记录一次AC实施,认证+审计+访问控制+限速
  

尘星 2028010人觉得有帮助

{{ttag.title}}
全网行为管理AC       
客户需做每个人配置用户名密码,登陆上网做认证,流量限制,审计,限制游戏
部署模式
1. 输入地址在浏览器进行登陆
2. 配置网桥模式【选择系统管理-网络配置-部署模式】
LAN网口列表:添加到LAN网口列表中的网口,是为内网口使用的,即需要将LAN区网口接到内网方向。
WAN网口列表:添加到WAN网口列表中的网口,是为外网口使用的,即需要将WAN区网口接到外网方向
[网桥列表用于定义网桥,每对网桥接口之间允许转发数据,非一对网桥接口之间的数据是不允许转发的
分别选择LAN(ETH7)区网口和WAN_ETH8)区网口,组成对网桥
配置管理网口,管理网口ETH0口,选择一个设备空闲的网口(非网桥口)作为管理网口。
10.80.10.5/30
网关配置,配置网关地址,DNS地址勾选[自动放通防火墙规则:用于放通WAN<->LAN方向所有数据的防火墙规则。
确认配置信息确认无误后,点击<提交>。
设置完毕需要重启设备才生效,在弹出的提示框中点击<>
做认证

3. 创建本地用户,将原来旧设备用户导入,也可点击新增
[接入认证/用户管理/本地组/用户],在成员列表,点击新增选择用户
步骤1. 管理员在勾选<启用该用户>,填写登录名(必填项),描述、显示名、手机号、邮箱(非必填项,根据需求填写),当前所属组可把新增加的用户放到对应的组里面。
步骤2. 管理员设置用户属性,勾选<本地密码>,设置登录密码,如果该用户使用外部密码认证时不需要勾选。
步骤3. 管理员可在策略列表显示当前配置的策略,创建新策略或者移除策略。在高级属性可设置密码认证成功后注销窗口、允许多人同时使用该账号登录、允许修改本地密码,如想限制部分IP登录,可以勾选“限制以下地址范围内登录”,然后填写需要限制的IP地址。违规列表可显示该用户的违规信息。
初次认证修改密码强制要求用户在初次认证通过后,修改初始密码,当用户为公共账户(即允许多人同时使用该账号登录)时,[初次认证修改密码选项不生效
创建成功后,即可通过本地密码认证方式输入账号(张三)和密码来认证上网
4. 配置认证策略,[接入管理/接入认证/Portal认证/认证策略界面配置认证策略
认证范围:按照实际需求填写认证范围。
认证方式:勾选密码认证,认证服务器选择本地用户
完成后点击<提交>
认证高级选项勾选
终端上网会弹出认证页面
填写用户名密码后认证成功,在设备上查看用户上线,设备上查看用户名和IP的绑定信息
应用访问控制
5. 访问控制策略
[行为管理/访问权限策略],点击<新增>选择[访问权限策略],进入新策略编辑界面,勾选<启用该策略>,策略才会生效。
访问权限策可选项包括:应用控制、SSL管理、邮件过滤、QQ白名单
如应用控制限制,勾选应用控制,进入应用控制编辑页面,点击<添加>按钮
勾选需要控制的应用,动作可选允许或拒绝,生效时间,默认是全天,也可自定义设置,点击<确定>完成应用类型配置
SSL解密
6. 新增SSL解密策略
SSL解密策略的作用是对使用SSL安全协议连接的应用,包括加密后的网站、webmailweb-bbsPOP3IMCPSNMP等进行内容审计识别
这里选择准入客户端解密
添加自定义需要解密的域名
适用对象根据自己情况进行选择,可选择用户,或者源IP
客户端无脑安装准入客户端插件
限速
7. 流量管理
进入[流量管理/虚拟线路配置配置公网线路带宽,点击<线路1>,分配带宽
勾选流量管理系统进行启用,并新增
限制带宽通道,选择应用线路,选择通道使用范围,
可自定义用户/IP
[生效时间栏内配置通道生效时间段,管理员可以视企业工作时间自定义生效时间段。在[生效时间栏内点击<新增时间计划组>开始自定义策略生效时间段,点击<新增时间段>添加执行通道的时间。
审计
8. 互联网审计
勾选审计对象
适用对象为所有用户
配置三权
9.管理员账号,管理员账号用来设置能够通过控制台来管理设备的登录用户和管理员角色管理,设备内置四个角色:administrator、系统管理员、安全管理员、审计管理员。
系统管理员:负责对软件环境日常运行的管理和维护,以及对系统的备份和操作系统恢复(部署、网络配置、备份等等)。
审计管理员:拥有对系统日志、管理员操作日志进行查看、导出的权限。
安全管理员:负责业务配置、应用管理、授权管理等操作(业务配置、策略配置等)
新建管理员可限制登录地址
可根据需求设置模块权限

4168263e600e3f20fd.png (68.75 KB, 下载次数: 234)

4168263e600e3f20fd.png

打赏鼓励作者,期待更多好文!

打赏
73人已打赏

七嘴八舌bar 发表于 2023-2-22 10:38
  
感谢楼主分享!文章比较详细的记录了一次AC交付的过程,如在准入插件解密那里增加更多推端的方法和步骤会更加启发有此需求的小伙伴,期待楼主带来更多有价值的分享。
水之蓝色 发表于 2023-2-10 20:39
  
感谢分享AC部署的整个过程,很详细!!!!
Mr程 发表于 2023-2-10 22:57
  
楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了,如遇到问题再向楼主请教~
平凡的小网工 发表于 2023-2-13 22:32
  
我在社区摸爬滚打这么多年,所谓阅人无数,就算没有见过猪走路,也总明白猪肉是啥味道的。一看到楼主的气势,我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别,你一定就是传说中的最强技术牛。
HeYanYong 发表于 2023-2-14 21:48
  
感谢分享有助于工资和学习!
dhf 发表于 2023-2-15 13:25
  
每日打卡学习,感谢分享,学习了!!!
奔走的公牛 发表于 2023-2-16 09:05
  
感谢分享,有助于工作,学习了!!!
新手148744 发表于 2023-2-16 09:14
  

打卡学习了,感谢楼主的分享!
981105 发表于 2023-2-16 09:29
  
刘洪雁 发表于 2023-2-16 09:32
  

感谢分享,有助于学习。
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
技术笔记
【 社区to talk】
干货满满
每日一问
新版本体验
GIF动图学习
产品连连看
技术咨询
2023技术争霸赛专题
信服课堂视频
安装部署配置
功能体验
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
每周精选
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

147
113
49

发帖

粉丝

关注

121
315
351

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人