这个问题只是存在于我在AF上设置对某个ip进行封锁的情况。 5

这个问题只是存在于我在AF上设置对某个ip进行封锁的情况。平时没问题的，意味着策略应该是没问题的。现在我早已解除了对所有ip的封锁，自然不会再出现微信传不了文件的问题了。这其实只是个误封锁，因为ip总在变，也有员工为了尽快恢复上网人为改变电脑ip的情况。若af上能根据mac地址进行封锁则可能会减少些误封锁的可能 这个可以通过防火墙或者其他设备实现吗

标准版本8.0.17之前，只能通过认证策略绑定MAC后再做应用控制策略

从标准版本AF8.0.17开始，AF支持直接根据MAC来做应用控制策略。

PS：需要先在【系统】-【通用配置】-【网络参数】勾选“高级配置”。

方案一：直接根据MAC来做应用控制策略（从标准版本AF8.0.17开始支持）

1.以标准版本AF8.0.50-8.0.59版本，直接在【策略】-【访问控制】-【应用控制策略】根据MAC配置应用控制策略。

2.以标准版本AF8.0.17-8.0.48版本操作路径示例：先在【系统】-【通用配置】-【网络参数】勾选“高级配置”。然后在【策略】-【访问控制】-【应用控制策略】根据MAC配置应用控制策略。

注意：内网三层环境部署时，三层交换机需要开启SNMP功能，AF需开启跨三层MAC识别功能【认证系统】-【用户认证】-【认证选项】

方案二：通过认证策略绑定MAC后再做应用控制策略

1、配置认证策略绑定需要禁止的MAC

①以标准版本AF8.0.35-8.0.59版本操作路径示例

--防火墙内网为二层网络环境：在【策略】-【认证】-【用户认证】-【认证策略】中勾选开启用户认证，选择相应的认证区域，新增认证策略，在【策略适用IP/MAC范围】中填入要禁止的MAC地址，然后在【新用户选项】中，将用户加入指定的禁止上网组

--防火墙内网为三层网络环境：在【策略】-【认证】-【用户认证】-【认证选项】-【跨三层MAC识别】配置跨三层MAC识别，接着在【策略】-【认证】-【用户认证】-【认证策略】中勾选开启用户认证，选择相应的认证区域，新增认证策略，在【策略适用IP/MAC范围】中填入要禁止的MAC地址，然后在【新用户选项】中，将用户加入指定的禁止上网组

跨三层取MAC配置指导

②以标准版本AF7.4-8.0.32版本操作路径示例

--防火墙内网为二层网络环境：在【认证系统】-【用户认证】-【认证策略】中勾选开启用户认证，选择相应的认证区域，新增认证策略，在【策略适用IP/MAC范围】中填入要禁止的MAC地址，然后在【新用户选项】中，将用户加入指定的禁止上网组

--防火墙内网为三层网络环境：在【认证系统】-【用户认证】-【认证选项】-【跨三层MAC识别】配置跨三层MAC识别，跨三层取MAC相关配置：跨三层取MAC配置指导。

接着在【认证系统】-【用户认证】-【认证策略】中勾选开启用户认证，选择相应的认证区域，新增认证策略，在【策略适用IP/MAC范围】中填入要禁止的MAC地址，然后在【新用户选项】中，将用户加入指定的禁止上网组

2、配置应用控制策略，把禁止上网组加入不允许上网的应用控制策略 【策略】-【访问控制】-【应用控制策略】，根据用户来做应用控制策略

注意：内网三层环境部署时，三层交换机需要开启SNMP功能，AF需开启跨三层MAC识别功能【认证系统】-【用户认证】-【认证选项】

参考动图：

应该可以用上网行为管理来做，新建一个认证策略，对象为该MAC上线的用户组为'不能上网组'，再给这个分组配置一个'拒绝所有'的上网权限策略

深信服下一代AF能根据mac地址进行封锁，具体操作可以致电400客服

深信服下一代AF能根据mac地址进行封锁，具体操作可以致电400客服

有没有一种可能是其他的设备干扰了

应该可以用上网行为管理来做，新建一个认证策略，对象为该MAC上线的用户组为'不能上网组'，再给这个分组配置一个'拒绝所有'的上网权限策略