行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
全网AC13.0.18
{{sendMatomoQuery("行为管理AC","防共享功能配置案例")}}

防共享功能配置案例

更新时间:2022-01-18

场景介绍

电信为学校提供了基础宽带接入设备、并制定了管理条例规定学生不得使用电信校园账号进行共享上网,但是只要有学校学生使用代理了或私装代理工具,高权限用户代理低权限用户上网,管理制度就形同虚设。

某些管理设备使用装控件、封堵进程的方式禁用代理,极不方便;使用AC的防共享功能可以提供无插件禁用终端使用内网代理的功能。

操作步骤

  1. 在导航菜单页面中的[终端行为安全/终端防私接/共享接入管理],进入共享接入管理的配置页面,勾选启用共享接入检测。

2.在共享接入管理页面,点击<配置选项>,统计方式选择统计所有终端。设置终端数量达到2台以上,冻结时间为30分钟。

统计方式:选择“统计所有终端”,可识别PC与PC、PC与移动终端,移动终端与移动终端之间的共享。

[冻结选项]:选择“冻结IP地址”,一个IP地址只允许一个用户上线。

3.效果验证方式:

  • PC接入网络中,通过DHCP自动获取地址后,采用测试账号通过AC平台认证后,能正常上网。

  • PC安装360电脑WIFI,启动360WIFI,放出热点。

  • 手机连接PC发出来的SSID,进行代理可以上网。

  • 在PC上使用浏览器访问网页,在手机的微信等App应用,2个终端上网一段时间后被检测为共享上网。

说明:允许例外情况:单IP电脑终端数为1,移动终端为1。指的是1个电脑和1个移动终端的共享上网行为是会被放通的。2个PC或2个移动终端的共享上网行为会被拦截。

4.效果呈现。

手机1和手机2通过代理上网。按《防共享测试方法》操作,5分钟之内(测试最快1分钟左右)会出现访问网站被设备防共享上网拦截页面。并且共享接入管理页面识别到手机及终端类型。手机打开网页效果图如下。

5.设备控制台页面。

6.数据中心日志展示。

手机1和PC1通过代理上网。PC浏览几个网页,手机访问防共享测试方法中效果好的应用即可识别到共享上网行为,但是由于共享接入管理设置了例外情况,1台PC和1个手机终端的共享上网行为此处被放通。

PC之间的共享上网测试,在两个PC上分别登录不同的QQ账号。两台PC都通过代理上网,分别打开几个网页,或登录QQ 5分钟内即可识别到共享上网行为并弹出拦截页面。