上网行为管理web认证

一、先建两个时间段对象（关键：跨天要拆成两段）

• 时间段 A：每天 00:00～6:59（属于认证时段）
• 时间段 B：每天 7:00～23:59（属于认证时段）
  合起来就是全天认证；反时间段就是免认证。

1. 新建时间段 A（00:00–6:59）

1. 菜单：对象管理 → 时间表 → 日计划
2. 点击新建
   • 名称：Auth_Time_00_0659
   • 周期类型：每天
   • 起始时间：00:00
   • 结束时间：06:59
     
3. 提交。

2. 新建时间段 B（07:00–23:59）

1. 同上页面，新建
   • 名称：Auth_Time_07_2359
   • 周期类型：每天
   • 起始时间：07:00
   • 结束时间：23:59
2. 提交。

说明：这两个时间段合起来覆盖全天，用于绑定 “必须 Web 认证” 的策略。

二、配置 Web 认证模板（提前做好）

1. 菜单：用户管理 → 认证管理 → Web 认证
2. 启用本地 Portal，配置好认证页面、账号 / 微信等方式，记好认证域（如default）。

三、新建 “认证时段强制 Web 认证” 策略

1. 菜单：策略配置 → IPv4 策略 → 新建
2. 基础配置：
   • 策略名称：Policy_WebAuth_AllDay
   • 源地址：内网网段（如192.168.0.0/24，或选 “内网用户” 对象）
   • 目的地址：any
   • 服务：any
   • 动作：允许（但触发 Web 认证）
3. 高级配置 → 时间：
   • 点击添加，先后选中：
     • Auth_Time_00_0659
     • Auth_Time_07_2359
   • 即：策略在这两个时间段生效
     
4. 认证配置：
   • 认证方式：Web 认证
   • 认证域：选你建好的域（如default）
5. 提交，移到策略列表最前面（优先匹配）。

四、新建 “免认证” 策略（非认证时段）

1. 同上页面，新建
   • 名称：Policy_Pass_NoAuth
   • 源 / 目的 / 服务：同上面（any / 内网）
   • 动作：允许
   • 时间：不选任何时间段（或选 “永远”）
   • 认证：无
2. 提交，放在认证策略后面。

五、效果验证

• 每天 07:00 → 次日 06:59：命中Policy_WebAuth_AllDay，所有 HTTP/HTTPS 流量强制跳 Web 认证；
• 06:59:59 → 07:00:00：无缝切换，全天都走认证；
• 若需仅工作日认证，在时间段里选 “周一至周五” 即可。

对于ACG1000要实现从每天7:00开始到次日6:59的周期性Web认证，可以按下面三个步骤配置。这套策略的核心是“优先级 + 反向时间段”，实现认证策略的自动切换。

 配置概览

1. 定义时间对象：创建一个覆盖“非认证时段”的时间对象，把不认证的时间段精准定义出来。

2. 配置免认证策略：创建一个新的点击生效策略，引用刚才创建的时间对象。关键是它的优先级要高于主认证策略。

3. 调整策略顺序：把免认证策略放在主认证策略的上方，利用策略从上到下的匹配规则，让设备优先执行免认证策略，实现不弹Portal页面的效果。

 第一步：定义反时段的时间对象

这里的思路是创建一个表示“免认证时间”的时间对象。

1. 登录ACG1000的Web管理界面。

2. 导航到 “上网行为管理” > “对象管理” > “时间对象”。

3. 点击 “新建”，创建一个名为 no_auth_time 的时间对象。

4. 配置一个日计划，时间段为 00:00 到 06:59。

   • 此操作定义了一个每天午夜到早晨6:59的周期。

5. 点击 “提交” 并 “保存配置”。

核心理解： 我们用这个时间对象来匹配那些不需要进行Web认证的时段。

 第二步：【重要】调整默认认证策略

实现自动切换，需要两条认证策略协同工作。在进行下一步前，请先确认您已有一条默认的主认证策略，负责在7:00-23:59期间弹出Portal认证页面。

找到该认证策略（通常位于 “用户管理” > “认证策略” 页面），确认其没有配置时间对象（即全天候生效），并记下它的默认优先级（以数字表示，数字越小优先级越高）。

 第三步：创建优先的免认证策略

这一条是核心，关键点在于动作选择“免认证”。

1. 导航到 “用户管理” > “认证策略” 页面。

2. 点击 “新建”，创建一个新的认证策略。

   • 名称：例如 No_Auth_Policy。

   • 源接口/源地址：请与主认证策略保持完全一致。

   • 时间对象：选择上一步创建的 no_auth_time。

   • 认证方式：选择 “免认证”（或“不认证”）。

3. 点击 “提交” 并 “保存配置”。

 策略“叠加”的理解误区： 当时间对象匹配上时，用户会直接命中此条免认证策略，实现不弹Portal上网。它绝不会同时匹配到下一条需要认证的策略。 这种“直通”效果正是依靠优先级和时间对象共同实现的。

 第四步：调整策略顺序并验证

最后一步是确保策略按预期执行。

1. 在 “用户管理” > “认证策略” 页面，将刚刚创建的 No_Auth_Policy 策略通过上移按钮，调整到主认证策略的正上方。

2. 功能验证：

   • 在认证时段外 (0:00-6:59)：使用一个终端尝试上网，应该无需认证，可以直接访问网页。

   • 在认证时段内 (7:00-23:59)：使用该终端重新连接网络并尝试上网，应能正常弹出Portal认证页面。

3. 注意：对于已经在线的用户，策略变更可能不会立即生效。您可以手动踢掉在线用户，使其重新上线并匹配新策略，或等待设备自动刷新。

一、先建两个 “日计划” 时间对象（关键）

① 时间段 A：当天 07:00～23:59

• 名称：Time_0700_2359
• 类型：每天
• 开始时间：07:00:00
• 结束时间：23:59:59
  提交。

② 时间段 B：次日 00:00～06:59

• 名称：Time_0000_0659
• 类型：每天
• 开始时间：00:00:00
• 结束时间：06:59:59
  提交。

说明：ACG 时间对象不能跨自然日，所以必须拆成两段，然后在策略里同时引用这两个对象。

二、配置 Web 认证策略（绑定时间）

1. 基本配置
   • 策略名称：WebAuth_7to7
   • 源区域 / 源地址：选需要认证的内网网段（如 192.168.0.0/24）
   • 目的区域：untrust（外网）
   • 服务：http https
2. 认证配置
   • 认证方式：本地 Web 认证
   • 勾选：启用此策略
3. 高级配置（绑定时间，核心）
   • 时间对象：同时勾选 Time_0700_2359 和 Time_0000_0659
   • 优先级：默认即可
     提交。

三、全局放行其余时间（避免误拦截）

• 动作：允许
• 源 / 目的 / 服务：any
• 时间：无
• 优先级：低于认证策略

四、效果验证

• 每日 07:00～次日 06:59：匹配认证策略，未认证用户强制跳转 Web 认证页面。
• 每日 06:59:59～07:00:00：不匹配认证策略，走默认允许策略，免认证。