首页帮助文档软件下载故障处理按场景找工具工具全景图兼容性查询在线实验平台服务信息查询产品安全中心订单验收材料下载

行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
行为管理AC13.0.80&12.0.80
行为管理AC 文档 产品手册 全网行为管理AC 配置指南 系统管理 系统配置 高级配置
{{sendMatomoQuery("行为管理AC","高级配置")}}

高级配置

更新时间:2023-07-03

高级配置用于设置设备的一些其它系统配置,包括WebUI选项、代理服务器设置、远程维护、外部Syslog设置、加入集中管理设置、设备名称设置、证书生成、使用重定向和代理高级配置、SNMP设置、Radius认证服务器、DNS服务、开放接口、其他配置选项和SNAT代理上网高级配置。

WebUI选项

WebUI选项可以设置设备界面的一些常用的配置。包括默认编码、全局流速单位、流速单位进制、HTTPS登录端口、控制超时、控制台SSL证书颁发给、点击下载证书、控制台使用自定义SSL证书,配置界面如下所示。

默认编码:可以设置当监控到的数据编码,默认编码是GBKBIG5

全局流速单位:可以设置监控到的网络流量的计量单位。

流速单位进制:可以设置流速单位的转换进制,有1000进制和1024进制。

HTTPS登录端口:可以设置登录控制台的端口,默认是TCP 443端口。

控制超时:可以设置控制台超时的时间,在设定时间内控制台无操作,系统会自动断开连接,设备最大超时时间为10分钟。

登录允许尝试次数:登录设备控制台输入账号密码错误,(尝试次数范围1-90次)。

控制台SSL证书颁发给:设置的是登录控制台界面的SSL证书颁发给指定的IP或域名。

点击下载证书:下载的是控制台界面的SSL证书,电脑安装好该证书,就可以去除登录控制台界面时的SSL证书告警。

控制台使用自定义SSL证书:可以启用并上传自定义SSL证书,去除登录控制台界面时的SSL证书告警。适用于企业内部已经存在CA证书中心,管理员电脑已安装CA的根证书,AC设备创建证书请求,由CA证书中心为AC颁发服务器证书,最后将颁发的服务器证书(包含公钥和私钥)上传至AC

点击<提交>,保存配置生效。

代理服务器设置

当用户需要通过代理的方式上网时,用户所有的数据都会发往代理服务器,而防火墙模块是通过检查目的地址和端口是否要拒绝该链接,会使得功能失效。要使得防火墙功能模块有效,需要正确识别代理服务器的数据真实链接的目的地址和端口,给防火墙功能模块提供地址和端口。

代理服务器设置设备默认情况下会对所有的代理数据进行检测,如果需要对固定的某台代理服务器数据进行检测,则在代理服务器设置中进行设置,在输入框内填入代理服务器IP地址或IP地址范围。

如果列表为空,则对发往任何地址的数据都会进行代理数据的识别,这样影响设备处理效率,建议在地址列表中填入代理服务器的IP地址。

需要保障设备能联网。

远程维护

远程维护用于设置是否允许从外网口远程登录设备,以及自动上报未识别URL、系统错误、未知应用信息和技术支持协助。其中包括升级维护、SSH维护、启用远程维护、启用未识别URL自动上传、启用系统错误自动报告、启用未知应用信息自动上报等。

升级维护:当设备需要进行升级的时候勾选,分别为:启用LAN/DMZ口访问和启用WAN口访问。启用WAN口时,默认24小时后关闭。

SSH维护:当设备需要进行SSH维护时勾选,分别为:启用LAN/DMZ口访问和启用WAN口访问。启用WAN口时,默认24小时后关闭。

启用远程维护:用于设置是否允许从外网口远程登录设备,可设置启用24小时和长期启用。

启用未识别URL自动上传:启用后会将无法通过URL内置库识别的URL自动报告给深信服,用于丰富URL内置库,提供更好的服务,该功能不会泄露公司的使用信息。

启用系统错误自动报告:启用后会将系统错误信息自动报告给深信服,便于提供更好的服务,该功能不会泄露公司的使用信息。

启用未知应用信息自动上传:启用后会将未识别的应用自动报告给,便于提供更好的服务,该功能不会泄露公司的使用信息。

启用升级客户端,点击启用后才能通过升级客户端连接设备,不启用此功能设备无法连接升级客户端,该功能结合升级维护使用。

点击<下载黑匣子>选择下载最近1~30天的黑匣子。

点击<提交>保存配置才会生效。

1.正常使用不需要进行调试和排障和升级设备,不建议启用WAN口访问功能,会导致设备存在风险。

2.当需要升级设备时,需要根据实际情况开启升级维护和启用升级客户端,设备才能连接到升级客户端进行升级操作。

外部Syslog设置

外部Syslog设置用于将设备上的系统运行日志、邮件告警日志和管理员操作日志同步到Syslog服务器上。必须要启用外部syslog服务器,此功能才生效。

Syslog服务器IP地址:用于设置Syslog服务器的IP地址。

系统运行日志:可以设置将调试日志、信息日志、告警日志、错误日志等同步到Syslog服务器上。

邮件告警日志:当勾选邮件告警日志会将该日志同步到syslog服务器上,配置的邮件地址确保能正常收发邮件,详情配置请参考告警选项章节。

管理员操作日志:设备会将管理员操作日志同步到syslog服务器上

登录注销日志:设备会将登录注销日志同步到syslog服务器上。

加入集中管理设置

加入集中管理用于设置AC设备是否加入集中管理进行受控,加入后管理员可以对该设备下发策略,并且受控端的权限也可以由中心端下发。设备支持加入BBC集中管控或X-Central(云图)集中管控。

接入BBC配置:

解除集中管理:用于加入集中管理后,输入密码进行解控。该密码由中心端管理员掌控。此处选项为灰色说明未连入中心端。

中心端接入地址:用于设置连接集中管理的设备。该地址由中心端管理员掌控。

点击<测试有效性>,检测IP和端口号是否可以通。

接入设备名称:填写接入集中管理中心端的用户名。

<同步修改本地设备名称>:本地受控制端的设备名称将同步终端里面设置的设备名称。

接入密码:填写接入集中管理中心端的密码。

接入X-Central配置:

企业ID:填写X-Central的企业ID

接入设备名称:填写接入集中管理中心端的用户名。

勾选<同步修改本地设备名>本地受控端的设备名称将同步终端里面设置的设备名称。

接入密码:填写接入集中管理中心端的密码。

在接入集中管理时,中心端下发的配置,在受控端不能编辑和删除。

设备名称:用于设置设备的名称,当有多台设备加入中心端时,可以通过设备名称区分受控端设备,或者当有多台设备使用同一账号同步数据到外置数据中心时,用于区分同步数据的设备。

如果原先未设置设备名称,加入集中管理后,自动将集中管理帐户作为设备名称。

证书生成

证书生成是加入集中管理中心端的时候使用。

使用重定向和代理高级配置

当设备是网桥模式部署时才会有此功能,启用模式部署不会出现此功能。

当网桥IP和终端不能通信的情况下,设备WEB认证、准入、代理检测等重定向功能需要与内网电脑通信,默认可以通过虚拟IP支持。

重定向和代理高级配置的设置包括重定向、代理、虚拟地址。

  1. 重定向:包括认证重定向,拒绝重定向等。

勾选启用强制根据目的地址路由,选择重定向包发送网口。开启后设备发出的重定向包会查询路由规则选择出口,系统默认是按照WIWO(哪个口进哪个口出)方式发送重定向包。

  1. 代理:包括邮件代理和SSL代理等。

勾选启用强制根据目的地址路由:选择代理数据发送网口。开启后设备发出的代理数据包会查询路由规则选择出口,系统默认是按照WIWO(哪个口进哪个口出)方式发送代理数据包。

关闭地址还原:在开启强制根据目的地址路由,选择代理数据发送网口后,关闭地址还原功能。网桥模式下的代理地址还原功能默认开启,路由模式不支持地址还原功能。

  1. 虚拟地址:可配置虚拟IPV4地址和虚拟IPv6地址。是指客户端重定向后的IP地址是一个虚拟IP地址。

SNMP设置

SNMP设置是开启设备的SNMP功能,如下图所示。

启用SNMP v1/v2:开启SNMP V1/V2版本,设置团体名。 SNMP客户端可根据设置的团体名查看设备的运行情况。

启用SNMP v3:开启SNMP V3版本。设置USM用户名。

启用身份认证:开启和设置身份认证方式,可以选择MD5SHA

启用加密:开启DES加密方式,设置加密密码。

启用Snmp trapSnmp trap告警功能,配置Snmp服务器IP和端口。

必须启用Snmp v1/v2Snmp v3任意一种,无法单独使用。

下载MIB库:点击可下载设备的MIB库,导入到SNMP管理软件中,从而通过管理软件对设备的各个参数进行监控。

等保合规检查配置

基于等级保护基本要求,为了确保设备的安全策略、基线配置符合合规要求。可对接深信服合规自检平台的中心端对AC设备当前配置状态进行自动化检查,解决了人工核查效率低、检出率低等问题,辅助管理人员快速识别问题、快速优化整改,有效满足测评的要求。

启用等保合规检测:启用等保合规检测服务;

设备类型:选择等保合规检测中心端设备类型;

中心端IP:填写等保合规检测中心端设备的IP地址;

中心端端口:填写等保合规检测中心端的端口,与中心端的配置保持一致;

当前设备IP:填写当前设备的IP地址,用于校验。

DNS服务

DNS服务器功能,如果需要使用AC作为DNS服务器,即PCDNS服务器指向本机设备,则需要开启此功能。

SNAT代理上网高级配置

当设备需要进行SNAT代理上网时,选择启用源端口绑定,点击<提交>即可生效。

其他配置选项

管理员可设置VPN接口所属区域、应用识别设置、隐私设置和查看设备的日志。

VPN接口所属区域包括LAN区和WAN区。

LAN区:表示VPNTUN默认属于LAN区域。

WAN区:选择此选项表示经过VPNTUN口的数据都被当成LAN->WAN数据,要求被认证和审计、流控等。

通知设置

通知设置功能支持短信通知服务器和邮件通知服务器。

短信通知服务器

短信通知服务器的主要功能:

验证码通知:短信认证发送短信验证码。

自注册审批:发送审批通过和审批不通过的消息。

新终端审批通知:用户使用新终端登录,将使用该处的短信平台通知管理员审批。

短信通知服务的类型包括中国移动、中国联通、中国电信、HTTP协议、外部服务器短信模块。短信通知服务器管理包括新增和删除服务器,启用和禁用的操作,以及短信通知模板的设置。目前常用HTTPS协议作为短信通知服务器,详细操作请参考接入认证的短信认证章节。

邮件通知服务器

当设备中配置邮件通知服务器发送邮件服务器支持加密的邮箱进行告警。主要作用有

通知内容支持邮件认证验证码通知、自注册审批通知。

操作步骤

步骤1.设置告警邮件的发送邮箱服务器地址和接收邮箱,先配置收件地址邮箱,确保该邮箱能正常接收邮件。

步骤2.例如配置QQ邮箱服务器,需要在[设置/账号]找到服务器配置方式,确保SMTP已开启。根据需求点击<如何使用 Foxmail 等软件收发邮件?>、去获取STMP服务器地址和端口。

步骤3.点击<生成授权码>,跳转验证码发送页面,使用绑定邮箱的手机号发送短信到指定的号码,手机上发送成功,再点击<我已发送>

步骤4.页面弹出生成授权码。

步骤5.点击<配置发送邮件服务器>跳转到邮件服务器通知页面。填写刚才配置的邮箱地址、SMTP服务器地址、服务器端口。STMP服务器验证填写的用户名与发件邮箱一致,密码为授权码。

步骤6.点击<发送测试邮件>,输入能正常接收邮件的邮箱地址,发送成功后,页面会弹出“测试有效性成功”,说明配置的发送邮件服务器能正常发送邮件。点击<提交>邮件通知服务器配置完成。