深信服自助服务平台

行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控，智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险，实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。

搜本产品

点击可切换产品版本

知道了

不再提醒

行为管理AC13.0.80&12.0.80

{{item.code}}

最新动态

产品手册

上网行为审计系统AC

产品概述

安装部署

安装前准备

部署模式

配置指南

增值服务导航

全网监控

首页

全网终端监控

入网用户管理

上网代理

ICAP服务器组

接入管理

用户管理

用户自动同步

用户认证自注册

审批列表

接入认证

Portal认证

联动对接设置

认证高级选项

接入认证AD域典型案例

终端检查

检查规则

准入客户端配置

行为管理

访问权限策略

高级选项

流量管理

用户限额策略

链路负载

行为审计

互联网审计策略

客户端审计策略

高级选项

终端行为安全

终端防私接

终端防翻墙

终端上网安全

安全能力

安全状态

系统管理

对象定义

网络配置

路由

高级配置

VPN配置

通用设置

证书管理

高级设置

防火墙

系统配置

告警选项

系统诊断

重启操作

日志分析平台

日志中心

未关机检测分析

办公上网态势分析

数据分析

运维管理

日常巡检

设备安全检查

设备健康检查

设备配置和密码恢复

补丁更新指导

辅助工具使用

常见问题排查

故障监控中心

突发事件应急处理

全网行为管理AC

产品概述

安装部署

安装前准备

部署模式

配置指南

增值服务导航

全网监控

首页

全网终端监控

入网用户管理

上网代理

ICAP服务器组

接入管理

用户管理

接入认证

终端检查

准入客户端配置

行为管理

访问权限策略

高级选项

流量管理

用户限额策略

链路负载

行为审计

互联网审计策略

客户端审计策略

业务审计策略

业务审计配置案例

高级选项

终端行为安全

终端防私接

终端防翻墙

终端上网安全

终端管理配置案例

系统管理

对象定义

网络配置

VPN配置

防火墙

系统配置

系统诊断

日志分析平台

日志中心

未关机检测分析

办公上网态势分析

运维管理

日常巡检

设备安全检查

设备健康检查

设备配置和密码恢复

补丁更新指导

辅助工具使用

上网故障排除

常见问题排查

故障监控中心

突发事件应急处理

缩略语

产品升级

版本概述

升级说明

页面变化

配置联调

功能简介

配置示例

防共享场景

移动终端管理场景

常见场景识别结果

注意事项

深信服_AC13.0.80__SAML2.0_配置指导

功能简介

配置指导

AC认证策略配置

深信服_AC13.0.80_打印机审计_配置指导

功能简介

配置示例

深信服_AC13.0.80_端口管控规则_配置指导

功能简介

配置示例

注意事项

深信服_AC13.0.80_华为Agile Controller单点登录_配置指导

功能简介

配置示例

注意事项

深信服_AC13.0.80_软件检查规则_配置指导

功能简介

配置示例

软件分发场景

检测违规软件场景

注意事项

深信服_AC13.0.80_双因素认证-动态码_配置指导

功能简介

配置示例

注意事项

深信服_AC13.0.80_外发截屏审计_配置指导

功能简介

配置示例

注意事项

深信服_AC13.0.80_应用联网管控规则_配置指导

功能简介

配置示例

禁止指定应用联网

仅允许指定应用联网

注意事项

深信服_AC13.0.80_桌面水印管控规则_配置指导

功能简介

配置示例

注意事项

最佳实践

办公出口上网场景

终端准入管控场景

外发审计场景

多分支组网场景

培训赋能

高级设置

更新时间：2023-07-03

高级设置包括内网服务设置、VPN接口设置、组播服务、LDAP服务器设置和Radius服务器设置。

内网服务设置

深信服设备可以为接入的VPN用户指定相应的访问权限，可以限制分支用户内网的某个IP、某个移动用户只能访问内网的特定计算机的特定服务和与第三方设备互连时设置出入站策略的服务参数。通过适当的权限设置对服务进行访问授权即可实现VPN隧道内的安全管理。

设置“内网服务权限”分为两个步骤：1、创建内网服务；2、为特定的用户指定权限。缺省状况下系统没有对VPN接入用户的访问权限做任何限制，下面例子作为说明。

当实现授权仅允许分支用户branch1的内网IP 172.16.1.200访问总部的FTP服务器192.168.1.20，其它IP发起的访问请求或对其它服务的访问请求全部拒绝，具体操作步骤如下：

步骤1.在[内网服务设置]中点击<新增>出现[设置内网服务]对话框，[服务名称]可自定义一个便于识别的名称，勾选协议类型（本例中FTP服务使用TCP协议），页面如下。

步骤2.点击<新增>出现[IP范围设置]对话框，逐项进行设置，页面如下。

源IP：本例中应设置为分支对端的内网IP 172.16.1.200。

源端口：1-65535。

目的IP：本例中应设置为总部内网的FTP服务器IP 192.168.1.20。

目的端口：FTP的服务端口20-21。

这里的内网服务设置只是一种“定义”，定义好服务之后，需要在[用户管理]里面为用户账号分配内网权限来最终实现“VPN内网权限”的设定。内网服务设置还可应用于[第三方对接]中设置[出站策略]的[本端服务]参数和[入站策略]的[对端服务]参数，具体设置可参考[第三方对接]相关章节。

步骤3.在[用户管理]中选择编辑用户Branch1，点击<内网权限>，页面如下。

步骤4.在内网权限对话框中将设置好的Branch1服务右移到服务列表中，设置为允许，因为本例中仅允许该服务，故将缺省动作设置为[缺省拒绝]，页面如下。

步骤5.完成以上三步设置后，即实现仅允许分支用户branch1的内网IP172.16.1.200访问总部的FTP服务器192.168.1.20，分支Branch1内网的其它IP发起的访问请求都会被拒绝。

：

这样设置完成后，总部其他电脑去访问分支Branch1也一样会访问不到。因为总部其他电脑发起访问分支的请求，分支电脑回应该请求时，因分支电脑发回的数据包里目标IP不是192.168.1.20这台服务器，也会被内网权限给拦掉。

VPN接口设置

VPN接口设置用于设置设备中IPSEC VPN服务的内网接口掩码和VPN虚拟网卡的IP及掩码，如下图。

VPN内网设置：用来设置通告VPN对端设备，本端VPN内网网段掩码。勾选了某个接口掩码，则这个接口所属掩码的网段才会被通告给VPN对端。如果DMZ口下接的网段也需要访问VPN，则也需要勾选DMZ口并且设置子网掩码。

点击<添加>，可以添加当前空闲的内网接口，设置本端VPN内网网段掩码，掩码配置0.0.0.0表示自动和网口的掩码一致。

点击<删除>，选定内网接口，删除该接口。

点击<编辑>，可以对选定内网接口的掩码进行修改。

本机VPN接口设置即设备本身VPN虚拟网卡的地址及掩码，一般情况下，使用默认地址就可以了，若出现IP冲突的提示，则可以选择[指定]并配置任意一个不冲突的IP。

VPN接口是设备的虚拟接口，外观上并不存在对应的真实物理接口。

默认情况下请设置为[使用自动分配的VPN接口IP]，如果出现IP冲突的提示，可改为自定义IP并进行设置。

点击<确定>，提交修改。

如果配置存在错误，提交后则会报错，提示“保存配置信息出错，详情请查看错误信息”。

页面的左上角会显示保存设置错误信息后可以查看错误信息。

点击<查看错误信息>跳转一个新的网页，说明具体的配置错误原因。

组播服务

为满足VOIP和视频会议等应用，深信服VPN网关支持组播服务在隧道间传输。在这里可以定义组播的服务，IP范围是224.0.0.1-239.255.255.255，端口范围是0-65535。

点击<新增>出现组播服务编辑页面，在这里可以设置组播服务所用的组播地址和端口。

点击<新增>，添加主播的IP和端口号，如下图。

定义好以后，点击<确定>保存。

在[用户管理]新建用户时，在[组播服务]里选择刚定义好的组播服务。

LDAP服务器设置

深信服设备的VPN服务支持使用第三方LDAP认证，如需要启用第三方认证，请在[LDAP服务器设置]中正确设置第三方LDAP服务器信息（包括LDAP服务器IP、LDAP服务器端口、LDAP管理员密码），根据需求是否启用SSL和LDAP认证。

设置好LDAP服务器信息后，请点击<高级>，显示[LDAP高级设置]对话框，按照实际需求设置LDAP高级信息，如下图。

Radius服务器设置

深信服设备的VPN服务支持使用第三方Radius认证，如需要启用第三方Radius认证，请在[Radius服务器设置]中正确设置第三方Radius服务器信息（包括Radius服务器IP、Radius服务器端口、Radius认证共享密钥、Radius协议），如下图。