深信服行为管理AC介绍

基础介绍

  • 深信服全网行为管理AC信创系列产品,采用国内CPU平台硬件以及适配国内操作系统,聚焦自主创新办公网安全威胁,提供多样化的身份认证、精细化的行为管控、全场景的行为溯源,全面管控办公网用户身份安全、降低信创终端违规接入、上网违规行为,让办公更规范、更高效、更安全。

  • 深信服的能力懂得都懂,可以把用户老底都摸穿。

  • 【老款基本是J1900的X86工控主板,实测系统与当前硬件绑定,更换主板后无法运行,升级内存条不影响。】

核心优势

  • 丰富的认证方式:支持30+认证方式,满足员工、访客、哑终端等各种场景接入认证,并支持灵活对接已有的各种认证系统,快速实现身份实名。

  • 高效的统一认证: 创新网端融合认证,支持用户上网认证及终端入网准入认证,实现有线无线统一认证、总部分支统一认证。

  • 精细化应用控制:支持应用动作的精细化管控,支持区分登录、上传附件等动作,降低违法风险。

  • 精准的终端管控:通过多种资产识别技术,保障终端类型识别精准快速,并结合终端合规性检测技术实现安全管控,如杀软推送、U盘管控、非法外联控制。

  • 全面终端与网络安全管控:实现终端接入、使用、外设、网络外联的全面精细管理,保障网络与终端安全无死角。

  • 高效运维与防泄密机制:通过轻桌管能力、屏幕水印等提升运维效率,有效震慑截屏拍照等泄密行为。

  • 数据防泄密:通过全网行为管理AC一键订阅SASE-XDLP,可快速增强终端侧数据防泄密能力。满足需求复杂的多元化办公场景防泄密要求,实现敏感数据全链路可控、可视、可溯源,(移动/固定)场所全覆盖、(终端/网络)通路全管控。

  • 按需订阅,逐步生长:对于数字化转型驱动的移动办公、远程办公和BYOD场景下的安全办公需求,全网行为管理AC可基于AIO一体化终端进一步生长出BYOD离网管控、远程接入安全、端点安全等能力,为用户提供一体化安全办公方案。

设置教程

基础登录

  • 演示使用的是淘汰的老设备:深信服AC-1000,AC11.2R1。

  • 将上网行为审计系统AC设备作为一个路由设备使用,把设备放在内网网关出口的位置,代理局域网上网。

    如果有深信服账户的请直接访问官网文档

https://support.sangfor.com.cn/

行为管理AC>文档>安装部署>部署模式>路由模式

  • 下面是几种常用的路由模式部署方式,演示使用第一种最简单的。

  • 先配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口(ETH0)的默认IP是10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过https://10.251.251.251登录设备,默认登录用户名/密码是:admin/admin。
    演示使用的是DMZ口(ETH1)的默认IP是10.252.252.252/24,在电脑上配置一个此网段的IP地址,通过https://10.251.251.251登录设备,默认登录用户名/密码是:admin/admin。

  • 登录成功,初始密码登录会要求你修改一个新密码,此处略过。

设置路由模式

  1. 进入系统管理--网络配置--部署模式,点击开始配置。

  2. 选择路由模式,然后点击下一步。

  3. 根据你的需求划分网口,然后点击下一步。

  4. 设置LAN口的网关IP地址(如果添加了多个LAN口,则每个网口都需要设置网关IP,IPv6也是一样。)然后点击下一步。

  5. 选择你的WAN口上网线路的上网方式(演示就设置为DHCP,不影响现有网络。),然后点击下一步。

  6. 设置一个DMZ口的网关IP地址(同前面LAN口步骤),然后点击下一步。
    【DMZ网口列表:添加到DMZ网口列表中的网口,是作为内网口使用的。和LAN口区一样,DMZ区也是属于内网口的,用户可以在DMZ区接一些内网重要的服务器,通过设备的防火墙设置控制LAN口区内网用户的访问权限,保证服务器的安全。】

  7. 设置代理上网的网段(默认是代理全部,如果你改了网段,那么这里记得修改。),然后点击下一步。

  8. 确认一下信息,然后点击提交,设备会进行重启。

  9. 点击

  10. 等待几分钟后重新登录

  11. 点击系统管理--网络配置--DHCP
    启用DHCP服务,设置LAN口的网络参数,然后点击提交。
    如果是设置多个LAN口和DMZ口,都要手动进行设置。

  12. 如果要修改WAN口的上网方式,就点击网口配置,

  13. 根据你的需要选择,设置之后,点击提交。

  14. 要修改LAN口网段/IP范围,也是同样的操作。

  15. 如果要设置宽带流控管理,就在流量管理--通道配置--启用流量管理系统,再编辑线路带宽属性。

  16. 选择你的线路,输入线路的上下行速度(注意格式),然后点击提交。

  17. 至于其他的流控管理的详细策略都是自定义慢慢调整,就不再赘述。

  18. 设置之后如果你的电脑无法上网,就在系统管理--防火墙--NAT代理上网
    编辑代理LAN口上网,选择代理所有IP地址/只代理你设置的网段,然后点击提交。

功德+1(狗子).gif

👇👇👇