环境：

SANGFOR AC-1000-B1200
V.13.0 AC13.0.62
旁挂模式部署

问题描述：

SANGFOR AC设备怎么禁止一台电脑mac地址上外网

解决方案：

方法一：
可以通过在【认证策略】-【认证范围】填写MAC地址，【认证方式】选择【不允许认证（禁止上网）】实现
注意：对于三层环境，需要开启跨三层MAC识别功能

方法二：
1、在【用户认证与管理】-【认证策略】设置不需要认证，以MAC为用户名，在认证后处理勾选用户自动录入到本地组织结构
2、在【策略管理】-【上网策略】-【上网权限策略】中新增应用控制，勾选全部应用，动作设置为拒绝，适用对象中选择以MAC为用户名的用户即可
注意：对于内网三层环境，需要开启跨三层MAC识别功能

方法三：
可以通过防篡改检查规则来禁止用户修改MAC；
具体操作：在【接入管理】-【终端检查】-【检查规则】-【终端插件检查规则】新增【防篡改检查规则】，然后在【接入管理】-【终端检查】-【检查策略】新增一条策略勾选“终端插件检查”然后选择上一步创建的规则。
注意：防篡改检查规则是需要客户端安装准入程序,用准入插件 终端检查来实现禁止用户修改mac地址的

选用方法二：

1、在【用户认证与管理】-【认证策略】设置不需要认证，以MAC为用户名，在认证后处理勾选用户自动录入到本地组织结构
设置认证范围
方式

启用认证策略

2.在【策略管理】-【上网策略】-【上网权限策略】中新增应用控制，勾选全部应用，动作设置为拒绝，适用对象中选择以MAC为用户名的用户即可
注意：对于内网三层环境，需要开启跨三层MAC识别功能