行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
行为管理AC13.0.102
{{sendMatomoQuery("行为管理AC","单臂模式")}}

单臂模式

更新时间:2023-09-22

单臂模式是在全网行为管理AC开启代理模块,作为代理服务器代理内部终端上网,使上网数据经过设备,实现控制和审计功能。AC设备连接到交换机,部署无需改变用户网络拓扑,对用户的网络环境不会造成影响。

部署场景

注意事项

  1. 开启HTTP代理,认证策略如果设置密码认证,默认终端弹出的密码认证页面是微软的认证页面,如果客户需要弹出ACWeb认证页面,需要在[接入管理/接入认证/认证高级选项]勾选“代理上网时,密码认证使用WEB认证页面”,但是该功能只对http显示代理有效。
  1. 启用代理服务,如不配置代理策略,默认允许内网所有用户通过代理上网。
  2. 配置多条代理策略时,策略匹配顺序为从上往下匹配。
  3. 确保设备本身可以正常访问互联网,并且内网PC和设备之间通信正常。

配置指导

如下图所示,设备部署为单臂模式,启用上网代理功能。受防火墙安全策略管控,终端用户无法直接访问互联网,网络中只允许AC设备访问互联网,终端用户可以和AC设备正常通信。AC设备作为代理服务器代理内部终端上网,使上网数据经过设备,实现访问控制和审计功能,无需改变用户网络拓扑。

步骤1.通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过https://10.251.251.251登录设备,默认登录用户名/密码是:admin/admin

步骤2.在导航菜单中的[系统管理/网络配置/部署模式],右边进入部署模式编辑页面,点击<开始配置>,配置设备模式为单臂模式,点击<下一步>

步骤3.选择eth0口,需要将设备的eth0口接到交换机上,并配置接口IP,支持配置IPV6地址,配置完成后,点击<下一步>

步骤4.管理口配置:选择空闲的网口做为管理网口,用户可以通过此网口连接设备,默认情况下设备的管理网口是eth1口;支持配置IPV6地址,配置完成后,点击<下一步>

步骤5.AC设备使用认证中心相关功能时需要配置认证口,给分支AC做认证托管功能使用,常规的旁路部署、网桥部署、路由部署、单臂模式无需设置认证口。

步骤6.配置AC设备网关(eth0接口,非管理口网关)以及DNS等信息,配置完成后,点击<下一步>

步骤7.配置完成,检查各配置项信息,点击<提交>

步骤8.设置完毕需要重启设备才可以生效,在弹出的提示框中点击<>