行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
上网AC12.0.47
{{sendMatomoQuery("行为管理AC","配置步骤")}}

配置步骤

更新时间:2022-07-15

为了获取员工AD域身份信息,需要先在AC的[接入管理/接入认证/Portal认证/认证服务器]栏对接公司的AD域服务器。

在认证服务器点击<新增>按钮,选择[LDAP服务器]对接公司的AD域服务器。在对接时需确认公司的AD域服务器是否开启了加密传输,如果有请勾选[加密选项]并导入相关证书,最后再测试有效性。(本示例中域名为damian.com,请参考修改相关信息)。

在AC的[接入管理/接入认证/Portal认证/认证策略]栏点击<新增>按钮,配置portal认证策略。

在认证策略点击<新增>按钮,在弹出的[认证策略]框中填写策略名,在[认证范围]的适用范围填写内网用户网段,在[认证方式]中选择“密码认证”并在认证服务器栏内勾选对接好的公司AD域。最后点击<提交>即可。

配置流控策略,限制市场部P2P下载流量,在AC的[流量管理/虚拟线路配置]页面点击<新增>按钮,配置一条与公司出口线路带宽一致的虚拟线,用于对应出口线路。

虚拟网线配置在网桥模式才会默认显示这个节点,路由模式要开启虚拟线路模式才显示。

在AC的[流量管理/流控策略]页面点击<新增通道/新增一级通道>按钮,添加一条流量一级通道。在[新增一级通道]的配置界面填写好[通道名称],在[带宽通道设置]栏中的[生效线路]栏选择前文新建的对应出口线路的虚拟线路名,勾选[限制通道]并按照公司要求填写相应的带宽值,因为是限制P2P下载的流量最后需要勾选[抑制P2P下载丢包]。

在[新增一级通道]的配置界面选择[通道使用范围]栏。在[适用应用]栏选择自定义再勾选所有的P2P应用,在[适用对象]栏选择自定义勾选好市场部人员。最后点击<确定>提交策略。

在AC的[流量管理/流控策略]页面点击<新增通道/新增一级通道>按钮,添加一条流量一级通道。在[新增一级通道]的配置界面填写好[通道名称],在[带宽通道设置]栏中的[生效线路]选择对应出口线路的虚拟线路名,勾选[保证通道]并按照公司要求填写相应的带宽值。

在[新增一级通道]的配置界面选择[通道使用范围]栏。在[适用应用]栏选择自定义再勾选邮件和网上银行应用,在[适用对象]选择自定义勾选好财务部部人员。最后点击<确定>提交策略即可。

配置访问权限策略和SSL解密策略。在AC的[行为管理/访问权限策略]页面点击<新增/访问权限策略>按钮,添加一条访问权限策略。在[访问权限策略]的配置界面填写好[策略名称],勾选[策略设置]栏的[应用控制],点击<应用控制>界面的<新增>按钮,在弹出的[选择适用应用]界面勾选微博以及论坛的全部内容。

然后点击[适用对象]栏勾选所有用户,最后点击右下角的<提交>保存。

在AC的[行为管理/访问权限策略]页面点击<新增/SSL解密策略>按钮,添加一条SSL策略。

在[SSL解密策略]的配置界面填写好策略名称,在解密方式栏依据用户的实际环境选择中间人机密或者客户端代理解密。

为了防止员工使用Web邮箱外发机密文件,需要勾选[加密WEB应用内容识别],然后再勾选[加密邮件内容识别]功能。

最后点击[适用对象]栏勾选所有用户。配置完成后点击右下角的<提交>保存。

证书无效浏览器告警的话需要在浏览器导入根证书。通常使用场景是通过域统一推送。