行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
全网AC13.0.18
{{sendMatomoQuery("行为管理AC","接入认证")}}

接入认证

更新时间:2022-01-18

接入认证是用户入网的重要一步,只有完成了认证,才能基于用户做相应的策略。

AC支持丰富的身份认证方式,提供了完善的认证体系,满足企业日常的认证需求。

目前认证主要分为两大类:802.1x认证和portal认证,其中portal认证可选多种认证方式,同时可灵活和第三方认证服务器结合。如下表所示。

  1. 认证方式场景说明

认证方式 认证服务器 场景说明
802.1X认证 - 802.1x认证结合交换机或无线控制器实现二层的管控,强管控需求可用802.1x认证。
不需要认证 - 终端用户以IP/MAC/计算机名为登录名,可自注册账号。
不允许认证   该认证方式禁止用户上网
Dkey用户认证   用户通过key实现认证
密码认证 本地密码 当用户名密码通过添加的方式存储在AC设备上时,可使用存储在AC设备本地的用户名密码来做本地密码认证。
短信认证服务器 当存在短信网关或短信平台,可通过AC设备对接短信网关或短信平台,发送验证短信给用户,用户通过短信认证码认证上线。

微信认证

服务器

当企业具有微信公众号时,可通过该认证方式,要求用户需要通过微信进行认证。

访客二维码

认证服务器

在外来访客场景下,访客在得到内部员工的审批后才能正常访问互联网,给访客带来良好体验的同时,内部也能对外来访客进行有效的管理。

会议室二维码

认证服务器

会议室开会上网体验,或小范围上网体验私密体验,期望实现会议室或小范围内,接入网络上网,不允许无关人员随意接入。
LDAP服务器 当企业网络中存在LDAP服务器的时候可使用该认证方式,需要在[认证服务器]页面先添加对应的LDAP服务器,并设置相关信息。
RADIUS服务器 当企业网络中存在RADIUS服务器的时候可以使用该认证方式,需要在[认证服务器]页面先添加对应的Radius服务器,并设置相关信息。
POP3服务器 当企业网络中存在POP3服务器的时候可以使用该认证方式内,需要在[认证服务器]页面先添加对应的POP3服务器,并设置相关信息。
OA账号 当企业内部使用的OA账号为(企业微信、阿里钉钉、口袋助理等),AC均支持该类OA账号实现Oauth认证。
社交账号 当企业内部使用社交账号(Facebook、Gmail、Line、Twitter)时,AC支持对接并实现Oauth认证。
第三方认证系统CAS、OAUTH 当企业内部使用CAS或者OAUTH认证系统时,可使用AC设备对接该系统认证。
单点登录 AD域 当企业网络中已有AD域服务器做用户管理,并且内网用户登录电脑系统都是使用域账号登录的,那么可以采用域单点登录的方式,在内网用户登录到域之后就通过设备的认证,即终端用户登录域即可上网,无需通过设备再次认证。
PPPoE 当用户环境中存在PPPoE拨号场景时,并且PPPoE拨号认证的数据包经过AC设备时,可以启用PPPoE单点登录,认证成功后以PPPoE拨号的用户名在AC上线。
Radius 当用户环境中存在Radius服务器,并且Radius认证和计费的数据包经过AC设备时,可以启用Radius单点登录,认证成功后以Radius的用户名在AC上线。
Proxy 如果用户网络环境中已经部署代理服务器,并且内网用户使用代理服务器上网都有账号和密码,那么可以采用Proxy单点登录的方式,在内网用户通过代理服务器的验证之后就通过设备的认证,即终端用户连接到代理服务器即可上网,无需通过设备再次认证。
POP3 如果用户网络环境中已经部署POP3邮件服务器,并且内网用户登录邮件服务器都有各自的账号和密码,那么可以采用POP3单点登录的方式,在内网用户通过POP3服务器的验证之后就通过设备的认证上网。
Web 如果用户网络环境中已经部署WEB服务器,并且内网用户登录WEB服务器都有各自的账号和密码,那么可以采用WEB单点登录的方式,在内网用户通过WEB服务器的验证之后就通过设备的认证上网。
第三方设备 某些网络环境中已经存在其他的第三方认证系统做用户认证和组织结构的管理,此时设备能够跟这些第三方的认证系统结合使用,做单点登录。目前设备支持的其他第三方厂商的认证系统有锐捷Sam系统、HTTP单点登录接口、H3C CAMS系统、城市热点和H3C IMC系统。
深信服设备 AC设备还能够同第二台AC/SG设备结合做认证,相当于网络环境中部署了两台SANGFOR设备,其中一台设备作认证,另外一台设备作审计控制,只要用户通过了认证设备的认证后,审计控制设备就能够同步认证设备的用户信息,对用户进行审计控制。
数据库认证 当网络环境中已有一套数据库系统存储并管理用户认证信息、组织结构的情况下,深信服 AC设备支持配置SQL查询语句,查询该数据库系统中的用户列表和已认证用户,并同步到设备的组织结构和在线用户列表中,从而支持和数据库系统结合的单点登录,实现用户通过数据库认证后,即通过设备的用户认证,同时用户从数据库认证系统中注销,也自动完成在设备上的注销。目前支持的数据库类型有ORACLE、DB2、MYSQL几种。