关键词:默认支持、默认配置、支持指标
1、第二代UAC是否支持加密应用的审计? 支持,SSL加密审计默认是不开启的,需要在”行为管理——上网策略——上网权限策略”中开启。由于UAC针对加密应用审计的数据包处理的复杂性,开启后会对设备性能造成一定消耗。
2、设备默认应用审计日志是否开启?
是的,设备审计日志默认是开启的,接入业务网络,即产生日志;
3、旁路模式如何设置审计口?
当选择“旁路模式”后,没有设置管理IP的接口都可做为审计接口使用。
4、审计日志是否支持实时传输远程日服务器查看?
支持,已针对第二代UAC远程服务器发布一款UMS产品,该产品是纯软件,客户需提前准备服务器(无操作系统)或虚拟机,服务器推荐硬件配置如下:
CPU:Intel(R) Core(TM) i3-2120 CPU @ 3.30GHz 或以上
5、修改接口IP,与之匹配的路由信息以后会被系统自动删除? 是的,当已配置好IP和网关地址后,然后手动修改接口IP,那么前期手工配置的网关地址就被系统自动删除,通常情况下,客户会认为路由网关地址会丢失。这个linux系统的一个机制。后续会优化该缺陷。保证配置不会丢失,仅提示错误。
6、当第二代UAC未授权的状态时,如何识别设备未导入特征库授权?
未导入授权状态下,特征库按钮未灰色,如下图:
已导入授权状态,会多出现授权有效期,如下图:
7、二代UAC是否支持为内PC提供PPPOE拨号服务 热点问题 不支持
8、二代UAC白名单不生效问题
查看白名单中是否选择的是"不统计"。如果选择不统计,则白名单中设置的策略不生效。
9、内网PC经过小路由器NAT,再到UAC,是否需要重复的认证
不需要,经过NAT后所有的地址都是出接口的地址,也就是说,只要一个用户认证后即可。
10、二代UAC网桥模式能否支持ipsec vpn
不支持,只有路由模式支持ipsec vpn,具体配置步骤可参考一本通。
11、二代RG-UAC 透明模式无法透传CAPWAP协议
设备配置认证导致如法透传,默认情况下只有放行DNS和icmp报文
解决办法:在设备认证参数放通认证前报文,或者是把AP的网段不做认证
12、二代UAC做实名审计是否可以同步用户组架构
可以同步,主要认证服务器对端发送架构数据给我们UAC这端。
13、二代UAC是否可以支持透明模式下的VPN
1.UAC不支持ssl vpn
2.透明模式下不支持任何类型的VPN
14、UAC外置日志服务器和内置报表哪个更优先
默认只有内置,如果都有开启,两者会同时记录
15、URL 库通配符 ? ^的区别
通配符a?b,意思就是不管a和b之间多长多匹配
^abc应该是从a 开始比较,基本用不上
16、二代UAC设备和SAM同步账号的问题
支持同步用户的组织结构,且只同步在线的用户,离线的用户是不能同步的,是实时同步的如果SAM上下线,UAC也会下线。SAM上删除,UAC上也不会删除。
17、二代UAC允许最大用户登录后再有用户登入账号如何处理
在组织管理中可针对单独用户或者用户组进行设置“超出登录用户数”的动作。
18、UAC旁路模式是否支持旁路模式的IM审计
不支持
旁路模式支持SSL代理吗
不支持
旁路模式支持实名审计吗
支持
19、UAC配置IP+MAC同时绑定效果
UAC配置IP+MAC同时绑定效果(不配置策略防火墙限制):
1.当ip不同 MAC一致:访问提示ip与mac不符无法上网 在线用户显示:当前用户lxd
2.当ip一致 MAC不同:访问提示ip与mac不符无法上网 在线用户显示:192.168.1.1
ping测试以上两种情况均能正常ping通外网,和解析外网地址。
若只要实现ip/mac两个中有个不同无法上网,以上配置即可完成。
若还需要内网中不在绑定表中无法上网的需求,可参考实施一本通ip+mac绑定章节。
20、UAC磁盘80%阙值告警
原因:日志存储到了本地磁盘,磁盘内存储过多日志到达阙值,产生告警
方法:建议接到外部日志服务器上,或者进入数据管理中心-数据管理
按需进行存储设置