行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
行为管理AC13.0.102
{{sendMatomoQuery("行为管理AC","深信服设备对接")}}

深信服设备对接

更新时间:2023-09-22

深信服设备对接支持很多产品之间的联动,如AC对接SIP,支持用户信息同步、支持策略控制(在SIP设备能够下发冻结用户和上网提醒策略到AC,联动处置发现异常安全事件终端。支持对接SIP上报资产信息和在线用户信息,可根据IP上报指定的SIP设备或上报所有对接成功的设备。

当某企业同时购买了深信服的ACSIP设备,希望和做网关的AC设备联动处置发现安全事件的终端。拓扑如下所示。

  1. 实名制:同步用户信息到SIP
  1. 上网提醒:提醒发现主机有被攻击,及时遵照安全建议进行处置;
  2. 冻结账号:发现疑似僵尸主机,一直在恶意外发,冻结账号。

对接过程:

  1. 内网用户在AC实名制认证获取上网权限;
  1. STA镜像内网、上网数据做安全监控;
  2. SIP分析安全事件;
  3. AC联动SIP,同步用户认证信息到SIP
  4. 发现安全事件,SIP联动AC下发策略实现对终端的处置。

预制条件

  1. ACSIP可以通信,需要开放端口TCP9998
  1. 开放端口:开放端口的目的是为了后面配置联动处置。

:

1. 如果AC设备是路由模式部署,SIP设备部署在ACwan口方向,需要开放TCP9998端口([系统配置/网络配置/高级配置/WAN口开放端口])。

2. 如果是网桥模式或旁路模式则不需要此项配置,网络中放通ACSIP之间的TCP9998端口即可。

操作步骤

步骤1.AC设备配置。设备在联网的前提条件下,配置[接入管理/接入认证/PORTAL认证/单点登录/深信服设备],“转发认证信息到其他深信服设备”,配置转发策略和共享密钥。

步骤2.接入设置:[系统管理/系统配置/深信服设备对接],启用深信服设备对接功能,支持两种对接方式,以下以手动配置为例。

自协商

手动配置

a)如果环境中AC数量比较少,可以随意选择对接方式;

b)如果环境中AC数量比较多,可以选择自协商的方式,减少配置;

c)如果环境中有多台SIP设备,建议选择“手动配置共享密钥”方式,避免协商错误。

步骤3.SIP设备配置。admin账号下拉列表中的[系统配置/设备管理],新增上网行为管理设备,配置接入AC设备的IP和共享密钥;

步骤4.联动AC,配置认证账号和认证密码。

自协商方式,完成第一步用户信息同步配置后,无其他配置

手动方式,完成第一步用户信息同步配置后,配置高级选项,认证账号和密码和AC填写一致。

步骤5.接下来进行SIP设备配置,在[系统配置/设备管理],新增上网行为管理设备,配置接入设备的ACIP和共享密钥。

步骤6.完成配置后,在[资产中心/主机资产],可以看到用户信息。

步骤7.如果用户信息没有同步,可以点击“立即同步”进行手动同步操作。

点击“立即同步”可以从AC设备立即同步用户信息,并更新到SIP平台,但是SIP原有的用户信息数据不会被清除。

步骤8.ACSIP设备联动成功,深信服设备对接查看到对接设备的信息。

步骤9.SIPAC设备联动成功,可在设备管理页面查看到对接设备的信息。

步骤10.效果呈现

  1. 上网提醒

风险终端页面点击单个IP进行联动或者在[更多/联动AC界面],进行新增时,上网提醒的提醒信息可以使用系统推荐,也可也使用自定义。

  1. 冻结账号

1)在失陷主机页面与风险终端 二级页面联动AC

2)同时支持在更多->联动响应->联动AC页面新增。