行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
全网AC13.0.18
{{sendMatomoQuery("行为管理AC","准入客户端配置")}}

准入客户端配置

更新时间:2022-01-18

准入客户端配置是用来设置设备准入的相关参数,包括认证准入客户端的配置、准入客户端推送配置、准入客户端下载、准入规则排除等。该功能在终端检查策略中会引用此处的配置。

准入客户端功能配置

  • 准入客户端认证方式有两种方式:开启准入客户端802.1X功能和开启准入认证客户端portal认证功能(可选是否开启自动上线功能),这两种认准入方式在接入认证章节的时候根据配置的认证策略进行勾选。

  • 设置准入客户端卸载密码:勾选该项可开启插件防卸载功能,卸载插件需要输入密码才能完成卸载,需要终端成功获取检查策略之后防卸载才生效。

  • 设置准入客户端找网关地址方式:自动找网关和设置准入客户端网关地址。

说明:网关地址的配置方法:找到安装路径C:/ProgramFiles/Sangfor/Ingress3.0.0,打开zrclient.exe,点击<高级选项>,配置AC设备的地址。设备在旁路模式下设备会自动找IP,建议勾选“设置准入客户端网关地址”,手动填写网关地址。

系统推送准入客户端

勾选[系统推送准入客户端]后设备会对匹配准入策略但未安装准入客户端的终端推送准入客户端安装界面,同时阻断该类终端的网络访问。不勾选非windows终端不会推送,需要管理员手动安装或者通过AD域推送。

开启准入网络控制静默模式:勾选后设备将不再执行准入策略的断网动作,只会执行提醒动作。(网络层面的断网,准入客户端执行的断网动作依然生效)

仅对于MAC、移动终端、哑终端等不支持运行准入系统的终端(此选项对所有终端都生效)。

  • 视为检查失败,禁止上网:勾选后对于不安装准入客户端的终端,禁止该终端上网。

  • 允许上网:勾选后允许MAC、移动终端、哑终端等不支持运行准入系统的终端正常访问网络。

准入客户端下载

更新准入客户端功能配置后请先点击<提交>再进行下载,客户端的安装包方式有两种:MSI安装包、EXE安装包。(安装包中内置AD域透明安装准入配置方法文档)

说明:
1.MSI安装的准入客户端无法防止卸载,通常用于结合域控推送。
2.EXE包用于准入客户端防卸载,需要结合[接入关联/准入客户端配置]中的<设置准入客户端卸载密码>使用。

补丁规则排除

忽略补丁检查规则按指定级别检测出来的补丁,不进行提示和网络控制。

是否开启准入网络控制静默模式;是否设置准入客户端卸载密码;如果配置了补丁规则,是否需要排除某些补丁,不需要做准入检测。