在AC的【访问控制】→【策略】中，创建一条默认拒绝规则：
源：未认证用户组（或所有用户）。
目的：内外网IP范围（如内网服务器段、外网IP）。
动作：拒绝访问。
优先级：将此规则置于所有允许规则之上，确保未认证用户无法绕过。
认证后用户策略
认证通过后，AC自动将用户加入“已认证组”，并匹配以下策略：
内网访问：允许访问内网服务器（如文件共享、ERP系统）。
外网访问：允许访问互联网，但可结合应用控制限制高风险应用（如P2P、游戏）。

在AC的【用户认证与管理】→【认证策略】中，选择“钉钉认证”作为唯一认证方式，并绑定钉钉服务器参数（CorpID、AppKey、AppSecret）。
勾选“强制认证”选项，禁止用户绕过认证直接访问。

策略绑定：基于用户状态的精细化控制
未认证用户策略
在AC的【访问控制】→【策略】中，创建一条默认拒绝规则：
源：未认证用户组（或所有用户）。
目的：内外网IP范围（如内网服务器段、外网IP）。
动作：拒绝访问。
优先级：将此规则置于所有允许规则之上，确保未认证用户无法绕过。
认证后用户策略
认证通过后，AC自动将用户加入“已认证组”，并匹配以下策略：
内网访问：允许访问内网服务器（如文件共享、ERP系统）。
外网访问：允许访问互联网，但可结合应用控制限制高风险应用（如P2P、游戏）。
三、网络隔离：通过VLAN或ACL实现物理/逻辑隔离
VLAN隔离
将未认证用户划分至独立VLAN（如VLAN 10），仅允许访问AC认证服务器（如192.168.1.1）。
认证通过后，AC动态调整用户VLAN至信任段（如VLAN 20），允许访问内外网。
ACL过滤
在交换机或AC上配置ACL，禁止VLAN 10用户访问内外网IP和端口（如禁止访问内网服务器10.0.0.0/8、外网DNS8.8.8.8）。
示例ACL规则（华为交换机）：
bash
acl number 3000
rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 10.0.0.0 0.255.255.255
rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 8.8.8.8 0
四、异常排查：解决未认证可访问的问题
若未认证用户仍能访问内外网，需检查以下环节：

AC策略顺序
登录AC后台，确认“默认拒绝未认证用户”规则优先级最高（如规则ID最小）。
钉钉回调与用户同步
检查AC与钉钉的通讯是否正常：
在AC的【系统管理】→【日志中心】中，查看钉钉认证回调日志，确认认证成功后用户信息是否同步至AC。
确保钉钉应用权限中已开启“通讯录管理权限”，允许AC读取用户组信息。
终端绑定与IP冲突
若AC存在错误的IP-MAC绑定关系（如其他用户绑定了故障终端的IP），可能导致未认证用户继承已认证权限。
解决方法：
在AC的【用户认证与管理】→【终端列表】中，清除无效绑定记录。
启用“动态IP绑定”，避免静态绑定导致的权限泄漏。
网络设备通信
检查AC与钉钉服务器、终端与AC之间的网络连通性：
使用ping和telnet测试AC能否访问钉钉API域名（如oapi.dingtalk.com）。
确保出口防火墙放通AC与钉钉的通信端口（如443、80）。
五、推荐配置示例（深信服AC）
认证策略配置
名称：钉钉认证策略
认证方式：钉钉认证
认证服务器：选择已配置的钉钉服务器
认证后跳转：内网门户或指定URL
强制认证：勾选
访问控制策略
规则1：
源：未认证用户组
目的：内外网IP范围
动作：拒绝
规则2：
源：已认证用户组
目的：内网服务器
动作：允许
规则3：
源：已认证用户组
目的：外网IP
动作：允许（可结合应用控制）
VLAN与ACL（交换机侧）
VLAN 10（未认证）：
仅允许访问AC认证服务器IP（如192.168.1.1）。
VLAN 20（已认证）：
允许访问内外网。
ACL：
禁止VLAN 10访问内网段10.0.0.0/8和外网DNS8.8.8.8。