行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
全网AC13.0.18
{{sendMatomoQuery("行为管理AC","第一阶段")}}

第一阶段

更新时间:2022-01-18

第一阶段用于设置需要与深信服设备建立标准IPSec连接的对端VPN设备的相关信息。

点击<新增>,显示设备列表设置对话框,需要设置设备名称和描述.

线路出口:选择通过哪条出口线路与对端进行标准IPSEC VPN 互联。

设备地址类型:包括固定IP、动态IP以及动态域名三种。

  • 选择“对端是固定IP”,则需要设置对端的固定IP地址以及预共享密钥;

  • 选择“对端是动态域名”,则需要设置动态域名以及预共享密钥;

  • 选择“对端是动态IP”,则仅需设置预共享密钥,选择该选项后仅能使用野蛮模式对接;

作为备份设备:同一个设备支持备份隧道,如果有建立主备隧道,主隧道断开,数据包才会通过备份隧道发往对端。

如果配置时,误勾选了启动主动连接,设备会弹出提示框。

点击<高级>,则弹出高级设置对话框,界面如下。

ISAKMP存活时间:用来设置第一阶段策略的生存期,只支持按秒计时。

重试次数:用来设置第一阶段协商时的重试次数。

支持模式:用来选择第一阶段协商所使用的模式,包括主模式和野蛮模式。

D-H群:用来设置协商双方的Differ-Hellman群,包括MODP768群(1)、MODP1024群(2)、MODP1536群(5)、MODP2048群(14)、MODP3072群(15)、MODP4096群(16)、MODP6144群(17)、MODP8192群(18)。

勾选<启用DPD>,启用死亡对等体检测功能,用于帮助VPN设备检测存在于隧道另一端的设备故障。

检测间隔:用于设置检测对端状态的时间间隔,设置范围5s-60s。

超时次数:用于设置检测到对端状态超时次数,设置范围1-6次。当达到超时次数,设备认为对端设备故障。

ISAKMP算法列表。

认证算法:用来选择第一阶段的认证算法,包括MD5、SHA-1、SHA2-256、SHA2-384、SHA2-512。

加密算法: 用来选择第一阶段的加密算法,包括DES、3DES、AES、SANGFOR_DES、AES192、AES256。

勾选启用选项,则此策略设置完成后立即生效。点击<确定>后保存并启用规则。

说明:
1.标准IPSec只支持路由模式部署,不支持网桥和单臂模式部署。
2.标准IPSec也不支持两端都配置对端为动态IP的环境。
3.加密算法如果选择 深信服的DES则要求双方都是深信服的设备。