行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
行为管理AC13.0.62&12.0.62
{{sendMatomoQuery("行为管理AC","配置步骤")}}

配置步骤

更新时间:2023-06-05

第一步:以旁路模式部署深信服AC设备。

步骤1.在导航菜单栏进入到[系统管理/网络配置/部署模式]栏,选择旁路部署模式开始配置。

步骤2.选择管理接口并配置对应的IP地址、GW以及DNS信息,管理IP需要能够与安装准入客户端的PC通信。

步骤3.配置镜像口、监控网段以及服务器地址。当用户内网存在多份镜像流量需要AC审计时,可以在AC上配置多个镜像口用于接收不同源的镜像流量。

步骤4.确认配置无误后,点击完成重启设备。

第二步:配置交换机镜像流量。(本次以H3C交换机配置示例)。

                            <Sysname> system-view

                            #进入配置模式

[Sysname] mirroring-group 1 local 

#创建名为“1”的本地镜像组

[Sysname] mirroring-group 1 mirroring-port G/0/1-G/0/8  both

#将交换机G0/0/1-G0/0/8口作为镜像源端口添加到镜像组“1”中,源端口可                                          以按照用户实际情况来选择。必须将源端口的inboundoutbound双向流量                                          均镜像给AC设备,示例命令中的both参数即表示镜像源端口的双向流量。

              [Sysname] mirroring-group 1 monitor-port G0/0/9    

#定义镜像流量的目的端口为G0/0/9口。

通过上述示例命令,将交换机G0/0/1-G0/0/8的双向流量均镜像到交换机的G0/0/9口,此时在交换机的G0/0/9口即可监听到G0/0/1-G0/0/8口所有的会话,最后将交换机的G0/0/9口与AC的镜像口连通。

1.源端口的总流量大小不能超过目的端口的带宽大小,否则会丢失部分数据包,造成审计不完整的现象。同理,从交换机镜像到AC设备的镜像流量大小不能超过AC设备镜像口的带宽。

2.源端口必须镜像双向的流量,即inboundoutbound的流量,否则无法正常审计。

3.需要审计的业务的流量必须镜像到AC,否则无法审计。

第三步:推送并安装准入客户端。

 可以通过AD域策略推送准入助手,也可以借助用户内部第三方桌管平台推送安装。或者重定向到准入助手的下载界面,让用户自行下载安装。

                           

客户端审计需要借助准入助手来实现,与802.1x认证的准入助手为同一个软件。在不开启准入功能时,准入助手安装后默认隐藏。

第四步:配置审计策略

步骤1.配置SSL解密策略,因为涉及到审计邮件外发以及审计网盘上传等场景,需要先配置好SSL解密策略。

步骤2.在导航菜单栏的[行为管理/访问权限策略]栏,点击<新增>添加SSL解密策略。

在配置页面[界面方式]选择客户端代理解密,降低解密对设备性能的损耗。

步骤3.勾选[加密WEB应用内容识别]以及[加密邮件内容识别],仅识别使用25465995143993587端口的SMTP加密邮件内容。

步骤4.配置互联网审计策略,为了能够审计网页版的邮箱外发以及网盘上传,在[行为管理/行为审计/互联网审计策略]中点击<新增>按钮,添加相应的互联网审计策略。

步骤5.勾选[应用审计],在右侧的配置栏中点击<添加>按钮,勾选Web邮箱、网盘、HTTP外发与下载等审计对象,在配置好适用对象后点击<提交>即可。

步骤6.配置客户端应用审计策略

[行为审计/客户端审计策略]栏中点击<新增>按钮,选择客户端审计策略。勾选[客户端应用审计]策略,并在右侧的配置栏中勾选邮件客户端等审计对象,在配置栏底端的[离线审计]选择启用,最后配置好适用对象后点击提交即可。

步骤7.配置U盘审计策略

[行为审计/客户端审计策略]栏中点击<新增>按钮,选择客户端审计策略。勾选[外接设备审计]策略后,在配置栏勾选[移动存储介质]选项,如果需要可以勾选[离线终端审计]功能。在配置好适用对象后点击提交保存即可。