H3C SecPath ACG1000系列应用控制网关 Web配置指导(R6618)-5W100

13-终端准入管理

1 终端准入管理

1.1 概述

设备与插件对接，通过给终端推送插件，让终端安装插件的方式，实现对用户终端的行为审计及控制，主要包括以下功能：

· 用户终端行为基础配置。

· 用户终端行为审计策略配置。

· 规则对象配置。

· 准入策略配置。

· 设备作为控制器为用户终端推送插件。

· 设备作为服务器接收和响应用户终端推送过来的消息。包括策略的获取、日志的接收、存储和展示。

启用终端审计功能会监控并记录监管范围内用户电脑的浏览器行为、IM工具（如QQ、微信、钉钉等）的聊天记录、邮件收发情况、U盘传输记录以及系统日志等，可能会涉及用户的个人隐私数据。请管理员在开启客户端审计功能时，通知并取得被监管人员的同意！谨慎开启此功能！

1.2 配置概述

终端准入管理配置的推荐步骤如表1-1所示，配置流程如图1-1所示。

表1-1 终端准入管理配置的推荐步骤

配置任务	说明	详细配置
配置选项	必选。	配置选项
设置插件模板	可选，自定义插件推送模板时可选。	插件模板设置
配置终端审计	可选，使用插件的审计功能时选择。	配置终端审计策略
配置规则对象	可选，使用插件检查和管控功能时可选。	规则对象
配置准入策略	可选，使用插件检查和管控功能时可选。	准入策略

图1-1 终端准入管理配置流程图

1.3 配置选项配置

1.3.1 配置选项

在导航栏中选择“用户管理>终端准入管理>配置选项”，进入“配置选项”设置页面，如下图所示。

图1-2 配置选项设置页面

表1-2 配置选项界面的详细说明

项目	说明
监听服务	启用/禁用终端准入管理功能。
HTTPS加密传输	启用时，设备和终端插件之间使用HTTPS加密传输；不启用时，设备和终端插件之间使用HTTP传输。
保活周期	终端PC向设备发送保活报文的间隔时间，可配置范围为60-7200秒。
客户端卸载密码	启用并配置客户端卸载密码后，终端卸载插件时需要输入配置的密码。
推送模式	· 系统Portal推送客户端：如果在推送IP范围内的终端没有安装插件，终端访问外网会重定向到插件下载页面。 · 客户端准入控制静默模式：不会进行插件推送行为。
未安装插件	设置对于未安装插件终端的处理方式： · 视为检查失败，禁止上网：如果在推送IP地址范围内的终端未安装插件，终端访问网络会被阻断。 · 允许上网：如果在推送IP地址范围内的终端未安装插件，终端可以正常访问网络。
推送IP地址范围	设置推送插件的客户端地址范围，支持IPv4和IPv6地址，最多支持16条配置。
准入插件安装包	客户端安装的插件文件，设备上默认没有插件文件，需要手动上传，单击“选择文件”上传。上传后，在推送的插件下载页面上可以点击链接进行下载。

1.3.2 插件模板设置

在导航栏中选择“用户管理>终端准入管理>配置选项”，单击选择“插件模板设置”标签页，进入插件模板设置页面，可以预览或编辑插件推送的页面样式。如下图所示。

图1-3 插件模板设置页面

表1-3 插件模板设置页面的详细说明

项目	说明
预览	预览客户端推送插件的页面样式
编辑	插件页面样式的自定义配置：标签页名称、欢迎词、登录按钮的颜色以及logo 图片，背景图片的设置。
重置	插件模板恢复默认值

1.4 配置终端审计策略

在导航栏中选择“用户管理>终端准入管理>审计策略”，进入“终端审计”配置页面。如下图所示。

图1-4 终端审计配置页面

表1-4 终端审计配置详细说明

项目	说明
启用审计	启用/禁用审计。禁用后，插件对终端PC所有行为都不进行审计。
IM审计	启用/禁用IM审计功能。禁用后，插件不对终端PC的IM应用行为进行审计。
IM文件备份阈值	IM文件备份阈值配置范围1-10M，默认2M。阈值范围内的IM聊天文件，插件可以审计日志并上传到设备；超过阈值的IM聊天文件，插件只审计日志，不上传文件到设备。
IM审计文件类型	不配置IM审计文件类型时，所有的文件类型都能进行审计，产生相应的审计日志并上报文件；配置IM审计文件类型，所有文件类型都会审计，只会上报配置的文件类型的文件，其他类型文件不会上报。
浏览器上网审计	启用/禁用浏览器上网审计。禁用后，插件不对终端PC的浏览器上网行为进行审计。
客户端邮件审计	启用/禁用客户端邮件审计。禁用后，插件不对终端PC的客户端邮件行为进行审计。
邮件文件备份阈值	邮件文件备份阈值配置范围1-10M，默认2M。阈值范围内的邮件，插件可以审计日志并上传文件到设备；超过阈值的邮件，插件只审计日志，不上传文件到设备。
USB审计	启用/禁用USB审计。禁用后，插件不对终端PC的USB行为进行审计。
USB文件备份阈值	USB文件备份阈值配置范围1-10M，默认2M。阈值范围内的文件，插件可以审计日志并上传文件到设备；超过阈值的文件，插件只审计日志，不上传文件到设备。
进程列表审计	启用/禁用进程列表审计功能。禁用后，插件不对终端PC的进程进行审计。

支持IM聊天工具包括QQ、微信、钉钉、阿里旺旺、TIM、企业微信;

支持浏览器包括谷歌、火狐、360安全浏览器、360极速浏览器、搜狗、微软Edge及IE；目前只支持部分https网站审计;

支持U盘及移动硬盘审计;

支持邮箱包括Foxmail和outlook2016;

进程列表日志默认10分钟发送一次；

1.5 配置终端准入策略

1.5.1 准入策略

在导航栏中选择“用户管理>终端准入管理>准入策略”，进入“准入策略”页面，点击“新建”，进入准入策略配置页面。如下图所示。

图1-5 准入策略配置页面

表1-5 准入策略配置详细说明

项目	说明
启用	启用/禁用准入策略。
策略名称	配置准入策略名称。
策略描述	配置准入策略描述。
用户	引用或排除用户、用户组。
用户IP地址	配置需要匹配的IP地址。
规则对象	选择需要生效的规则对象，最多选择32条。

用户和用户IP地址不能同时为空，同时配置用户和用户IP地址时只要匹配其中一个就算匹配到策略；

一条准入策略最多引用一条杀软检查规则、登录域检查规则、操作系统规则、补丁检测规则、Windows账号规则、防篡改检查规则、外联检查规则、外设管控规则。

1.5.2 规则对象

1. 杀软检查规则

在导航栏中选择“用户管理>终端准入管理>准入策略”，单击选择“规则对象”标签页，进入规则对象页面，将鼠标悬停在“新建”按钮，选择“检查规则>杀软检查规则”，进入杀软检查规则配置页面，如下图所示。

图1-6 杀软检查规则配置页面

表1-6 杀软检查规则配置说明

项目	说明
规则名称	配置规则对象名称。
规则描述	配置规则对象描述。
检查项配置	支持13种杀毒软件。支持勾选杀毒软件，支持编辑杀毒软件配置版本要求和病毒库未更新天数要求。 · 安装并运行对应杀毒软件且符合版本及病毒库未更新天数要求，视为合规； · 勾选多个杀毒软件，符合选中任意一款软件要求，视为合规。
违规处置	· 禁止上网并提示用户：违规后禁止终端上网，弹窗提示并上报日志。 · 提示用户：违规后弹窗提示并上报日志。 · 只记录结果：违规后只上报日志。
提示内容	配置自定义提示内容。
预览	预览弹窗提示信息。

2. 登录域检查规则

在导航栏中选择“用户管理>终端准入管理>准入策略”，单击选择“规则对象”标签页，进入规则对象页面，将鼠标悬停在“新建”按钮，选择“检查规则>登录域检查规则”，进入登录域检查规则配置页面，如下图所示。

图1-7 登录域检查规则配置页面

表1-7 登录域检查规则配置说明

项目	说明
规则名称	配置规则对象名称。
规则描述	配置规则对象描述。
检查项配置	必须登录到域：要求安装插件终端必须登录到域，若没有登录到域，视为违规。必须登录到指定域：要求安装插件终端必须登录到指定的域，若没有登录到指定域，视为违规。
指定域名	配置指定域名，最多支持配置16条；填写多个域名时，只要登录到其中一个域就视为合规。
违规处置	禁止上网并提示用户：违规后禁止终端上网，弹窗提示并上报日志提示用户：违规后弹窗提示并上报日志只记录结果：违规后只上报日志
提示内容	配置自定义提示内容
预览	预览弹窗提示信息

3. 操作系统规则

在导航栏中选择“用户管理>终端准入管理>准入策略”，单击选择“规则对象”标签页，进入规则对象页面，将鼠标悬停在“新建”按钮，选择“检查规则>操作系统规则”，进入操作系统规则配置页面，如下图所示。

图1-8 操作系统规则配置页面

表1-8 操作系统规则配置说明

项目	说明
规则名称	配置规则对象名称。
规则描述	配置规则对象描述。
操作系统配置	支持勾选Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11；只允许使用勾选的操作系统；终端使用操作系统不在勾选内，视为违规。
违规处置	禁止上网并提示用户：违规后禁止终端上网，弹窗提示并上报日志提示用户：违规后弹窗提示并上报日志只记录结果：违规后只上报日志
提示内容	配置自定义提示内容
预览	预览弹窗提示信息

4. 进程检查规则

在导航栏中选择“用户管理>终端准入管理>准入策略”，单击选择“规则对象”标签页，进入规则对象页面，将鼠标悬停在“新建”按钮，选择“检查规则>进程检查规则”，进入进程检查规则配置页面，如下图所示。

图1-9 进程检查规则配置页面

表1-9 进程检查规则配置说明

项目	说明
规则名称	配置规则对象名称。
规则描述	配置规则对象描述。
进程名称	配置运行程序的进程名称，不支持模糊匹配。
窗口名称	配置运行程序的窗口名称，不支持模糊匹配。
程序路径	只适用于“开启进程”，不用于匹配，支持配置绝对路径或环境变量。
进程状态	配置进程状态“正在运行”或“没有运行”
匹配程序MD5值	配置运行程序的MD5值。
匹配程序大小	配置运行程序的大小。
违规处置	· 禁止上网并提示用户：违规后禁止终端上网，弹窗提示并上报日志； · 提示用户：违规后弹窗提示并上报日志； · 只记录结果：违规后只上报日志； · 停止进程：进程状态为“正在运行”时可选，违规后停止对应进程； · 开启进程：进程状态为“没有运行”时可选，违规后开启对应进程。
提示内容	配置自定义提示内容。
预览	预览弹窗提示信息。

5. 文件规则

在导航栏中选择“用户管理>终端准入管理>准入策略”，单击选择“规则对象”标签页，进入规则对象页面，将鼠标悬停在“新建”按钮，选择“检查规则>文件规则”，进入文件规则配置页面，如下图所示。

图1-10 文件规则配置页面

表1-10 文件规则配置说明

项目	说明
规则名称	配置规则对象名称。
规则描述	配置规则对象描述。
文件路径	配置文件的路径，不支持模糊匹配。
文件状态	配置文件状态“文件存在”或“文件不存在”。
匹配程序MD5值	配置文件的MD5值。
匹配程序大小	配置文件的大小。
违规处置	· 禁止上网并提示用户：违规后禁止终端上网，弹窗提示并上报日志； · 提示用户：违规后弹窗提示并上报日志； · 只记录结果：违规后只上报日志； · 删除文件：文件状态为“文件存在”时可选，违规后删除对应文件。
提示内容	配置自定义提示内容。
预览	预览弹窗提示信息。

6. 注册表规则

在导航栏中选择“用户管理>终端准入管理>准入策略”，单击选择“规则对象”标签页，进入规则对象页面，将鼠标悬停在“新建”按钮，选择“检查规则>注册表规则”，进入注册表规则配置页面，如下图所示。

图1-11 注册表规则配置页面

表1-11 注册表规则配置说明

项目	说明
规则名称	配置规则对象名称。
规则描述	配置规则对象描述。
注册表项	配置注册表的表项，不支持模糊匹配。
表项名称	配置注册表的名称，不支持模糊匹配。
表项数据	配置注册表的数据，不支持模糊匹配。
表项状态	配置表项状态“用户注册表中含有”或“用户注册表中没有”。
违规处置	· 禁止上网并提示用户：违规后禁止终端上网，弹窗提示并上报日志； · 提示用户：违规后弹窗提示并上报日志； · 只记录结果：违规后只上报日志； · 删除该项：表项状态为“用户注册表中含有”时可选，违规后删除对应注册表。
提示内容	配置自定义提示内容。
预览	预览弹窗提示信息。

7. 补丁检测规则

在导航栏中选择“用户管理>终端准入管理>准入策略”，单击选择“规则对象”标签页，进入规则对象页面，将鼠标悬停在“新建”按钮，选择“检查规则>补丁检测规则”，进入补丁检测规则配置页面，如下图所示。

图1-12 补丁检测规则配置页面

表1-12 补丁检测规则配置说明

项目	说明
规则名称	配置规则对象名称。
规则描述	配置规则对象描述。
补丁检测列表	配置需要检查的漏洞；只支持列表中的20个漏洞，勾选将会对漏洞进行检查。
违规处置	· 禁止上网并提示用户：违规后禁止终端上网，弹窗提示并上报日志； · 提示用户：违规后弹窗提示并上报日志； · 只记录结果：违规后只上报日志。
提示内容	配置自定义提示内容。
预览	预览弹窗提示信息。

8. Windows账号规则

在导航栏中选择“用户管理>终端准入管理>准入策略”，单击选择“规则对象”标签页，进入规则对象页面，将鼠标悬停在“新建”按钮，选择“检查规则>Windows账号规则”，进入Windows账号规则配置页面，如下图所示。

图1-13 Windows账号规则配置页面

表1-13 Windows账号规则配置说明

项目	说明
规则名称	配置规则对象名称。
规则描述	配置规则对象描述。
处理动作配置	· 违规后禁止上网：使用隶属于Administrator组的用户登录计算机，违规后禁止上网，并弹窗提示，上报日志。 · 违规后仅记录日志：使用隶属于Administrator组的用户登录计算机，违规后上报日志。

9. 防篡改检查规则

在导航栏中选择“用户管理>终端准入管理>准入策略”，单击选择“规则对象”标签页，进入规则对象页面，将鼠标悬停在“新建”按钮，选择“检查规则>防篡改检查规则”，进入防篡改检查规则配置页面，如下图所示。

图1-14 防篡改检查规则配置页面

表1-14 防篡改检查规则配置说明

项目	说明
规则名称	配置规则对象名称。
规则描述	配置规则对象描述。
不能有以下行为	可以配置勾选“修改MAC”和“修改IP”；勾选“修改IP”后，违规处置只能选择“恢复修改前地址并提示用户”。
违规处置	· 禁止上网并提示用户：违规后禁止终端上网，弹窗提示并上报日志； · 提示用户：违规后弹窗提示并上报日志； · 只记录结果：违规后只上报日志； · 恢复修改前地址并提示用户：违规后恢复修改前地址，弹窗提示并提示用户。
提示内容	配置自定义提示内容。
预览	预览弹窗提示信息。

DHCP场景不支持开启IP防篡改。

10. 软件检查规则

在导航栏中选择“用户管理>终端准入管理>准入策略”，单击选择“规则对象”标签页，进入规则对象页面，将鼠标悬停在“新建”按钮，选择“检查规则>软件检查规则”，进入软件检查规则配置页面，如下图所示。

图1-15 软件检查规则配置页面

表1-15 软件检查规则配置说明

项目	说明
规则名称	配置规则对象名称。
规则描述	配置规则对象描述。
软件列表配置-软件名称	配置需要检测的软件名称。
软件列表配置-版本要求	配置版本要求，可配置“无要求”、“高于”、“不低于”、“等于”。
软件列表配置-版本号	配置软件版本号。
判断方式	可配置“如果已安装下列任意一款软件，视为违规”、“如果已安装下列任意一款软件，视为合规”、“如果安装下列所有软件，视为合规”。
违规处置	· 禁止上网并提示用户：违规后禁止终端上网，弹窗提示并上报日志； · 提示用户：违规后弹窗提示并上报日志； · 只记录结果：违规后只上报日志。
提示内容	配置自定义提示内容。
预览	预览弹窗提示信息。

11. 外联检查规则

在导航栏中选择“用户管理>终端准入管理>准入策略”，单击选择“规则对象”标签页，进入规则对象页面，将鼠标悬停在“新建”按钮，选择“检查规则>外联检查规则”，进入外联检查规则配置页面，如下图所示。

图1-16 外联检查规则配置页面

表1-16 外联检查规则配置说明

项目	说明
规则名称	配置规则对象名称。
规则描述	配置规则对象描述。
拨号行为	勾选后，终端存在PPPOE拨号行为视为违规。
双网卡行为	勾选后，终端存在多网卡行为视为违规。
有无线网卡	勾选后，终端存在无线网卡视为违规。
有4G网卡	勾选后，终端存在4G网卡视为违规。
连接非法WIFI	勾选后，终端连接WIFI视为违规。
WIFI白名单	配置WIFI白名单，勾选连接非法WIFI，终端连接白名单内WIFI视为合规。
使用非法网关	勾选后，终端存在网关视为违规。
网关白名单	配置网关白名单，勾选使用非法网关，终端配置白名单内网关视为合规。
连接外网	勾选后，终端自动探测www.baidu.com是否可达，可达视为违规
自定义外联	勾选自定义外联必须勾选连接外网；勾选自定义外联后，终端自动探测自定义外联地址是否可达，可达视为连接外网违规。
自定义外联地址	配置自定义外联地址。
违规处置	· 禁止上网并提示用户：违规后禁止终端上网，弹窗提示并上报日志； · 提示用户：违规后弹窗提示并上报日志； · 只记录结果：违规后只上报日志。
提示内容	配置自定义提示内容。
预览	预览弹窗提示信息。

12. 计划任务规则

在导航栏中选择“用户管理>终端准入管理>准入策略”，单击选择“规则对象”标签页，进入规则对象页面，将鼠标悬停在“新建”按钮，选择“管控规则>计划任务规则”，进入计划任务规则配置页面，如下图所示。

图1-17 计划任务规则配置页面

表1-17 计划任务规则配置说明

项目	说明
规则名称	配置规则对象名称。
规则描述	配置规则对象描述。
执行程序	上传执行程序，支持.exe，.msi，.vbs，.js，.cmd，.bat。
程序运行参数	配置程序运行参数。
执行权限	配置执行权限，“以当前用户权限执行”：以客户端当前登录的账号权限执行；“以SYSTEM用户权限执行”：以SYSTEM用户权限执行。
执行计划	配置执行计划，“周期运行时间”：按间隔时间周期性执行计划；“运行一次：计算机上的准入客户端启动时运行”：每次客户端启动时执行计划。
运行间隔	配置运行间隔时间。
执行失败后操作	· 禁止上网并提示用户：违规后禁止终端上网，弹窗提示并上报日志； · 提示用户：违规后弹窗提示并上报日志； · 只记录结果：违规后只上报日志。
提示内容	配置自定义提示内容。
预览	预览弹窗提示信息。

13. 外联控制规则

在导航栏中选择“用户管理>终端准入管理>准入策略”，单击选择“规则对象”标签页，进入规则对象页面，将鼠标悬停在“新建”按钮，选择“管控规则>外联控制规则”，进入外联控制规则配置页面，如下图所示。

图1-18 外联控制规则配置页面

表1-18 外联控制规则配置说明

项目	说明
规则名称	配置规则对象名称。
规则描述	配置规则对象描述。
控制项配置	“不能访问以下地址”：不能访问以下地址，其他地址可以正常访问； “只能访问以下地址”：只能访问以下地址，其他地址不能访问。
IP地址	配置IP地址和端口，最多支持配置64条。
离网时继续生效	勾选“离网时继续生效”，终端与设备端心跳保活失败后，规则仍然生效。

14. 外设管控规则

在导航栏中选择“用户管理>终端准入管理>准入策略”，单击选择“规则对象”标签页，进入规则对象页面，将鼠标悬停在“新建”按钮，选择“管控规则>外设管控规则”，进入外设管控规则配置页面，如下图所示。

图1-19 外设管控规则配置页面

表1-19 外设管控规则配置说明

项目	说明
规则名称	配置规则对象名称。
规则描述	配置规则对象描述。
禁止使用的外设类型	可配置禁止使用的外设类型： · “存储设备”：禁止终端使用便携设备的存储功能，如：U盘、手机、平板等； · “网络设备”：禁止终端外接网络设备，如：移动数据网卡、无线wifi网卡、蓝牙适配器共享网络、手机共享网络功能； · “蓝牙设备”：禁止终端使用蓝牙功能，如：笔记本自带蓝牙、蓝牙适配器等相关功能 · “摄像头”：禁止终端使用摄像头等相关功能； · “打印机”：禁止终端使用打印机设备等相关功能。
U盘及移动硬盘接入	可配置U盘及移动硬盘接入权限控制： · “只读”：只能从U盘及移动硬盘拷出文件，不能拷入、新建、删除文件。 · “只写”：不能从U盘及移动硬盘拷出文件，可以拷入、新建、删除文件。 · “读写”：可以拷入、拷出、新建、删除文件。 · “不可读写”：不能对U盘及移动硬盘进行拷入、拷出、删除、新建文件操作。
便携设备接入	可配置便携设备接入控制，便携设备指手机、平板等： · “禁止”：对接入的便携设备禁止拷入、拷出、新建、删除文件操作； · “告警”：接入便携设备后弹窗告警，可以正常操作； · “允许”：允许对接入的便携设备进行操作。
白名单-名称	可配置白名单名称。
白名单-白名单ID	配置白名单外设ID，在白名单内的设备不受控制。
白名单-外设ID读取软件	下载外设ID读取软件。
白名单-配置向导	下载外设ID获取配置向导。

15. 端口管控规则

在导航栏中选择“用户管理>终端准入管理>准入策略”，单击选择“规则对象”标签页，进入规则对象页面，将鼠标悬停在“新建”按钮，选择“管控规则>端口管控规则”，进入端口管控规则配置页面，如下图所示。

图1-20 端口管控规则配置页面

表1-20 端口管控规则配置说明

项目	说明
规则名称	配置规则对象名称。
规则描述	配置规则对象描述。
控制项配置	· “放通以下端口”：可以访问以下配置的端口，其他端口不允许访问； · “封堵以下端口”：禁止访问以下配置的端口，其他端口可以正常被访问。
端口-协议类型	协议类型可配置“TCP”、“UDP”、“ICMP”
端口-本地端口	配置本地端口，最多配置16条。
端口-对端IP	配置对端IP，可配置所有IP、指定IP。
端口-指定IP	配置指定的IP地址。
离网继续生效	勾选离网时继续生效，终端与设备端心跳保活失败后，规则仍然生效。

1.6 终端管理

1.6.1 在线终端

客户端安装插件后上线，设备上会显示在线的终端信息。在导航栏中选择“用户管理>终端准入管理>终端管理”，选择“在线终端”标签页进入在线终端页面，可以查看在线终端的信息，包括主机名称、IP、MAC地址、终端系统的版本及系统补丁信息，如下图所示。

图1-21 在线终端页面

插件关闭（如客户端PC关机）后，设备若超过3次获取不到心跳包（保活周期配置范围为60-7200秒，超时下线时间为保活周期3倍，若保活周期为60s，则每隔3分钟检查一次在线状态），则会认为终端已下线，此时设备会将该终端的在线终端信息删除。

1.6.2 终端合规状态

在设备上配置规则对象和准入规则后，如果安装插件的终端匹配到策略对应的规则，设备上会产生终端合规状态日志。在导航栏中选择“用户管理>终端准入管理>终端管理”，选择“终端合规状态”标签页进入终端合规状态页面，如下图所示。

图1-22 终端合规状态页面

表1-21 相关配置说明

项目	说明
检测时间	终端检测时间
用户名	终端在设备上线用户名信息
用户组	终端在设备上线用户组信息
用户IP	终端的IP地址信息
用户MAC	终端的MAC地址信息
规则类型	规则类型信息
检测结果	检测结果信息
详情	检测详细信息