行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
行为管理AC13.0.62&12.0.62
{{sendMatomoQuery("行为管理AC","802.1X入网控制")}}

802.1X入网控制

更新时间:2023-06-05

802.1x认证主要用于内网强管控场景,该场景的需求是:在没有认证之前不能访问内网(包括二层网络也不能接入),也不能经过二层交换机。优点是做到严格的入网控制,如果入网未通过认证,则二层网络也无法正常接入。达到杜绝非法用户和非法终端接入网络的效果。

开启802.1X逃生功能:启用该功能需要同时在交换机上开启逃生VLAN功能。

若启用该功能,AC会把逃生以后的用户划分到逃生VLAN

若该功能未启用且交换机上配置了且逃生VLAN,当AC宕机、长时间断开连接、终端用户会自动进入逃生VLAN,确保正常的网络接入。

请确认已在交换机上配置好逃生功能,交换机未配置逃生功能时开启802.1x逃生功能将导致终端无法接入网络。

基础设置

该配置设置AC作为Radius服务器使用的认证和计费端口,认证端口默认为1812,服务器密钥需与交换机上配置的密钥一致,计费端口默认1813

准入客户端下载

更新准入客户端功能配置后请先点击提交再进行下载,客户端的安装包方式有两种:MSI安装包、EXE安装包。MSI安装包中内置AD域透明安装准入配置方法文档)

1.MSI安装的准入客户端无法防止卸载,通常用于结合域控推送。

2.EXE包用于准入客户端防卸载,需要结合[接入关联/准入客户端配置]中的<设置准入客户端卸载密码>使用。

认证方式

账号密码认证

可选本地用户和AD域账号。本地用户的用户来源为本地,需要在用户管理中新建本地用户。用户来源为AD域,AC设备本身需要加入域,客户端提交用户名密码后,由ACAD域校验,AD域返回校验结果后再由AC根据结果通知交换机是否允许接入。

外部证书认证

用于企业已有CA证书中心且向用户签发了受信任的个人证书的情景下,AC结合企业的CA证书,在接入交换机上开启802.1X认证,入网终端在准入客户端上选择证书认证,然后导入企业签发的个人证书完成认证。

AD域单点登录

适用于与企业现有的AD域进行无缝对接,当用户成功登录AD域后,自动通过AC与交换机的802.1X认证,不需要再次输入账号密码认证。

开启802.1X认证前重定向提醒

DNS重定向:配置DNS重定向功能来实现802.1X的认证前重定向功能,用于认证前推送准入客户端和自注册等功能。

服务器IP地址:用于DNS重定向的服务器IP地址必须与ACDMZ管理口地址同网段,且不能复用管理口的IP地址。配置该IP后会映射在设备的DMZ接口,即路由/网桥模式部署时,若需使用此功能必须保证DMZ口接入内网业务网络中。

TTL(秒):默认为30秒,范围:1-86400秒。

提醒页面设置:用于设置提醒用户安装准入客户端页面。

认证后处理

认证后处理用来设置用户通过认证之后的用户组。

  1. 选择非本地/域用户使用该组上线认证,在本地组结构中的用户,以本地组上线,非本地/非域用户才会以指定的组上线。
  2. 自动录入用户到本地组织结构,其中属性值可选:允许多人同时使用、仅允许一个人使用。
  3. 自动录入用户名MAC绑定并限制登录,详细配置参考用户绑定管理章节。当用户换了新终端需要审批请勾选用户使用新终端登录需审批。
  4. 用户限制登录可选:仅允许以下用户登录,不允许以下用户登录、新增自定义用户匹配列表。

高级选项

启用强制注销用户功能:用于在AC上强制注销802.1X用户,启用该功能需要在交换机上配置RADIUS CoA/DM功能。(CoA报文用于在用户不下线的情况动态改变入网用户属性,DM报文用于中断用户连接。)