版本~