行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
行为管理AC13.0.80&12.0.80
{{sendMatomoQuery("行为管理AC","配置步骤")}}

配置步骤

更新时间:2023-07-03

步骤1.配置802.1X认证。

进入[接入管理/接入认证/802.1x接入认证],勾选启用按钮开始配置。在[认证方式]启用本地密码认证。

步骤2.选择本地密码后,在[接入管理/用户管理/本地组/用户]栏添加本地用户。

步骤3.接入交换机802.1x配置

对应交换机启用802.1x功能,认证服务器选择radiusradius服务器指向AC,交换机配置请参考《交换机802.1x配置工具V2.0》 。链接地址:https://bbs.sangfor.com.cn路径:自助服务/常用工具/交换机802.1x配置工具。

步骤4.通过SNMP获取终端MAC地址。配置SNMP服务器,需要交换机开启相关服务,在[接入管理/联动对接设置/跨三层取MAC],启用跨三层取MAC识别。

步骤5.认证助手配置,在[接入管理/准入客户端配置]中勾选[开启准入认证客户端的802.1X功能]并设置准入客户端网关地址。

步骤6.点击[点击下载准入MSI安装包]下载准入插件安装包,或者通过终端PC访问互联网AC重定向准入客户端的安装页面来进行下载,也可手动访问(http://ACIP/sinstall/sinstall.htm)。

步骤7.下载解压之后以管理员权限安装singress.msi,注意勾选开启准入认证客户端802.1x功能才会生成快捷方式。

步骤3.安装完成之后会在桌面生成快捷方式。

步骤8.用认证助手时注意右上角选择正确的网卡。

步骤9.配置杀软检查。

在导航菜单中的[接入管理/终端检查/检查规则/终端插件检查规则],然后点击<新增>,然后选择查杀软件规则。

步骤10.在杀软检查规则中填入规则名称、规则类型、规则描述,勾选EDR终端防护,同时设置检测病毒库未更新的天数为30天,超过30天病毒库未更新则认为是违规。

步骤11.[接入管理/终端检查/检查策略]中新建终端检查策略,引用步骤11中创建的规则,同时选择适用用户。

 

步骤12.配置非法外联检查。

在导航菜单中的[接入管理/终端检查/检查规则/终端插件检查规则],然后点击<新增>外设插件检查规则。填写好规则名称,规则类型、规则描述,并在[检查项配置]勾选<连接外网>。在违规设置处设置[违规处理]为断网。

步骤13.新增检查策略,引用步骤13的规则类型,选择适用对象为研发部门。

 

步骤14.配置U盘管控。

在导航菜单中[接入管理/终端检查/检查规则/终端插件检查规则],设置规则名称和规则类型,勾选需要禁止使用的外设类型为存储设备。然后在检查策略中关联适用对象。

步骤15.配置分时上网。

在导航菜单中的[行为管理/高级选项/分时访问设置],勾选<启用分时访问>,再选择<web分时访问>

步骤16.[拥有分时访问权限的用户],选择相应用户。并在[网络划分]中点击<新增>自定义服务器区网络。提交生效。

     

步骤17.在导航菜单中的[行为管理/访问权限策略]查看自动生成的3条访问权限策略。