Sangfor AC登录安全设置
摘要:1.web超时时间、连续输错密码锁定 2.管理员密码安全策略
阅读全文
posted @
2021-11-02 11:45
星痕1216
阅读(181)
推荐(0) 编辑
Sangfor AC在线用户显示大量公网IP
摘要:解决方法: 1.当前的部署模式为网桥模式时,检查对应的LAN口和WAN是否接反了线。 2.针对内网网段新增认证策略,然后再将默认的认证策略的认证方式设置为【不允许认证(禁止上网)】。 3.勾选【用户认证与管理】-【认证高级选项】-【认证选项】-勾选【WAN->LAN方向的连接不认证】
阅读全文
posted @
2021-09-10 17:15
星痕1216
阅读(185)
推荐(0) 编辑
802.1X
摘要:1.简介 IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1X协议。后来,802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。 802.1X协议是一种基于端口的网络接入控制协议(port based netw
阅读全文
posted @
2020-12-15 17:38
星痕1216
阅读(780)
推荐(0) 编辑
去掉深信服上网认证页面里的“修改密码”
摘要:1.不希望员工通过AC修改域账号和密码,而从认证页面去掉“修改密码” 2.环境里AC用户都是同步的AD服务器里的。同步过来的用户默认都是不勾选“允许修改本地密码”的,从而还是可以修改密码。 可以联系400客服从后台修改文件来取消显示。
阅读全文
posted @
2020-12-01 15:52
星痕1216
阅读(667)
推荐(0) 编辑
深信服上网行为管理短信认证多用户登录问题
摘要:1.故障现象 在AC 1800(11.9R1)上做了短信认证,但是一个手机号只能供一台设备上网。比如手机通过短信认证可以上网了,然后再拿一台电脑,用同一个手机号认证上网。 那么已经认证过的手机将断网。在AC在线用户管理上看到的就是直接把之前的账号给顶掉了。 2.处理方案 AC短信认证以手机号码作为用
阅读全文
posted @
2020-12-01 15:43
星痕1216
阅读(809)
推荐(0) 编辑
深信服上网行为管理配置跨三层MAC识别
摘要:1.在认证高级选项里点击新增 如果PC的IP和MAC存在于多个三层交换机,则需新增多个。 点击上图“查看服务器信息”测试能否从交换机获取PC的IP和MAC,有返回结果则能正常获取,如下图 完成新增SNMP服务器后,可以查看配置的所有交换机当前snmp获取的结果,如下图 接下来,需要配置排除核心交换机
阅读全文
posted @
2020-12-01 15:38
星痕1216
阅读(4098)
推荐(0) 编辑
深信服上网行为管理实现一次认证成功之后连续3天无流量通过才再次认证
摘要:1.设置认证高级选项 注:此处的无流量时间需小于DHCP的租约时间。 2.认证里的免认证设置
阅读全文
posted @
2020-12-01 14:40
星痕1216
阅读(755)
推荐(0) 编辑
深信服上网行为管理用户报错-用户绑定校验失败
摘要:1.报错截图如下 2.提示用户绑定校验失败原因为行为管理开启了自动录入绑定关系,而终端的信息和设备里面绑定的信息不一致导致。 3.可在用户管理-用户绑定里点击“查看用户绑定错误报告” 把查询到的错误绑定信息删除,重新认证即可。
阅读全文
posted @
2020-12-01 11:39
星痕1216
阅读(4206)
推荐(0) 编辑
深信服上网行为管理办公网常用配置(3)-流量管理
摘要:1.新建虚拟线路,线路上下行带宽等于外网总带宽 2.对于个别有特殊需求的业务(如视频会议)或特殊需求的部门开启带宽保障。 注:带宽保障会优先分配带宽给指定用户,在指定用户用不完的情况下带宽可以被普通用户使用。 3.普通员工限速2MB
阅读全文
posted @
2020-12-01 11:26
星痕1216
阅读(1416)
推荐(0) 编辑
深信服上网行为管理办公网常用配置(2)-策略配置
摘要:上网权限策略 1.对于非法的域名通过自定义应用的方式禁用 1)新增自定义URL 2)新建上网权限策略 2.对个别用户禁止上网 3.对系统自带非法应用禁用 4.对普通员工的工作时间内禁止视频和P2P下载 5.禁止游戏 上网审计策略 1.上网审计- 一般选择全部应用和全部用户 2.开启上网审计后即可在日
阅读全文
posted @
2020-12-01 10:46
星痕1216
阅读(2451)
推荐(0) 编辑
深信服上网行为管理办公网常用配置(1)-认证部分
摘要:1.视频会议、行政类(监控、门禁等)、网络设备、IP电话、服务器等不能使用密码等认证方式的,以不需要认证- 以IP作为用户名的方式认证 2.高管、个别异常终端等以不需要认证- 以MAC作为用户名的方式认证 3.访客使用密码认证- 短信认证 短信认证服务器配置: 4.正式员工以单点登录+密码认证方式,
阅读全文
posted @
2020-11-30 14:47
星痕1216
阅读(1374)
推荐(0) 编辑
SANGFOR AC配置AD域单点登录(二)----AD域侧配置及单点登录认证、注销测试
摘要:1.AD域侧配置 1)新建组策略并配置logon登录脚本,以实现用户开机登录域时,自动通过AC认证 AD域服务器“运行”输入gpmc.msc,打开组策略编辑器,如下图。 右建需要测试单点登录的OU,并选择“在这个域中创建GPO并在此处链接”,如下图,新建名称为“脚本单点登录”的组策略 右键选中新建的
阅读全文
posted @
2020-07-23 11:01
星痕1216
阅读(2334)
推荐(0) 编辑
SANGFOR AC配置AD域单点登录(一)----AC侧配置
摘要:一.需求 1. AD域单点登录适用于客户内网已有AD域统一管理内网用户,部署AC后,希望AC和AD域结合实现平滑认证。即终端PC开机通过域帐号登录AD域后自动通过AC认证上网,无需再次人为通过AC认证,对终端用户透明。 2. 希望以域用户的身份实名上网,实名记录用户上网日志。 二、前期准备 1.Lo
阅读全文
posted @
2020-07-22 17:13
星痕1216
阅读(2172)
推荐(0) 编辑
关于SANGFOR AC记录上网记录
摘要:1.查看加密APP的访问记录,不支持推送证书的方式。也就是这种的是没办法查看到的;2.查看加密网站的访问记录,通过推送证书,电脑可以查看到;手机端安卓的不能,苹果可以,但是不建议做,适用性不好;3.查看非加密APP的访问记录,需要看具体的APP,不确定所有的都能看到;4.查看非加密网站的访问记录,可
阅读全文
posted @
2019-11-04 15:03
星痕1216
阅读(592)
推荐(0) 编辑
网康设置限速问题
摘要:网康的限速分为总带宽限制和每用户限制。 一般使用情况是,针对全员建立一个低带宽(如1MB)的限速,针对个别用户建立一个高带宽的限速。 总带宽限制用来控制高带宽限速的总流量,以免使用的过高影响全局。 新增高带宽限速用户时,除在高带宽限速策略中添加该用户外,还需要在低带宽限速策略中将该用户取消应用。 即
阅读全文
posted @
2019-06-24 18:44
星痕1216
阅读(390)
推荐(0) 编辑
用深信服AC控制方位话机注册链路的开、关
摘要:1.话机正常配置:专线、互联网 配置: 抓包: 结论:话机走专线注册,正常。 2.在SANGFOR AC上阻断专线地址组(域名没有找到阻断方式),模拟专线断开的场景 1)nslookup解析出地址组 2)AC上新建IP地址库和自定义应用 3)新建上网权限策略 4)话机上抓包可以看出话机注册地址变为互
阅读全文
posted @
2019-03-25 11:07
星痕1216
阅读(268)
推荐(0) 编辑
Sangfor_AC用户不在线但在“在线用户管理”里有显示
摘要:现象:用户实际不在线,但是在“在线用户管理”里有看到,而且在线时间很长。 分析:用户通过IP上线以后,只要IP地址在线或者下线时间不超过“无流量自动注销的时间”,那么就会显示到“在线用户管理”里。 而跟实际用户名称对应不上的原因,是因为深信服行为管理认证是基于IP的,用户1使用IP1.1.1.1认证
阅读全文
posted @
2018-11-16 18:56
星痕1216
阅读(732)
推荐(0) 编辑
