{{sendMatomoQuery("行为管理AC","注意事项")}}
注意事项
更新时间:2023-07-05
- AC13.0.80及以上版本,旁路模式部署支持“共享接入管理”功能。但是“共享接入管理”功能中的“黑路由”检测在旁路模式下检测率较低,如检测黑路由场景推荐使用路由或网桥模式部署。
- 防共享场景和移动终端场景如需要进行冻结处置动作,推荐使用路由或网桥模式部署;如只进行防共享终端检测或移动终端检测,可使用路由模式、网桥模式、旁路模式。
- 如果防共享场景中也需要禁止移动终端接入,即该场景明确了只会存在PC侧的流量,不应该出现移动终端的流量。如高校防共享禁止私接无线路由器、PC开放热点给手机使用。开启移动终端管理冻结移动终端也可实现防共享效果,只要有移动终端流量就会封堵,不需要识别同时有多个终端的流量,甚至比共享接入管理更灵敏。
- 在启用共享接入管理和移动终端管理时,为避免对用户上网造成影响,可先进行终端检测,观察一段时间后再开启冻结操作。
- 如果是高校场景,可勾选“存在校园网破解版路由器时”,校园网破解版路由器又称“黑路由”,可对此这类型的设备进行检测和冻结,从而提升高校网络运营者发现共享行为的能力。校园网破解版路由器不受终端检测数量的限制,只要检测到校园网破解版路由器即认为是共享终端,立即执行冻结动作。
- 校园网破解版路由器识别周期比较长,冻结时间可配置1440分钟,避免冻结时间设置过短,造成解冻后长时间逃逸。
- 从AC13.0.80版本开始,共享接入管理和移动终端管理使用全新的终端识别机制,与终端识别功能合并,共享接入管理、移动终端管理识别结果将与终端识别完全一致。
- 如果AC13.0.14(含)之后的版本升级到AC13.0.80版本,升级前请先检查[全网监控/全网终端监控/终端发现设置/启用全网终端识别功能]和[终端行为安全/终端防私接/共享接入管理/启用共享接入检测]的开启状态,如果“共享接入检测”开启但“全网终端识别功能”未开启,则需要将后者关闭后再进行升级,否则会升级失败。
- 移动终端管理配置选项中的<启用dhcp终端识别>已经废弃,不用开启。
- 如果终端识别出现误判,可在[全网监控/全网终端监控/终端列表]中手动修改其终端类型。
- 当设备在终端列表被识别成windows和Linux共享时,终端列表会判定这个设备为共享终端,在首页的“在线共享终端”数量也会统计。但是在“共享接入管理”还不会立刻显示为共享终端,主要原因是共享接入管理需要进一步明确接入Linux设备是PC还是安卓移动终端,而Linux是安卓设备识别过程中的一种中间状态,所以Linux在共享接入管理中不会立刻判定是Linux PC,两者显示会有一段时间差。
- 终端资产如果曾经识别为共享终端,后来识别为非共享终端,那么终端型号、终端厂商属性可能会与当前操作系统不匹配,需要一段恢复时间。
- Windows和Windows的共享仅支持不同操作系统版本之间的共享判断,并且仅支持微信流量。
- 支持国产化操作系统(UOS和银河麒麟)的识别,暂不支持共享接入管控。如国产化操作系统或linux接入Windows PC开放的热点,在“在线用户管理”和“终端列表”可查看开放热点的Windows PC终端类型为共享终端,但是在“共享接入管理”中不会判定为共享终端。
- 在无用户身份认证场景,如认证策略配置为“不需要认证—以IP地址作为用户名”或“单点登录—单点登录失败的用户不需要认证—以IP地址作为用户名”,入网用户以IP地址为用户名,终端识别无法感知用户上下线,可能会导致同个IP上统计到多个不同用户的设备指纹,从而造成共享误判(如用户Windows PC使用192.168.1.1接入网络一段时间后关机,再使用Android手机接入网络,并手动把手机IP地址修改为192.168.1.1。这样,AC就会识别到192.168.1.1地址短时间内同时出现Windows标识和Android标识,判定为共享终端)。
建议使用Chrome浏览器访问!
