行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
AC11.0
{{sendMatomoQuery("行为管理AC","无线管理配置案例")}}

无线管理配置案例

更新时间:2022-01-24

客户网络环境与需求

用户网络是跨三层的网络环境,购买 AC 设备实现对内网的所有电脑及无线 AP 进行集中管控和认证,通常客户网络中部署的 AP 个数会非常多,下面部署案例中,都只以 2-3 个AP 作为范例表示。图中,AC 设备以网桥模式部署在核心交换机和防火墙之间,核心交换机是内网 PC 的网关,如下图所示:

客户需求:

1、公司一楼属于客户参观区,为方便访客上网,在一楼全部部署无线网络;对外来人员的接入使用开放式无线网络;但通过公司网络上网需要进行二维码认证;接入网络的无线终端不允许访问内网 172.16.0.0/255.255.0.0 网段。

2、公司二楼属于办公区,内部员工有通过无线 AP 接入网络的需求;二楼无线采用企业级无线认证网络,使用 AC 本地用户名进行认证;这部分无线用户上网只允许访问网页,不能访问其他应用。

3、内网通过核心交换机的 DHCP 自动获取 IP。

基本配置思路

1、AC 设备网桥模式部署在核心交换机和出口防火墙之间,环境允许的情况下,将AC的网桥地址配置可用的 IP,用于和内网 AP 通信。

2、AC 和内网是跨三层环境,所以需要在 AC 上添加到内网网段的回包路由。参考章节:3.2.3.3

3、因为无线 AP 需要自动获取 IP,所以内网需要有 DHCP 服务器。在客户网络中核心交换机开启了 DHCP 功能。

4、确认开启了无线管理的序列号,配置页面:『系统配置』→『序列号』。

配置开放式无线网络

需求:公司一楼属于客户参观区,为方便访客上网,在一楼全部部署无线网络;对外来人员的接入使用开放式无线网络;但通过公司网络上网需要进行二维码认证;接入网络的无线终端不允许访问内网 172.16.0.0/255.255.0.0 网段。

因此需要对一楼的接入点新增开放式无线网络:

第一步:在『无线配置』→『接入点管理』页面,将一楼和二楼的无线 AP 分组。

第二步:在『无线配置』→『无线网络』页面,点击新增开放式网络,配置界面如下:

[接入点]:选择一楼的无线接入点分组

[认证方式]:选择二维码审核

[审核人]:选择可以对访客上网进行审核的本地组

[以此组上线]:选择认证后上网匹配本地哪个组的上网权限

认证过程:1、连接到开放式的访客无线网络:Guest。

2、打开浏览器,访问任意网站,系统将把用户的浏览器重定向到认证页面。

3、认证页面中,显示一个二维码。

4、接待人员,打开手机中的二维码应用,扫描访客的二维码,访客即通过审核。需要说明的是,目前很多流行的互联网应用都提供了二维码扫描功能,例如腾讯微信(用此软件的时候需要审核人角色必须能正常访问互联网,因为此软件二维码扫描的时候要访问互联网才能正常使用)。

第三步:设置访问控制策略:接入网络的无线终端不允许访问内网 172.16.0.0/255.255.0.0网段。

IP 组在『对象定义』→『IP 组』中设置。

配置企业级认证无线网络

需求:公司二楼属于办公区,内部员工有通过无线 AP 接入网络的需求;二楼无线采用企业级无线认证网络,使用 AC 本地用户名进行认证;这部分无线用户上网只允许访问网页,不能访问其他应用。

因此需要对二楼的接入点新增企业级认证无线网络:

第一步:在『无线配置』→『接入点管理』页面,将一楼和二楼的无线 AP 分组。

第二步:在『无线配置』→『无线网络』页面,点击新增 WPA/WPA2 企业无线网络,配置界面如下:

[接入点]:选择二楼的无线接入点分组

[认证方式]:选择本地用户

[允许登录]:选择可以登陆的用户组织结构范围。

认证过程:1、连接到无线网络:Sangfor;

2、连接网络时,弹出认证页面,输入用户名密码,点击加入:

3、验证证书,点击接受:

4、认证通过后,即可通过无线网络上网。

第三步:配置上网策略:这部分无线用户上网只允许访问网页,不能访问其他应用。

在『用户与策略管理』→『上网策略』页面,点击新增上网权限策略,页面如下:设置策略只放通访问网站,其他缺省拒绝;适用对象:选择无线网络:Sangfor。。