第一步：以旁路模式部署深信服AC设备。

步骤1.在导航菜单栏进入到[系统管理/网络配置/部署模式]栏，选择旁路部署模式开始配置。

步骤2.选择管理接口并配置对应的IP地址、GW以及DNS信息，管理IP需要能够与安装准入客户端的PC通信。

步骤3.配置镜像口、监控网段以及服务器地址。当用户内网存在多份镜像流量需要AC审计时，可以在AC上配置多个镜像口用于接收不同源的镜像流量。

步骤4.确认配置无误后，点击完成重启设备。

第二步：配置交换机镜像流量。（本次以H3C交换机配置示例）。

                            <Sysname> system-view

                            #进入配置模式

[Sysname] mirroring-group 1 local 

#创建名为“1”的本地镜像组

[Sysname] mirroring-group 1 mirroring-port G/0/1-G/0/8  both

#将交换机G0/0/1-G0/0/8口作为镜像源端口添加到镜像组“1”中，源端口可                                          以按照用户实际情况来选择。必须将源端口的inbound和outbound双向流量                                          均镜像给AC设备，示例命令中的both参数即表示镜像源端口的双向流量。

              [Sysname] mirroring-group 1 monitor-port G0/0/9    

#定义镜像流量的目的端口为G0/0/9口。

通过上述示例命令，将交换机G0/0/1-G0/0/8的双向流量均镜像到交换机的G0/0/9口，此时在交换机的G0/0/9口即可监听到G0/0/1-G0/0/8口所有的会话，最后将交换机的G0/0/9口与AC的镜像口连通。

：

第三步：推送并安装准入客户端。

 可以通过AD域策略推送准入助手，也可以借助用户内部第三方桌管平台推送安装。或者重定向到准入助手的下载界面，让用户自行下载安装。

                            ：

客户端审计需要借助准入助手来实现，与802.1x认证的准入助手为同一个软件。在不开启准入功能时，准入助手安装后默认隐藏。

第四步：配置审计策略

步骤1.配置SSL解密策略，因为涉及到审计邮件外发以及审计网盘上传等场景，需要先配置好SSL解密策略。

步骤2.在导航菜单栏的[行为管理/访问权限策略]栏，点击<新增>添加SSL解密策略。

在配置页面[界面方式]选择客户端代理解密，降低解密对设备性能的损耗。

步骤3.勾选[加密WEB应用内容识别]以及[加密邮件内容识别]，仅识别使用25、465、995、143、993、587端口的SMTP加密邮件内容。

步骤4.配置互联网审计策略，为了能够审计网页版的邮箱外发以及网盘上传，在[行为管理/行为审计/互联网审计策略]中点击<新增>按钮，添加相应的互联网审计策略。

步骤5.勾选[应用审计]，在右侧的配置栏中点击<添加>按钮，勾选Web邮箱、网盘、HTTP外发与下载等审计对象，在配置好适用对象后点击<提交>即可。

步骤6.配置客户端应用审计策略

在[行为审计/客户端审计策略]栏中点击<新增>按钮,选择客户端审计策略。勾选[客户端应用审计]策略，并在右侧的配置栏中勾选邮件客户端等审计对象，在配置栏底端的[离线审计]选择启用，最后配置好适用对象后点击提交即可。

步骤7.配置U盘审计策略

在[行为审计/客户端审计策略]栏中点击<新增>按钮,选择客户端审计策略。勾选[外接设备审计]策略后，在配置栏勾选[移动存储介质]选项，如果需要可以勾选[离线终端审计]功能。在配置好适用对象后点击提交保存即可。