深信服安全产品 SINFOR_AC_(数据中心)

SANGFORAC设备部署培训一、背景介绍SANGFORAC设备是一种用于网络访问控制的企业级硬件设备，能够提供安全、高效的网络访问管理和流量控制服务。

为了能够正确地配置和部署SANGFORAC设备，使其能够发挥最佳效果，对设备的部署与培训显得尤为重要。

本文主要针对SANGFORAC设备的部署培训进行详细介绍，包括设备的基本功能、部署前的准备工作、设备的设置与配置、故障排除等内容。

二、设备简介SANGFORAC设备是一种能够实现企业内外网络隔离的硬件设备。

它使用网络地址转换（NAT）技术，结合访问控制列表（ACL）和用户认证功能，提供了对网络用户的精细控制机制，保证了企业网络的安全性与可管理性。

SANGFORAC设备具备以下主要功能：1.精细访问控制：能够根据企业需求，对不同用户或用户组设置不同的访问权限。

2.流量控制：能够限制用户的带宽使用，保证企业关键业务的稳定运行。

3.用户认证：能够通过用户认证，对接入网络的用户进行身份确认，增加网络的安全性。

4.应用识别：能够识别网络中的应用程序，对不同应用的流量进行分类和管理。

5.故障排除：能够检测并修复网络中的故障，确保网络正常运行。

三、部署前的准备工作在开始部署SANGFORAC设备之前，需要进行一些准备工作，以确保部署过程的顺利进行。

1.网络拓扑规划：根据企业的网络需求，确定SANGFORAC设备的部署位置和网络拓扑结构。

2.IP地址规划：为SANGFORAC设备和其他网络设备规划IP地址，避免IP地址冲突。

3.设备选型：根据企业的需求选择合适的SANGFORAC设备型号。

4.设备接入准备：确保SANGFORAC设备的电源、网线等接入设备的准备工作已完成。

四、设备的设置与配置4.1 设备初始化在正式开始设备的设置与配置之前，需要对SANGFORAC设备进行初始化操作，以将设备恢复到初始状态。

初始化的步骤如下：1.连接设备：将电源和网线连接到SANGFORAC设备上，并确保设备电源已打开。

深信服Sinfor AC上网行为管理解决方案目录目录一、上网行为管理与企业竞争力 (3)二、互联网管理的好帮手——深信服SINFOR AC上网行为管理系统 (3)三、滨江远望公司网络现状及深信服解决方案 (4)深信服解决方案 (4)网络拓扑图1： (5)网络拓扑图2： (6)四、深信服AC上网行为管理功能介绍 (7)1，细致的访问控制功能，有效管理用户上网 (7)2，完善的内容过虑和访问审计功能，防止机密信息泄漏 (7)3，强大的数据报表中心，提供直观的上网数据统计 (7)4，强大的QOS及流量分析功能 (8)5，集成丰富的外网安全功能：包括防火墙、VPN、IPS、网关杀毒及防垃圾邮件等 (8)五、SINFOR AC安全网关主要技术优势 (8)1，深度的内容检测技术及在线网关监控技术——及时封堵P2P、IM软件 (8)2，邮件的延迟审计（专利技术） (9)3，独有的网络访问准入规则（专利技术） (9)4，WEB认证技术 (9)5，高度集成，部署灵活 (9)6，模块化设计，性能强大 (9)六、成功典型案例 (10)附1：深信服上网行为管理功能一览表 (11)一、上网行为管理与企业竞争力随着Internet的接入的普及和带宽的增加，一方面员工上网的条件得到改善，另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。

在IDC对全世界企业网络使用情况的调查中发现，在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加，令网络管理者头疼不已。

据IDC的数据统计，企业中员工30%至40%的上网活动与工作无关；而来自色情网站访问统计的分析表明：70%的色情网站访问量发生在工作时间。

这些员工随意使用网络将导致三个问题：(1)工作效率低下、(2)网络性能恶化、(3)网络违法行为。

企业网作为一个开放的网络系统，运行状况愈来愈复杂。

企业的IT管理者如何及时了解网络运行基本状况，并对网络整体状况作出基本的分析，发现可能存在的问题（如病毒、木马造成的网络异常），并进行快速的故障定位，这一切都是对企业网信息安全管理的挑战，这些问题包括：●IT管理员如何对企业网络效能行为进行统计、分析和评估？●IT管理员如何限制一些非工作上网行为和非正常上网行为（如色情网站），如何监控、控制和引导员工正确使用网络？●IT管理员如何杜绝员工通过电子邮件、MSN等途径泄漏企业内部机密资料？●IT管理员如何在万一发生问题时有一个证据或依据？二、互联网管理的好帮手——深信服SINFOR AC上网行为管理系统网络作为信息时代企业的生产工具，同样面临着适当监控、合理使用的问题。

SANGFOR_AC&SG_V3.X 外置数据中心安装及配置端使用说明
深信服科技有限公司
2011年07月11
AC&SG外置数据中心安装及配置端使用说
明
一、安装环境
(1) 系统条件
建议安装在windows 2000 server、windows 2003 server、windows 2008 server
系统上，较稳定。

XP系统对数据中心支持得不是很好，不建议安装。

注：所有64位系统都不支持安装
(2) 硬件条件
a、安装盘需要至少4GB的硬盘空间。

b、安装盘磁盘格式必须是NTFS格式。

二、安装步骤
(1)设置外置数据中心查询页面端口
(2)设置mysql数据库安装路径
(3)设置数据中心文件安装路径
(4)确认之前设置的路径并开始安装
三、配置端使用说明
(1)配置端登陆
(2)数据库配置
选择日志附件存放的路径，并点击应用，以生成数据库
(3)数据同步账号
新建一个同步账号
设置同步账号的用户名和密码；新建一个数据库并测试连通性；设置开始同步的日期
点击应用，使配置的同步账号生效！
用户在线表示正在同步数据，用户离线则表示同步数据完成
可以查看实时同步日志或者历史同步日志
四、工具的使用
(1)可以修改登陆密码
(2)可以更改HTTP监听端口
(3)可以设置按天数或者按磁盘空间百分比来删除日志
(4)可以设置磁盘预警
(5)可以设置附件是否加密存储。

测试指导书SANGFOR_AC_v11.0_脚本方式单点登录测试指导书深信服科技有限公司目录1介绍 (3)1.1 总体说明 (3)1.2 文档目的 (3)1.3 缩写和约定 (3)2需求背景 (3)3实现方式 (4)4测试环境 (4)4.1 测试拓扑 (4)4.2 测试条件 (5)4.3 预期测试效果 (6)5测试过程 (6)6测试效果 (18)7高级用法 (19)8注意事项 (25)1 介绍1.1 总体说明完成该文档的过程中，不可删除文档结构，但撰写本文档时，可以自行进行内容和结构的扩展。

无内容可写的章节，请保持现有斜体字描述。

模板中现有的黑体字、非斜体字务必予以保留。

1.2 文档目的为了方便快速达到功能测试效果，减少现场测试出现问题机率。

1.3 缩写和约定AD域：Windows Active DirectoryLogon：单点登录上线脚本Logoff：单点登录下线脚本Gpmc.msc：windows 2008 server 打开域组策略命令Gpupate.exe /force：刷新组策略命令，更改组策略后，需执行此命令使更改立即生效Rsop.msc：加入域的PC上执行，可以通过此命令查看PC是否获取到域组策略Gpresult.exe：加入域的PC上报告，可以通过此命令查看PC是否获取到域的组策略Logon及logoff脚本方式单点登录兼容以下操作系统：2 需求背景2.1. AD域单点登录适用于客户内网已有AD域统一管理内网用户，部署AC后，希望AC 和AD域结合实现平滑认证（即终端PC开机通过域帐号登录AD域后自动通过AC认证上网，无需再次人为通过AC认证，对终端用户透明）2.2. 希望以域用户的身份实名上网，实名记录用户上网日志。

3 实现方式脚本方式单点登录通过在域上配置组策略加载logon脚本（登录脚本）及logff（注销脚本），当域用户登录域时，获取到相应组策略，执行logon脚本向AC认证上线；当域用户从域中注销时，执行logff脚本向AC请求注销下线，整个过程对终端用户透明。

深信服AC内网安全解决方案深信服科技有限公司20XX年XX月XX日目录第1章应用背景 (1)第2章问题分析 (1)第3章风险流量识别 (2)3.1URL访问行为 (2)3.2互联网应用类型识别 (2)3.3危险流量识别 (2)第4章防泄密解决办法 (2)4.1细致的访问控制功能，有效管理用户上网 (3)4.2防DOS攻击功能，有效防御内外网的DOS攻击 (3)4.3IPS系统，保证网络免受攻击 (3)4.4高效准确的网络杀毒、防垃圾邮件、防间谍软件功能，保证上网安全44.5危险流量识别和外发文件告警 (4)4.6统一的IT政策 (5)4.7细致全面的日志记录信息 (5)第1章应用背景随着网络的发展和Internet的广泛应用，当今的网络安全威胁已经由原来的针对TCP/IP 协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击和入侵。

回顾2004年以来，以冲击波、震荡波、安哥Bot、MyDoom等蠕虫与木马病毒为主的网络化病毒，加上利用网络协议及应用漏洞进行攻击与入侵行为，给全球企业造成了巨大的损失。

据统计，仅2005年，病毒等恶意程序就给全球造成了1690亿美元的经济损失。

与此同时，越来越多的企业发现，安全威胁不仅来自外部，企业内部的不当互联网访问、滥用互联网以及泄密行为等等，同样会带来安全问题。

据IDC报告，70%的安全损失是由企业内部原因造成的，而不当的资源利用及员工上网行为往往是“罪魁祸首”。

比如：网页浏览、BT下载、IM实时通信、P2P文件共享等行为。

不当的资源利用及员工上网行为带来了间谍软件、恶意程序和计算机病毒，导致了企业网络资源耗尽、机密信息泄漏、内网病毒泛滥等一系列安全问题。

此时，传统的防火墙已经显得无能为力。

例如针对Windows系统和Oracle/SQL Server 等数据库的攻击，这些攻击和入侵手段封装在TCP/IP协议的有效载荷部分。

传统的防火墙由于只查TCP/IP协议包头部分而不检查数据包的内容，所以无法检测出此类攻击。

深信服PT1认证AC一、简介深信服PT1认证AC，是深信服公司（Sangfor）针对其产品体系的认证体系之一。

该认证旨在评估参与者对于深信服产品的理解和应用能力，通过深入学习和实践，以掌握深信服产品的实际使用技巧和解决问题的能力。

二、认证要求为了获得深信服PT1认证AC，参与者需要满足以下要求：1. 基本知识参与者需要具备深信服产品的基本知识，包括但不限于网络安全、网络基础设施和网络运营等方面的知识。

参与者需要理解深信服产品与其他安全设备的区别和优势。

2. 实践经验参与者需要有一定的实践经验，能够熟练操作深信服产品并解决常见问题。

他们应该能够配置和管理网络设备、进行网络防御和监控，并能够应对各种网络安全事件。

3. 能力评估参与者需要通过一系列考试或实际操作来评估其对深信服产品的应用能力。

这些评估可能涉及产品的安装和配置，网络的部署和优化，以及故障排除和故障恢复等方面。

三、认证流程参与者想要获得深信服PT1认证AC，需要完成以下步骤：1.报名：参与者需要在深信服官方网站上报名参加认证考试。

报名时需填写个人信息和相关经验，并支付相应的认证费用。

2.培训：参与者将参加由深信服公司提供的认证培训课程。

培训课程将介绍深信服产品的特点、配置和管理方法，以及常见问题的解决方法。

3.学习和准备：参与者需要自主学习和准备，通过阅读相关文档、参与讨论和实践操作，以加深对深信服产品的理解和掌握。

4.考试：参与者将参加笔试或实际操作考试，以评估其对深信服产品的理解和应用能力。

考试内容将涉及深信服产品的各个方面。

5.认证颁发：通过考试后，参与者将获得深信服PT1认证AC的证书和徽章。

他们将被列入深信服官方网站的认证名单中，并享受一定的权益和优惠。

四、认证效益获得深信服PT1认证AC将带来以下效益：1.证明实力：认证证书和徽章将证明参与者对深信服产品的深入理解和应用能力，增强其在网络安全领域的专业声誉。

2.就业竞争力：认证是求职过程中的一项有力证明，拥有深信服PT1认证AC将提高参与者在就业市场上的竞争力。

深信服网络安全
深信服（Sangfor）是一家专注于网络安全和云计算的IT公司，总部位于中国深圳。

作为中国领先的网络安全解决方案提供商之一，深信服致力于为全球客户提供全面的网络安全产品和服务。

深信服网络安全产品涵盖了网络入侵防护、边界防火墙、DDoS防护、数据泄漏防护、网络流量分析等多个方面。

其中，深信服的入侵防护系统具备强大的网络安全防御能力，能够实时检测和阻止各种攻击行为，包括黑客入侵、网络蠕虫、木马病毒等。

同时，深信服的边界防火墙产品能够对网络流量进行精确的过滤和控制，保障企业内部网络的安全。

在云计算领域，深信服提供了一站式的云安全解决方案，包括云边协同、云访问安全代理、云防火墙等。

这些产品能够帮助企业在云计算环境下保护数据安全，预防云安全风险，提升企业网络的可用性和稳定性。

除了产品方面，深信服还提供了全面的网络安全服务。

公司拥有经验丰富的安全工程师团队，能够为客户提供专业的安全咨询、网络安全评估、安全性能优化等服务。

此外，深信服还建立了全球性的安全合作伙伴网络，与全球各地的安全厂商和组织进行合作，共同推动全球网络安全事业的发展。

总之，深信服是一家值得信赖的网络安全解决方案提供商。

凭借其领先的技术和专业的服务团队，深信服正在全力保护客户的网络安全，为客户提供稳定可靠的网络环境。

未来，随着网
络安全风险的不断增加，深信服将继续致力于创新和完善网络安全产品和服务，为客户提供更好的保护。

深信服AC上网行为管理系统介绍1)AC产品简况深信服AC系列产品是目前网络行为识别率最高、性能最强的专业上网行为管理设备。

深信服AC系列上网行为管理产品拥有着领先的网络行为识别能力，除了识别普通的明文数据外，AC还可识别加密的流量和应用，并通过基于统计学的网络行为智能检测技术(NBID)，对用户最新面临的应用进行管理，进而提高用户的工作效率，避免机密信息的泄漏。

由于采用了高性能的硬件平台，以及不受硬盘空间限制、可独立部署的数据中心，深信服AC的性能领先于其他同类产品，更好的满足了大规模网络的苛刻要求。

目前，在中国上网行为管理的高端市场中，深信服AC拥有着极高的占有率，其客户包括：中国电力投资集团、中国环境监测总站、卫生部卫生监督中心、北海舰队、中国银行、中银保险、华夏基金、东风日产、比亚迪汽车、四川长虹、天士力集团等大型知名用户。

2)AC功能特点高性价比✓百兆设备，多WAN口设计；✓支持2条Internet线路的带宽叠加，扩大网络出口带宽;主要技术特点：✓深度内容检测技术，封堵所有P2P软件✓邮件延迟审计专利，保证所有邮件先延迟、后发送；✓监控所有即时通讯软件(QQ、MSN等)聊天记录；✓独有的网络访问准入规则，只允许符合上网策略的用户连接Internet；✓详细的日志中心，记录所有上网行为；✓分组管理，对特定组启用监控/不监控；三．产品安装及测试1.AC核心价值介绍下面介绍AC为用户带来的几大核心价值:1)网络带宽管理网络流量管理AC 上网行为管理产品通过审计、控制、优化和带宽叠加等功能，协助管理者全面分析和优化广域网带宽资源。

AC 的数据中心（Network Data Center， NDC）对局域网发生的所有网络行为进行记录、分析和趋势报告。

借助图形化的数据和报表，用户可以直观地了解到哪些服务占用了广域网宝贵的带宽资源，网页浏览，收发邮件，还是P2P 下载。

同样，我们还可以了解到哪个员工在网上购物方面表现出了异于常人的活跃，哪些部门在上班时间观看了最多的在线影片。

全面网络优化方案提升带宽价值深信服科技有限公司2010年5月目录全面网络优化方案，提升带宽价值 (1)深信服AC上网行为管理——实现内网有序管控 (2)深信服SSL VPN——全面的移动安全接入方案 (3)深信服IPSec VPN——异地网络安全、快速组网 (4)深信服广域网加速——让网络飞驰起来 (5)深信服BM流量管理——优化带宽资源 (6)深信服SG上网优化网关——提升上网效率 (7)深信服AD应用交付——链路、应用负载双优化 (9)招商局集团部署深信服产品解决网络性能问题 (10)更多成功客户： (12)全面网络优化方案，提升带宽价值——深信服科技深信服科技是中国规模最大、创新能力最强的前沿网络设备供应商，致力于通过创新、高品质的产品及卓越的服务，帮助用户提升互联网带宽的价值。

通过专业、创新、高性价比的产品，围绕商业用户Internet带宽资源，帮助用户降低成本（VPN实现网间互联、替代专线）、提高效率（广域网加速让应用更快捷）、产生效益（SSL VPN实现无处不在的移动办公）、防范风险（AC上网行为管理网关保证内、外网安全）、优化资源（BM流量控制实现带宽合理管控）、提高访问体验（AD应用交付实现链路及服务器双负载均衡），提供全面的网络优化解决方案！深信服科技现有AC上网行为管理、IPSec VPN、SSL VPN、广域网加速、BM流量控制、AD应用交付等全系列产品线。

丰富的产品系列给客户更大的选择空间。

不同层次、不同需求的客户都可以在深信服科技找到适合自己的网络连通、管理、优化产品。

截止到2010年5月，已有超过16，000家用户选择了同深信服合作并取得了显著收益。

这些用户包括中国移动、通用电气、壳牌石油、丰田汽车等世界500强企业，也包括中国人民银行、国资委、中国人寿、招商银行、南方航空、中国人民大学等中国知名用户。

在中国入选世界500强的企业中，超过一半的企业都是深信服的用户。

目前，深信服科技总人数已达900人，直属分支机构36个，销售网络遍布全国，并在香港、新加坡、阿联酋、泰国、印度等国家和地区设有直属办事机构。

深信服上网行为AC-5000 管理设备功能1) 控制功能：细致的访问控制，有效管理用户上网对于内网用户的网页访问行为，AC不仅通过内置URL库，关键字过滤等方式进行管控。

对于采用SSL加密的网页，如钓鱼网站等，AC的证书验证链接黑白名单技术同样可以管控。

AC不仅管理用户使用WEB、FTP、EMAIL等常用服务，通过深度内容检测技术，实现对QQ、MSN、SKYPE等IM聊天工具，BT、电骡等P2P下载工具，PPLive、QQLive 等在线影音工具，网络游戏，在线炒股等网络应用行为进行管理和控制。

SINFOR AC具有国内最大的应用协议识别库。

针对目前P2P行为泛滥的趋势，SINFOR AC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。

并且对P2P行为严重吞噬带宽资源的问题，提供流量控制功能。

上网行为的管理必须以识别为基础。

SINFOR AC支持本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等），丰富的用户识别方式方便组织的使用。

AC所具备的多种网络访问控制功能，可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制，实现人性化管理要求。

表1：访问控制功能一览表认证方式 支持触发式WEB认证、本地认证、和第三方认证（包括LDAP、AD、Radius、POP3、PROXY等）、Dkey认证等账户自动创建 支持未建帐户的新用户以其计算机名/IP地址作为用户名自动创建帐户；支持将指定IP段的用户自动创建到指定用户组，并同时绑定IP、MAC等。

IP-MAC绑定 支持对用户绑定IP、绑定MAC、或同时绑定IP和MAC； 支持三层网络环境下的IP-MAC绑定功能单点登录 支持AD单点登录，无需在域控服务器上安装任何插件；支持POP3、PROXY单点登录AD同步 支持自动将AD服务器上指定OU/指定安全组读取到设备的树形用户分组结构中，并定期保持与AD自动同步用户认证组织结构 用户分组支持树形结构，支持父组、子组、组内套组等网址过滤 内置800万条以上预分类URL库； 允许手工输入新URL和新分类；关键字过滤 可过滤搜索引擎搜索的指定关键字（关键字可定义）； 可针对网页正文关键字进行网页过滤；可过滤BBS、Webmail等外发含有指定关键字的言论SSL网站过滤 支持对SSL加密的钓鱼网站、炒股网站、证券基金网站、在线购物网站的识别和过滤网页控制文件类型过滤 过滤通过HTTP、FTP下载、上传指定类型的文件； 支持对非标准端口FTP文件传输行为的过滤邮件控制地址限制 可根据发件人地址过滤SMTP外发邮件；可控制哪些用户使用哪些邮箱外发邮件；附件过滤可控制用户外发邮件的附件类型 关键字过滤可限制外发含有指定关键字的邮件 加密邮箱控制对SSL 加密邮箱（如Gmail）识别和控制Webmail 控制可限制指定用户使用指定Webmail ； 基于正文关键字过滤用户的Webmail 行为； 延迟审计支持延迟缓存外发邮件，人工审计后再外发 上网控制可分组、分时段、分用户控制用户可以使用的网络服务（包括网页、下载、QQ、MSN、游戏、Email 等） IM 控制 可分组、分用户、分时段封堵所有聊天软件如：QQ、MSN、新浪UC、Yahoo Messenger、网易泡泡、Skype、飞信等P2P 控制 可分组、分用户、分时段控制用户使用BT、电驴、迅雷、PPLive 等P2P 软件；并能够对非常见/未来可能出现的P2P软件进行管控权限继承 父组的权限支持继承给子组，并支持强制继承，即子组无权删除被强制继承的策略对象代理识别 可以识别并禁止使用HTTP、Socks 代理；对HTTP/HTTPS端口中封装的其他协议进行封堵；可禁止内网用户使用代理软件代理他人上网访问控制策略 支持基于组、时间、服务、网址策略、内容策略等多种对象组合上网控制 上网计时控制控制用户总的上网时长；支持对用户上网时长进行统计2 带宽及流量管理功能：强大流量分析及带宽划分与分配SINFOR AC 的多线路复用专利技术使一台AC 可同时连接四条公网线路，扩展带宽、互为备份、流量负载均衡。

深信服科技数据中心功能介绍深信服科技是一家致力于数据安全与网络解决方案的领先企业，其数据中心提供了一系列强大而全面的功能，旨在帮助用户实现快速、高效和安全的数据管理。

本文将对深信服科技数据中心的功能进行介绍。

一、智能数据备份与恢复深信服科技数据中心提供智能数据备份与恢复功能，可自动备份企业关键数据，并在数据发生丢失或损坏时快速进行恢复。

用户只需设定好备份策略，系统将自动执行备份操作，有效避免了人为操作带来的错误和遗漏。

二、高效数据存储与管理数据存储与管理是数据中心的核心功能之一。

深信服科技数据中心提供高效的数据存储和管理系统，能够实现大规模数据的高速存储和访问。

通过存储优化和数据压缩技术，数据中心可以将存储空间最大化利用，降低企业的存储成本。

三、强大的数据安全保护机制在数据中心中，数据的安全是至关重要的。

深信服科技数据中心通过严格的安全策略与防护机制，为用户的数据提供全面的安全保护。

包括访问控制、数据加密、安全审计等多种技术手段，让用户的数据在存储和传输过程中始终受到最高级别的保护。

四、灵活的数据分析与挖掘功能深信服科技数据中心还提供强大的数据分析与挖掘功能，帮助用户从海量数据中发现有价值的信息。

通过数据分析算法和机器学习技术，数据中心可以帮助用户进行数据挖掘、趋势分析、预测模型等工作，为决策提供科学依据。

五、高可靠性与冗余备份数据中心的可靠性是企业数据安全的重要保障。

深信服科技数据中心通过采用高可靠性的设备与冗余备份的机制，确保数据中心的持续稳定运行。

无论是设备故障还是自然灾害，数据中心都能够通过备份设备实现快速的灾备切换，确保用户的数据始终可用。

六、灵活可扩展的架构深信服科技数据中心的架构设计灵活可扩展，可以满足不同规模企业的需求。

无论是数据量的增长还是业务规模的扩大，数据中心都能够通过添加新的资源节点来提供更快速、更高效的服务。

七、全面的日志与监控功能为了及时发现和排除故障，深信服科技数据中心提供全面的日志和监控功能。

SINFOR AC上网行为管理设备选购指南深信服科技版权所有2008年6月构建安全、可管理的内部网络互联网接入的普及和带宽的增加，改善了组织机构内网员工的上网条件,却因缺乏有效的管控技术和机制，给组织机构带来更多的安全威胁，互联网滥用等问题日益严重。

IDC对全球企业网络使用情况调查后发现，员工在上班时间非法使用邮件、浏览与工作无关的Web网站、从事BT等P2P下载或在线收看流媒体的情况非常普遍.调查结果表明：员工在上班时间发生的网络活动,30％—40%都与工作无关。

那么国内组织机构的互联网应用情况又如何呢？据有关机构调查统计,中国员工比其它地区的员工每周多花7.6小时使用IM、玩网络游戏、P2P下载或在线影音娱乐，严重影响了工作效率和带宽使用效率。

在办公室长时间上网、遭受钓鱼网站等仿冒诈骗、IM聊天软件病毒和木马、因网络安全缺口而带来的安全风险等问题，在中国的情况远比其它地区更为严峻！另外，由于内部网络缺乏有效的管控技术措施，员工滥用互联网导致内网感染病毒木马、信息机密泄漏等事件，已逐渐成为内部网络安全的最大威胁。

据美国CSI/FBI的调查结果显示，政府、企业等机构因重要信息被窃所造成的损失，已远远超过病毒感染和黑客攻击所造成的损失，80％以上的安全威胁来自内部.而据中国公安部最新统计，70％的泄密犯罪来自于机构内部，电脑应用单位80％未设立相应的安全管理系统、技术措施和制度。

如何解决在互联网应用过程中暴露的网络访问行为不可控、内网安全管理不完善的问题，已经成为组织机构管理者和信息技术部门的首要问题之一。

但组织内网用户众多、互联网应用极大丰富、员工的访问行为纷繁复杂，借助组织现有的防火墙等传统网络安全设备，基于源IP、源端口、目的IP、目的端口的“一刀切”管理手段显然已经无法满足上网行为管理的具体要求。

SINFOR AC上网行为管理设备，完善的上网行为管理解决方案作为国内最专业的前沿网络设备供应商,深信服科技以精准的用户识别+终端识别+应用识别技术为基础,结合封堵、流控和审计等丰富灵活的管理手段及优秀的安全增强功能，为客户轻松应对互联网所带来的安全、效率、泄密及法律风险等问题提供了全面、灵活的上网行为管理解决方案.深信服科技成立于2000年底,是深圳市高新技术企业,利用创新、高性价比的前沿网络产品，帮助用户降低成本（IPSec VPN实现网间互联）、提高效率(SSL VPN 实现随时随地的移动办公、网间加速产品大幅度提升广域网速度）、防范风险(AC 管理员工上网行为、全面维护内网安全）等，提升商业用户的Internet带宽价值.SINFOR AC上网行为管理设备及深信服其他前沿网络产品，目前在金融、政府、能源、保险、高校、民航、连锁、通信运营商、石油化工、制造业、医疗卫生、企业集团等众多行业和重要网络中得到大规模应用，客户数量超过一万五千多家，连接国内外数万个网络，移动用户数十万，承载着众多用户的日常业务稳定而安全的运行。

目录跨三层mac地址绑定的配置方法 (1)本文说明 (1)跨三层mac地址绑定原理 (1)跨三层mac地址绑定的配置步骤 (2)步骤一：配置三层交换机的SNMP选项 (3)步骤二：配置AC设备的SNMP项 (3)步骤三：对网用户认证启用mac地址绑定 (5)跨三层mac地址绑定的高级应用 (7)跨三层mac地址绑定的配置方法本文说明AC1.96版本开始，支持在跨三层环境下，对网用户单独绑定mac地址。

AC1.96之前的版本是不支持该功能的，因为在跨三层交换机的环境下，数据经过三层交换机后源mac地址都会转变成三层交换机的mac，这样会导致AC设备无法识别网电脑的真实mac地址，从而导致启用绑定mac后的认证失败。

针对这个情况，1.96做了改善，通过AC设备直接到三层交换机上通过SNMP协议定期获取用户端的真实mac来解决这个问题，下文将详细介绍如何配置使用这个功能。

跨三层mac地址绑定原理在有三层交换机的网络环境下（如下图），网用户采用绑定mac地址的认证方式来上网。

此时，AC1.96版本，对客户端mac地址的效验是依靠snmp协议来实现的。

过程如下：前提条件：在设备上以及三层交换机上都配置了snmp的相关项。

1、AC设备作为snmp客户端，会定期向三层交换机的udp 161端口发送获取其[MAC地址表]的请求信息。

2、三层交换机作为snmp服务器端，当收到来自AC的请求后，会将自己的[MAC地址表]回复给AC 设备。

3、设备会将由三层交换机上获得的[MAC地址表]容，同网绑定mac认证的用户此时的ip地址和以及其绑定的mac地址与作比较。

如果MAC地址信息跟设备上绑定的信息一致，则该用户认证成功。

如果MAC地址信息不一致，则该用户认证失败。

跨三层mac地址绑定的配置步骤下文将以网中只有一台三层交换机的情况为例，介绍在有单台三层交换机的环境下（如下图），网用户mac地址绑定的配置方法。

步骤一：配置三层交换机的SNMP选项。