AC（上网行为管理）笔记：

上网行为管理11.0R2升级包下载地址：

http://download.sangfor.com.cn/download/product/ac/AC11.0R2(20160406).ssu

外置数据中心DC11.0R2安装包下载地址：

http://download.sangfor.com.cn/download/product/ac_data_center/DataCenterSetup_11.0R2_chs.zip

外置数据中心DC11.0R2升级包下载地址：

http://download.sangfor.com.cn/download/product/ac_data_center/DataCenterUpdate_11.0R2_chs.zip

查找管理口IP：SANGFOR升级工具；

当抓包抓到一样的会话，比如源地址全是一个，发送UDP会话到233.0.0.1，就是交换机环路了，因为233.0.0.1是每个设备的保留地址，就像127.0.0.1一样，自己给自己发包就是环路了，也可以拿目的MAC去查，看到信息写着是私营的话就是自己的地址，一般MAC地址会显示厂商厂地信息的。

如果设备接反了线（内网口接了外网），在线用户看到的就会是公网地址，还可通过设备的接口吞吐率折线图，流量是否是双向的进行判断；

如果做了上网权限，你打开这个应用当应用需要联网的情况下才能被数据中心记录日志，不需要联网AC就无法识别到；

客户是PPPOE拨号获取IP，拨号在路由器那里获取了地址，然后AC如果部署路由模式就要设置内外网IP，不能同一网段，所以要配置为网桥模式，路由器—AC—交换机这样部署；

AC恢复之前备份配置的要求是：
同版本导入配置：
1、有本地的备份的配置文件或者设备上面有之前备份的配置文件
2、新设备的网口数量需要比备份配置中使用的网口数量多或者是等于

不同版本导入配置（除了上述条件，还需要满足）：
1、3.3R1版本之后开始支持导入到高版本中，但是最高为6.1的版本（举例：比如4.5的配置可以导入到比4.5高但是比6.1版本低的版本中）
2、6.1的配置可以导入到11.0R2的版本中，不支持导入到其他的高版本中
3、11.x的版本，支持导入到比当前版本高的版本中
注意：
1、AC和SG的配置不能互导，但是有一个版本比较特殊，SG6.1的配置可以导入到AC11.0R2里面去，其他的版本都不行（因为SG设备没有11.0R2的版本）
2、从什么地方备份的配置，只能从什么地方导入（比如网页里面备份的配置仅支持从网页里面导入，升级客户端里面备份的配置，仅支持从升级客户端导入）

您同步的话因为所有配置都会变成一样的，如果是部署在跟之前A不同的网段:

1、需要修改网络地址

2、针对用户做的认证策略网段需要修改

3、策略适用用户这些也需要修改

AC11.8支持从AC11.0R2、AC11.2的配置进行导入

6.1的配置可以导入到11.0R2的版本中，不支持导入到其他的高版本中

有没有那种哪个设备能接多少用户的那个表？

6.1的配置可以导入到AC11.0或者AC11.0R2的

如果接了新设备需要做配置，连上去默认是上不了网的，所以无法远程（远程的前提是需要网络），除非电脑有双网卡！

交换机接口被人用一根网线两端连接两个网线插口，形成回路会上不了网！

SANGFOR升级设备可以按F10查看具体报错信息；

11.x的不支持网桥多网口了 需要修改成多网桥设置，才能升级；

改成多网桥之后建议用75检测包检测一下设备支不支持升级，版本支持的话不一定设备也支持：升级检测包 ： http://pan.baidu.com/s/1kVnmPaJ

只有Ac11.8的升级包自带检测功能 可以加载升级包检测 其他的都没有检测功能;

11.0升级检测工具提示配置转换失败，可能是DMZ口重定向功能导致的，在高级设置里，如果开了，就关了提交再开再关，如关了就开了提交再关；

如果OA无法收发邮件，并且确定是由于深信服策略引起的，可以将“owa.gf.com.cn”这地址添加到自定义排除地址里面，即可以解除相关的拦截

AC11.0r2升级包下载地址及说明

1.2015年1月后购买的设备可以升级到11.0R2,2015年前购买的设备，请先联系400客服，确认硬件资源是否足够升级到11.0R2

2.5.6到11.0R2的升级顺序是：5.6→5.7→6.0→6.1→11.0R2

3.升级之后，会删除以下功能：

邮件延迟审计，外发文件告警，插件过滤，脚本过滤及危险行为识别

4.如果有使用外置数据中心，升级后，必须安新版本的外置数据中心，并重新设置数据同步

5.升级包下载地址

上网行为管理11.0R2升级包下载地址：

http://download.sangfor.com.cn/download/product/ac/AC11.0R2(20160406).ssu

外置数据中心DC11.0R2安装包下载地址：

http://download.sangfor.com.cn/download/product/ac_data_center/DataCenterSetup_11.0R2_chs.zip

外置数据中心DC11.0R2升级包下载地址：

http://download.sangfor.com.cn/download/product/ac_data_center/DataCenterUpdate_11.0R2_chs.zip

若是策略不生效 建议您确认一下这个

1、确认没有开直通和全局排除地址

2、URL应用识别库是最新的且是有效的

比如是否关联了这个用户是否之前有允许策略

在在线用户列表中找到这个用户看一下是否是匹配了这条策略

若是策略是正确的，没有开直通和全局排除地址且URL应用识别库是有效的最新的话
再建议您这样操作一下您手动更新一下这个应用然后在日志中心查看一下日志查询刚刚您更新的这个动作被识别成什么应用了

软件下载的话这个只有一个行为记录没有具体的其他记录，具体的下载AC无法审计到的

AC可以审计到网页版的微信聊天，客户端的审计不了;为什么QQ可以做到审计内容，微信做不到:

qq最初出现的时候它的承载平台是pc（并且是windows pc需要安装准入插件才可以记录聊天信息），到后来智能移动终端的出现 qq才大范围的用在了手机、平板这种移动端，目前涉及到移动端的也还是无法监控其聊天信息的（因为pc端和移动端的数据结构不一样）； 
而微信最初的设计就是用在移动端（特别是手机端）上面使用，即便是后来出了pc端的app或网页微信，仔细观察功能和手机上面还是有差别的；

SSL VPN笔记：

VPN分类：

AD域里的用户，里面添加了各自的电话号码，，在VPN上进行域用户同步过来，电话号码同步不了：

把这个选项改成默认的 telephoneNumber 然后再同步看看号码有没有同步

除了手动同步还可以设置自动同步用户：

可以部分用短信认证，部分不用的，只需要在新建用户的时候选择一下认证的方式就可以（用户是从ldap那里对接过来也是可以配置的，因为短信验证不会经过ldap ）

这个webservice的方式的话，在这个页面配置的前提的话，是已经配置好webservice可以向外提供服务的，只要在这个地方填如webservice就可以的 （这个是配置好的webservice的URL）

辅助认证需要配合主要认证才能用，比如先设置主要认证为用户名密码认证，然后才可以设置辅助认证为短信认证

从ad同步过来的用户，默认的主认证是外部认证，现在需要为个别ldap同步的用户设置短信认证 ，截图就变成灰色

这里把勾去掉 就可以设了（继承了组的认证设置，就编辑不了）