ASM盈高入网规范管理系统操作手册_第1页
ASM盈高入网规范管理系统操作手册_第2页
ASM盈高入网规范管理系统操作手册_第3页
ASM盈高入网规范管理系统操作手册_第4页
ASM盈高入网规范管理系统操作手册_第5页
已阅读5页,还剩79页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、AS蟠高入网规范管理系统 INFOGO Access Standard Management System 操作手册InSdVersion盈高科技版权 声明:本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注 明,版权均属盈高科技所有,并受到有关产权及版权法保护。任何个人、机构未经盈高科技的书面授权许 可,不得以任何方式复制或引用本文的任何片断。商标:盈高、INFOG渥盈高科技的注册商标,未经允许,不得引用。说明 错误!未定义书签。ASMS备外观图解 错误!未定义书签,登录方式 错误!未定义书签。操作界面说明 错误!未定义书签。首页 错误!未定义书签。模块界面 错误

2、!未定义书签。用户首次配置 错误!未定义书签。启用旁路模式 错误! 未定义书签。启用串联模式 错误!未定义书签。系统基本设置 错误! 未定义书签。邮件提醒 错误!未定义书签。短信提醒设置 错误! 未定义书签。部门管理 错误!未定义书签。注册与认证 错误! 未定义书签。安全域配置 错误! 未定义书签。认证角色管理 错误! 未定义书签。用户管理 错误! 未定义书签。来宾认证参数 错误! 未定义书签。全局参数设置 错误! 未定义书签。注册参数配置 错误! 未定义书签。认证参数配置 错误! 未定义书签。用户名密码认证 错误!未定义书签。UKey认证 错误!未定义书签。手机短信认证 错误! 未定义书签。

3、Email 认证 错误!未定义书签。LDAP服务器配置 错误!未定义书签。AD域认证参数设置 错误!未定义书签。身份认证记录 错误! 未定义书签。动态验证码获取记录 错误! 未定义书签。配置入网规范 错误! 未定义书签。标准行业入网规范库 错误! 未定义书签。自定义规范 错误! 未定义书签。高级属性 错误! 未定义书签。配置网络联动控制 错误! 未定义书签。EOUA证技术设置 错误!未定义书签。PORTA以证技术设置 错误!未定义书签。透明网桥设置 错误! 未定义书签。策略路由设置 错误! 未定义书签。MVM关设置 错误!未定义书签。配置双机热备 错误! 未定义书签。用户日常使用 错误!未定义

4、书签。新设备注册检查 错误! 未定义书签。审核接入设备 错误! 未定义书签。设备管理 错误!未定义书签。添加可信设备 错误! 未定义书签。取消可信设备 错误! 未定义书签。设备安装软件信息 错误! 未定义书签。隔离设备 错误!未定义书签。设备和用户绑定 错误! 未定义书签。立刻认证安检 错误! 未定义书签。信息导入 错误!未定义书签。IP地址池 错误!未定义书签。IP/MAC绑定 错误!未定义书签。添加IP/MAC绑定 错误!未定义书签。导入IP/MAC绑定 错误!未定义书签。IP/MAC全局配置 错误!未定义书签。查看系统数据及报表 错误! 未定义书签。设备信息查询 错误! 未定义书签。补丁

5、管理查询 错误! 未定义书签。统计报表查询 错误! 未定义书签。未关机统计 错误! 未定义书签。上下网审计 错误! 未定义书签。级联管理 错误!未定义书签。功能地图 错误!未定义书签。报警中心 错误!未定义书签。其他 错误!未定义书签。数据备份 错误!未定义书签。系统更新 错误! 未定义书签。上传软件管理 错误! 未定义书签。设备状态管理 错误! 未定义书签。系统调试日志列表 错误! 未定义书签。Excel 报表导出 错误!未定义书签。强制认证推送 错误! 未定义书签。终端故障分析 错误! 未定义书签。数据导入 错误!未定义书签。过期设备清除记录 错误! 未定义书签。系统用户 错误!未定义书签

6、。终端小助手功能 错误!未定义书签。安检用户切换 错误!未定义书签。修改认证用户密码 错误! 未定义书签。1.说明ASM基于最先进的第三代准入控制技术,无需改变您的网络,无需安装客户端,具有简便的操作性、高度智能化的修复方式及对于各种复杂网络的强适应性。我们为您制订了一系列有效可靠的网络合规性要求,从而实现“违规不入网,入网必合规”的管理规范,充分满 足等保对于网络边界及主机保护的要求为了能帮助您迅速部署 AS所体验ASM的强大功能,请参照本手册进行相关操作。祝您 使用愉快!. ASM设备外观图解ethl:管理端口(HA心跳口),具有固定地址非可信接口 port ,串联模式使用,接内部受控网络

7、图2.1eth2:旁路接口 Out-of-band port ,旁路模式使用,使用时需要您分配一个IP地址eth3:可信接口 trusted port ,串联模式使用,接外部不受控网络Console口.登录方式我们提供web登录的方式对ASM平台进行相关的配置。如果您是与eth1 口直连,那么请在浏览器地址栏中输入。如果ASM设备采用旁路方式接入您的网络,请预先为eth2 口分配一个网络中可以使用的IP地址(配置方法参考启用旁路模式),确保您能ping通eth2 口,在浏览器地址栏中输 入 eth2 口 IP 地址/admin 。登录界面如下所示:ASM盈高入网规范管理系统图3.1ASM设备初

8、始登录用户名:admin ,密码:888888 。.操作界面说明首页初次登录,首页界面如图所示:图.iASM的模块,包括“注册与认证”、“入网规范管理”“统计报表”、“报警中心”、“网络B lUHtK卮”后电痔 甘叶久停炉且I,小雁炉员F jggg二血用由理呻务声王者理注贰他叁胸Eteesjes:-里澳沪附街口折znan至杷将仁志工原 舞在新的司试日顼a联动控制”、“内网边界管理”、“网络审计疏导”、“系统设置”共8个模块。如图所示:住用与足工以同或范管理 点计报表 挎善九L烟给鞫制荷电雅痘网络科疏号掰盘图.2版本信息是您购买的AS般备的型号及各项版本号。如图所示:版本信息型号;ASW4000

9、-L 引擎版本;5.Z. 3035. 1634 行业库版本;X35-19-34 补丁库版本;ZO1L-O0-15图.3请确保所显示的型号与供货合同相符。我们对引擎、行业库及补丁库会及时做出更新, 敬请随时关注我们的网站,以便使用我们为您提供的最新服务。模块界面当您点击任何一个模块后,会进入类似图 4.2.1所示的模块界面:当拉皮=:K堂H -芭贡 J 士 士三二 4 _ ?: G 一舟:*q土耳凤柳-建E H世作,乩匕香*叫w傩什人段小务前使出-3i . FE,情即,=(&:曾甘 PD而货血、电事蚀士理五* VJld色E邑坛苣旦12修供1 (丝避坛】於此点.0加口对史作史古理不由金呻仄胤干用后

10、限tra晶左看置号I n=中F在函m中西鸨弄扫附蚓曲惶忖IRL出后0击 球JUjUWsEI .招通 相防的电电卷嬴小福I鞋如g点击各个“选项”后可以进行更为详细的设置。.用户首次配置如果您是第一次登录 ASM系统(登录方式请参考登录方式),为了方便今后的工作,我 们建议您先进行一些初始化配置。启用旁路模式如果ASM是采用串联方式接入您的网络,请跳过此步骤,直接进入启用串联网络。当ASM采用旁路方式接入您的网络时,必须为执行接入的eth2 口分配一个网络中可用的IP地址。1、勾选ETH2的启用框;2、为ETH2配置一个您网络中可用的IP地址、子网掩码、网关。3、点击“完成配置”。在ASMK统已经

11、通过eth2 口接入您网络的情况下,远程 ping eth2 口的IP地址。如果 无法ping通,请联系我们的技术工程师。启用串联模式如果ASM系统是采用旁路方式接入您的网络,请跳过此步骤,进入系统基本设置。请将ASM的eth0 口与您需要进行准入控制的内部网络相连,将 eth3 口与您的外部网 络相连。具体连接方式可能需要依据您的网络拓扑而定,您可以预先咨询我们的技术工程师。操作步骤为“系统设置”模块一 “网络参数设置”选项,进入如下界面:p rr?二中若切:ETH2KTH1再二方0n r.1讣?二|的同关:|聊门睇 呼1MnuLM;P后用利十名师;p55?正也Maimht :口僦i :19

12、L 18L UL 回际12%通6 01子曲i* :子寿粕济:-r - r -.: .8. ETUI(hn此t-M卞名麻:WWTwrioLFWlt .七M:版码;2W.2E-5,:SB.1TH3周书名昨:PKW:zmht :K蚊:;三同审产:*u|-E| 班1,.”我彻了以出!|:SE. 2E5.2SE.O同卡名靠:卜就世声闰以-rififtS步FIH51、勾选ETH0 ETH1的启用框。2、点击“完成配置”。注:关于串联接入的具体参数设置,请参透明网桥设置。系统基本设置为了让ASM更好地融入您的网络, 请先将您的用户信息写入 ASM勺界面中。在您下次登 录时,将看到采用您单位相关信息的界面。操

13、作步骤为 “系统设置”模块 一 “系统基本设置”选项,进入如下界面:邮件提醒我们为您提供了当新设备入网时自动发送邮件进行提醒的功能。当然,如果您不需要邮件提醒,也可以跳过此步骤,不会影响设备的其他功能。操作步骤为 “系统设置”模块 一 “邮件提醒设置”选项,进入如下界面:当前- ;手.倏是守,日件理电正营保再配宜|亘宜图.8请输入您的邮件服务器地址,您的登录账户及登录密码。邮件将从这个邮箱发出。 请填入ASMK统的管理地址(如您配置好的ETH2地址)及web登录的端口号(默认为 80端口),收到邮件的管理员可以在邮件中直接点击这个链接访问到我们的ASM系统。请填入邮件中所显示的收件人地址(可以

14、与您的登录账户名不同)。请点击Email框输入需要接收提醒邮件的收件人地址;Email :图.9再点击“添加”按钮将地址添加到收件人列表中。删除收件人:您可以选中收件人列表中的某个地址,再点击“删除”按钮清空收件人:您可以直接点击“清空”按钮删除所有已存在的收件人。短信提醒设置当有设备等待接入审核或者IP/MAC变动或者空间不足时,我们可以设置发送短信提醒管理员。操作步骤为“系统设置”模块一 “短信提醒设置”选项,进入如下界面:当前位置:黑麻费量短信里醒喷置L里击笆里快速定位/占菽信义例址:中国咫信 。华为短信网关 C中恒春却手机号码置的言糜塞量春设备等将窜较时短信握随管建员 口有都豉备授入同

15、徭时知信提鬻管理员”1F冠网定智熊探刨发现I浦地为遣附授信提醒管理W当用尸使用空间检出喇想信提酹理员|保有配置|重首图.10配置好短信引擎地址,管理员手机号码,以及需要发送短信的情形,点击保存配置后, 当有发生需要发送短信的状况时,管理员就会收到提醒短信。部门管理根据您单位目前管理的部门,ASMk也需要设置相应的部门规划。这样在入网设备注册时(入网设备注册的详细过程请参考新设备注册检查)可以就选择归属的部门,方便您及时准确地对设备进行定位和管理。请确保您已经填写好了您的单位名称(关于公司或单位名称的填写请参考系统基本设 置),此时单位名称会显示在所有部门的最顶层。操作步骤为“注册与认证”模块一

16、 “部门管理”选项,如图所示:M . H :因川占认正 EEt冲自t*JHtniBJF 1 hl不弭!M由J w*“ Litza建加时prlfifFfin触g也琲,贰liH,r限事件附辛的曾t i&xr6田里匕心皆色t jrx图.11您只需点击“添加部门”按钮进行新部门编辑即可。如图所示:当前位置:注册与乳江部门含理添加部门添加部门额门名称:上级部门:,乂公司所雇角色;缺省角色图.12请输入新部门名称。ASM支持多部门多级管理,当您第一次添加部门时,上级部门为公司名称;当有多个部 门时,您可以在“上级部门” 一栏选择其中一个作为新部门的直接上级。保存后,部门列表将显示在界面的右方。如图所示:y

17、 war*0 w土 CJJ43wtanJUtlr H r-ji j图.13通过点击相应的操作名称,您可以对已有的部门进行排序、编辑和删除的操作注册与认证在设备接入网络之前, 如果您是第一次接入网络, 就需要先进行注册, 然后进行身份认 证。只有身份认证通过的设备才能进一步的对设备进行安全检查,确保您的设备是规范入网的。请选择“注册与认证”模块,在界面的左边会出现注册与认证部分的导航栏“认证管理”与“身份认证参数设置”,5.7.1安全域配置在配置用户角色之前可以先配置好安全域,以便在角色配置时可以准确地分配检查通过和不通过时分别可以访问的域。配置安全域的界面如图所示:当前位置:注册与认证宜全城配

18、置添力段全域删除安全懒r 安全域名称r 互联网r 西网r 全网IF范围1 0 0 0-9 255. 255. 555-51172.32.0. 0-102. 1ST. 2SE. 25513Z,164,. 0-3513.0 Q C-1D 255.Z55.255 1T2.1& 0 0-17Z,31.255, 2551 国 JBfl,dO-lft2dss .2S5.2551 0 0 0-255 2E5.2S5.255图 5.7.1认证角色管理用户角色是对用户身份的一种归类。例如归类于来宾角色的用户, 系统将不对其进行安检。您可以自己新建一个特有的角色,新建界面如图所示:取后02图 5.10.2. 3U

19、CF电华齐勒:Mttsa ;jh的,青婉渊用坦付人向首屋埋兔 7 竹市-.专的TE -向* OW0 f 一耳 一E C目足瑞用丽,afr=yrHtt :V籍季津湖的起,!1第器尼动归1场手近rr安椀国p制依中目性知忏QI注口加牝品虑M能直施至的h量更型短不ILB式:.:T右恒的旃立.卜的#WJHCH/Q一吸时值用,国日二也都匕强G观工a1触二侬诲J密钟 V1时茅丽同皆二大十,国力解*EW可亡芯生敝设感不熟工播可工,F*叶勃钿餐三十国青闾徐3时视断不才直进同研同如上图所示,您可以根据自己的需求,设置角色是否需要安检,安检周期,安检时引用的规范以及安检后可以访问的域。 如果您启用了检查时安装入网小

20、助手, 那么我们 会在您进行安检时安装入网小助手, 并且根据您输入的名字进行命名。 安装入网小助手 之后,每次开机时,小助手会自动为您进行安全检查。为了达到更准确的检查结果,您可以配置小助手的二次检查,选择检查时间间隔。当第一次安检完成后,等待您配置的间隔时间小助手即进行第二次安检。如果您不想打扰到被管理人员的正常工作,我们小助手为您提供了免打扰模式。在小助手配置中,您可以开启免打扰模式,开启后,客户机的小助手不会出现任何提示和 对话框。如果您在卸载小助手的时候想让设备信息同时被删除,您可以启用“卸载小助手是否删除该设备信息”,那样当您手动卸载小助手后,您的设备信息也会被删除。5.7.1用户管

21、理用户是对使用设备身份的管理方式。您可以建立用户,使其归类于某个角色, 当身份认证通过后,就可以进行安检,然后入网。用户管理界面如下图所示:士则、宜庄if月|r闲尸首修-用L右.Mki紧,“1日讪E击I匚L !_,五史士3 小I石与尸,由M也匕,_也*15江广4 Jr-i 用尸先英里用色利!W问也画q 口StPtJOS由怅用户g用户1M1泰我SQta-flS-OiiH1记一xi 说.3.:嵋门 ::口 rxiBBElfl.P,装哨SrE.例救一冽全义瓢立一EOEl-DSHiautEl黑驿用F果握温总中心丢巳品爆HLUZ .LEM引= =Lsan-nt-30ID:.KX :ESI 3rl“电lL

22、用士林禽已流口用心妗奈女一SOI 3-OV3O而RR o史ic a 如虹iffin察文n永信彖圣BOtl-M-ffilHP.5P-捺tl 3二,苴* :n壬用户朱芝n似靠到皿 1TR-28de-8五天三用F母属1矢已到回sriTHi nF. irm zriEatl-D4-E2x:IBIT11岁Mb: a i早 oph. ;=.工、: iffl n犍名的P.fC彻至人rocj-nt-Ez15:CK一o- IPJ. hC=口 吐: J二”电 LlffiF融通事0一soia-n-zzIDIDOrn l.-l EF. i F JM LF工“m T E =1 u-4-rL-kfib i-n*.-OTmI

23、R.-图 5.10.3. 4点击“添加用户”按钮,进入新建用户界面,如下图所示:弓首亨百:正世理正”用%衽A郴1匚用户 单才衣立丹尸笄刀H卒I.忖1L,赤最珀一桑加/演转架门::格式:口】Q一翘踹睡、3的蹒桐g事做域跖灯备壬:W U图 5.10.3. 5输入认证用户名、密码、确认密码,并根据需求选择用户的角色、类型和部门后,保存用户即可。用户还可以和设备进行绑定, 如果该用户绑定了一台设备,则该用户就只能在绑定的这台设备上进行认证,不能在其他设备上进行认证;您可以勾选需要绑定的用户,点击“绑定设备”按钮,选择绑定设备方式,确定即可。我们为您提供了两种绑定方式:绑定到用户最后认证的设备和绑定到指

24、定设备。如果您选择了绑定到最后认证的设备,系统自动为您绑定到您最后认证的设备;如果您选择了绑定到指定设备,那么您可以选择您想绑定的设备。当您配置完成后,用户管理界面的是否启用绑定设备和绑定的设备会显示您所设置绑定的设备。界面如图所示:图 5.10.3. 6如果您希望被绑定的用户可以在所有的设备上进行认证,那么您可以勾选该用户,通过点击“取消绑定设备”按钮取消该用户的绑定即可。来宾认证参数如果您有来宾需要接入网络,那么您可以设置您的来宾在入网时是否需要验证身份,是否需要临时上网码。认证参数的设置如下图所示:当前位置:册与认证案宜M证参数设置.来宾认证参数设置来宾认证参数设置是否启用来宾U证:后用

25、 C关闭来宾人网是否需要他时上网同:r需要 行不需要帮助说明开启来空认证,那么来宾客尸机允许接入网络,反之,不允许来完客户机接入网络.如果来宾需要上网码来认证.那么来宾客户机只有通过上网同来上网一|一赢配置|重置图 5.10.4. 7当您启用来宾认证时,来宾用户入网前必须要先经过认证,认证通过后的安检设置将根据来宾角色配置进行安全检查。如果您选择需要临时上网码,那么您的来宾入网认证时就需要向他所访问的人申请一个临时上网码以便入网。临时上网码可以使用小助手申请,也可以通过检查页面来申请。使用小助手申请上网码:在已经安装小助手的客户机上右击小助手选择“申请来宾上网码” 系统分配临时上网码;界面如下

26、图所示:入附小助手来宾上网码申请匚曰Fx申请耒宾上网科成功:932丫51图 5.10.4. 8您也可以使用检查页面获取上网码:员工角色的客户机检查完成后,在结果界面上点击申请来宾上网码”,如下图所示:另示片杳片共您的电脑完全符合检杏规则,可以正常使用网给了安生常空:1。分 *梅直叮(5b 30H 02 14 10:02: 总工检杳时小1沙I历包构专速而小中法夹宜刈包j| :查专小秘书林杏诗恰I矢闭耳面图 5.10.4. 9获取到的临时上网码将在来宾用户认证接入网络时使用。5.7.1全局参数设置对于身份认证,您可以选择不认证, 如果您选择认证的话,认证方式:用户名密码认证、UKey身份认证、短信

27、认证、 Email我们的系统为您提供了四种认证。我们在全局参数设置中为您提供一系列关于认证和安检的全局参数,您可以根据自己的需求进行设置。 全局认证参数设置如下图所示:图 5.10.7. 10您可以根据不同的情况设置各个选项;如果您开启了无控件快速认证时, 当新设备接入网络时不需要安装控件并且也不需要注册,只要输入正确的用户名和密码就能进行安检。该功能只在 MVG DHCP策略路由以及透 明网桥这几种准入技术下才有效;如果您开启了允许通过手机进行身份认证,当手机通过无线接入您的网络时可以开启安检界面,通过认证接入网络;如果您设置检查后显示安检得分,那么在安检完成后检查结果页面会显示安全得分;如

28、果您设置检查后启动自动修复,那么安检完成后如果有检查项不通过则会根据管理 员的配置进行自动修复;如果您设置客户端检查页面风格,则打开安检页面后,页面会显示设置的风格;如果您设置了认证前提示用户选择身份类型,当您打开安检页面需要先选择身份类型 才会进入身份认证页面; 如果您设置为不提示, 当您打开安检页面不需要选择身份类型直接 跳转到身份认证页面;如果您设置用户身份选择显示为图片,则您打开安检页面显示的为默认的我是来宾和 我是员工按钮;如果您设置显示文字,则可以在弹出的输入框中设置我是员工和我是来宾替 换为您想要显示的文字,不能超过6个字;如果您设置管理后台访问方式为安全模式,则您打开管理平台必

29、须是以https的形式打开页面;如果您设置管理后台访问方式普通模式,则您打开管理平台页面可以为普通的 http模式打开;如果您选择控件安装方式为自动在线安装,则当客户机安装了时首次接入网络是不需 要自己手动下载控件安装的;如果您选择手动下载安装,则您首次接入网络如果您设置为安检前需要进行身份认证,并且设置需要认证的IP段,当您打开安检页面进行安检时,客户机IP在需要认证的IP范围内则需要进行用户身份验证;如果您设置为安检前不需要进行身份认证,那么您进行安检时进入身份认证页面不需要手动去输入信息我 们系统默认给您通过;如果您开启了桌面安全管理系统联动, 那么我们在进行安全检查之前会先检查是否安装

30、 了桌面安全管理软件,如果没有安装的话,我们会根据您配置的地址去访问安装桌面安全管 理软件。关于自动修复功能,我们提供了一些不需要用户交互的检查项的自动修复。当您开启桌面安全管理联动时,ASM勺模块会增加一个桌面安全管理,如下图所示:图 5.10.7. 11客户端检查页面可更换风格,系统默认风格为经典蓝,其他可切换风格为国旗红和安全绿;5.7.1注册参数配置关于注册时需要进行的一些操作, 您可以在注册参数中进行设置, 设置界面如下图所示:二* .否:妊迎正,邑对玉蟀置I- -在密克相方式,一用户手为输入士0进行住下浜埼自a由强予宣E在蛇鞋:窗开吕Osffl;:;工二 门也审/函律:? 士于。,

31、除京任得咚册“中E飞笔0-二frt:冲二标1 1 1 m、iMO4f宓.用折,械0g! -nt*和研任用一,.他,地 RLX由借WF:心地- IXn( *!ftjfr由雄HE弗的丐止三必型5T艺I请工再K注若,L*T例“t尼百:.甲布也则博人惜人的同回千骑祝或咯百*设备在加方式:达忏受统弓油在用户后片工XSFHRH汇依息,产%自打银屿近明*金苗三田底:FE孟守在出示,匹二和前,答工三花与1.6巾揖弓吉型其二二堪代后才或后,月舟.5H 绡 tE图 5.10.8. 12新接入网络的设备注册有 2种方式,分别为用户手动输入信息进行注册和系统自动 进行注册。当选择用户手动输入信息进行注册时,可选择设备

32、注册后是否需要审核以及设备基本信息、所在部门、使用者、电话号码、物理地址、接入原因和入网协议的必填、选择 或者隐藏的功能设置。当电话号码选择为必填时,客户机注册时必须填写电话号码;当选择系统自动进行注册时,新接入网络的设备无需填写注册信息;5.7.1认证参数配置注册完成之后的客户机,必须要进行身份认证通过后才能安检,接入网络。那么安检时需要进行哪些操作呢我们可以在认证参数配置中进行配置,界面如下图所示:为配仃震:画4M正1近学MfB!娶率学事配置周口与塔里iXlil。任 , 孑机周倡5证e.j认班S垩弟认好&配h算鹏看闻Eg巾tJVKKHiAB* 吊尸篇看上阿M曲也才1 部I * mwa温中求

33、认目3匕.带事啻啊看事际扁彳现上前in j 旺行li*幡博,押目师幅户包耳峥 w副土* ffffT4HFH;二件中炉?”才南丁:2.r wnmpwmp.注能也=1。值也蛆:汽彳带利域彳木充=二号 次?*三升,,包-:17 用户芯 Putty p JEfl F h4i疑廿(1户luu万直:胸用户名皆知r 曼棺r 希遇mtn4由番臂骑精地忸,斗拧讦才,林当事叱彳刊肓阳PU;71F为吊E并女广鼻目什证中崎者辑。修*日F曾用声耳6只卿 置睥金*!H陶篇至/区,孰除用占鼻端用mF)指Q-1Pr-AiFlH-F同1ft司Kbt正1由色在上昆得:亩尾 作Krfj虫虫土 邕,Q%中1促用(9*刘一“ 尸 n-

34、itfL=.iAi j诜印-图 5.10.9. 13认证方式的选择,您在这边选择某些认证方式,客户机在身份认证时就显示您所选的认 证方式。如果你选择了身份认证成功后设备优先拥有用户认证角色的网络访问权限,那么在认证成功后,设备的网络访问权限是根据您认证的用户的权限来限制网络访问的。否则就会根据设备的角色来限制网络访问。如果您选择启用用户同一时刻只允许在一台设备上使用,那么您在一台设备上认证时使用的用户名和密码,如果在另外一台设备上也使用了此用户名和密码,那么前一台的认证将会被后一台挤下去,断开网络。用户名密码认证为了方便您进行用户名密码方式认证,我们为您提供了五种认证服务器,您可以根据自己的需

35、求进行设定,界面如下图所示:9用户名密出认证芥酸配苴同尸名丝用工口参标目认娜务尧:本地堀弃那 行域际务科 厂5口职密况 厂第三方Vh明恭科电小馆邸若日认立图 5.10.10. 14如果您选择的是本地服务器,那么您在认证时输入的用户名和密码必须是存在于我们的 系统里的。如果您选择的是其他两个服务器,那么您认证时输入的用户名和密码必须存在于这两个服务器里。第三方web服务器需要通过url配置,链接到第三方服务器配合认证。关于LDAP服务器配置和AD域的设置我们将在下面进行详细说明。5.7.1 UKey 认证如果您需要使用 UKey进行身份认证,那么您需要在这里进行配置,界面如下图所示: *证母联配

36、自蓝更喻认证熬氏黄认让方式J r tMJ-Htklif榇KS 1 r帆卅刈艮晏顼狂吊铜证谕1 市 T注R: I问:10 Lsi北许强ag渣:jSlAWH : 三I也过对是否结人农弼r J诩- r开浦共应【生:案就隹宓器二瓶LEue,福自靠成工一 一直图 5.10.11. 15您可以根据自己的情况配置UKey认证的认证方式,多少时间会断网。当您选择的是根证书认证时,您必须导入您的根证书到我们的ASM系统。如果您选择的是其他的服务器,那么您可以根据自己配置的服务器在界面上进行配置。配置完拔掉UKey的最大时间,当您拔掉UKey后,超过限制的时间,您的设备将会断网。5.7.1手机短信认证如果您需要使

37、用短信进行认证,那么您需要在这里进行短信认证参数配置,您可以根据自己的需求配置短信发送的服务器, 可以增加、删除或者编辑短信认证的原因。 界面如下图 所示:金延信认证券敬配苴完成配置重置图 5.10.12. 16当您配置好短信认证参数, 您还需要去设备列表信息中查看您的设备信息中的联系电话 是否填写正确。如果未填写,是不能成功使用手机进行认证的。Email 认证在进行身份认证时, 如果您使用的是 Email认证,那这里的配置就至关重要了,您在这里配置好SMTP!艮务器地址和端口之后,只有使用这个服务器和端口的邮箱才能够通过身份 认证。Email认证参数配置页面如下图所示:Emil认证参数配置

38、Ei认证辞轴已置SMT?服务器地址 mail. infogo, can, Cti.*5MTF服务盟端口 :汨U完成配置重置图 5.10.13. 175.7.1 LDAP服务器配置LDAP服务器是用户名和密码认证时使用的一个服务器,您可以自己建立一个 LDAP服务器,然后把LDAP服务器的信息配置在我们的系统上,您就可以根据LDAP服务器上设置的用户名和密码进行身份认证了。配置界面如下图:在配置界面中,我们为您提供了一些简单的例子,您可以根据自己所配置的LDAP服务器,参照我们提供的例子在界面上进行配置。输入配置信息后,您可以点击“测试”按钮来 查看您配置的信息是否正确。5.7.1 AD域认证参

39、数设置AD域也是一个用户名和密码认证时使用服务器,配置界面如下图:当二僧底:室肥身与证JC域岛证US?由甘 三二广廿二.一 一三二她AD”飘谈背图 5.10.15. 19将您预先配置的域服务器的IP地址和域名的信息输入,选择是否启用单点登录。当您的设备是登录在您所配置的域中时,如果您选择启用单点登录,设备认证时无需输入用户名和密码即可认证通过;如果您选择关闭单点登录,设备认证时就需要输入用户名和密码来进 行认证。注:若开启了 AD域单点登录,则设备认证检查时, 会自动去AD域服务器上验证是否存 在t装AD域用户;若开启了 AD域单点登录且启用同步域中的使用人到设备使用人时,设备检查后,设备使用

40、人就是域的登录用户; 若关闭单点登录,启用同步域中使用人到设备使用人,设备检查后,认证输入的域用户被同步到设备使用人。5.7.1身份认证记录系统为您提供了身份认证记录统计功能,当客户机进行身份认证后,在这里会显示设备的认证记录。包括设备认证的用户、认证角色、认证方式、认证时间、设备的名称、设备 的ip以及认证原因。系统还为您提供了一些条件查询功能,您可以根据自己的需求在界面 上输入查询条件,点击“查询”按钮进行查询。界面如图所示:【曲ak I共IT哥:当而口为:笫I贝耳15r H I 1 I I卜H行R5景Mil两尸名UERtlil3门称馒詈右旗一生腕 SiTkiibSOH-CWJ博电增色一E

41、51 的 ETC求及自由i不ik徒ieoh-i:i-im 14-34 qL忖g值色IXi-FEiBFirT:如4am加1厂国低33 33 53排时造工JTOW1个吊场肆n不退证1SOlL-n-Cn IB S6-5I图 5.10.16. 205.7.1动态验证码获取记录当您使用手机短信认证后,在动态验证码获取记录页面会产生一条验证记录,可以记 录客户机使用手机认证的手机号码和验证码,在使用有效期内您可以使用这个验证码进行再次认证;使用期限需要您手动设置过期时间间隔。界面如图所示:图 5.10.17. 215.8配置入网规范在掌控了入网设备的身份后,您还需要配置符合您单位入网安全性的一系列规范。只

42、有设备的身份和安全性同时在您的掌握和控制范围之内,才能确保您的网络是可控和符合安全性要求的。请选择“入网规范管理”模块,在界面的左部上方出现“规范制定”栏,如图所示:-规范需度 入画新 检查规范列表图.14标准行业入网规范库ASM 系统已经为您提供了各行业的入网规范标准,这是我们广泛参考大量行业案例制定出的推荐标准。您可以直接应用该标准规范以迅速获知您的网络在标准要求下的安全状况。如图所示口规范阖痘人赢薛检查规范列表图 2点击“标准行业入网规范库”后出现如图所示界面:当前位置:入网规法管理电标准行业入网规范库标唯行业入网规范库列表事 银行入冈管理。范32)在:t匕较严格的入网营理规范,适用于对

43、安全姿求玷靛高的行业用尸.一电力人网管理援葩|在;适中的入网管理规范,适用于对安全性要求不高的行业用户口图 3这里是我们的一个实例截图,您可以找到自身所属的行业,直接点击规范的名称即可查 看行业入网规范的配置。自定义规范当然,您也可以根据自身的网络状况制定完全个性化的网络规范方案。如图所示E规范密度检查规范列表图 5.11.2. 24点击“检查规范列表”后,出现如下界面:理E直:;科理他也理:由弟遍招呀r汨国寓陋SWEAzmtrffirf7.RSW51赚一目就: MICMLZI 0 00 铀rKj.nsst出山ftMitfl ; mui a ul 帕r乂:忸m#.自:.fl|iL-11 i n

44、J IDrinm口精市鹿h ;3n工Wmi !国HPL- 4B 5rIHE口 HU杭某注和 L U Tdllli口近时回:JJILRrN ” N H图 5.11.2. 25转s条=mjr打二R : 口 g 口夏JL JL上旦 j而转七厂ST 史 ,噂尸 尸,下LIP可受毒髭件|沙力工口7白国曲陆他青墓 E 用士1中.三他林石Hr .后用一)千;揖id写直E 二遗”工二IX 田:Jira* 祝中事t*型?Zej.-/的品不田后五初;Mtal口后用第一卜妥的蚌用点11户寸而松营:T一启用F-1 xw郃滋生产力二三古工费勺品口黑户龄直(j住用美鎏就三巧-巨吕月I甘,战哥定化,BfB 匚蚀白工里益苴中

45、. Ldfl博用厘(J金刀关覆曲理事匚后同JRi!用工曾后亨听客尸税位百n口耳用_了。聚区幅茸批号) _. 后,花城文行也里u时程慈叁骑门.用上白驹玮喀T&昼笆: 馈力巴黑忙吏攻居用M2心 11一.希.Wj期1%螂情爱J港中美险心电用、Qe-ijIttI.51卜明匚匕三n 长力,,鹿化亘场4 . I 1E 用SU事止启行京海特委1日布丁冲记看m1庐下匕热外JT电笠J局为美5M.i立覆匚与用3搪球,区s 口匚J0月至)心助话lj迪在性直口占力夫也编号附点击“新建规范”后,出现如下界面:庐甲王箱=*+网好FT门中工曾防*毒图 5.11.2. 26我们提供了多种检查项供您选择。当您需要启用相应的检查

46、项时,请先勾选对应的“启用”框。回启用弋条毒触包配置般为美援检登项图 5.11.2. 27在检查项的旁边可以点击“配置”链接进入具体的参数页面。如果您勾选了 “设为关键检查项”选项框,则此项检查未通过时设备将被即时隔离出网络。(关于设备安全检查的具体过程请参照新设备注册检查) 请最后设置修复期限选项,如图所示:修复期B艮逸项加黑市共彼硕的检世寺通过-则可。容许胃端设备在一定聊艮之内进行修幕.容许时间却限| _|王阳江长度3位 行加果作关键项的检登未通过,则不对设备进行修复耶艮限制。图 5.11.2. 28选择第一个单选框,可以设定非关键项未通过的修复时间,默认为 7天。修复时间是为了提供给入网

47、设备一个适应规范的缓冲期,设备可以在这段时间内正常访问网络以做出修复操作。当修复期限到期而设备依然未修复完成则将被隔离出网络。我们不建议您选择第二个单选框,这样将失去对不合规设备的控制。在“帮助说明”中再次声明了关键项未通过设备将直接被隔离出网络,不提供修复期。请确保只有对您网络造成重大威胁的检查项才设置为关键检查项。检查项参数说明:a)杀毒软件检查对ELT全春装伴进七卷麦日酥湖林件W制王匐t斗版布隽毒库总木修复理必插运行目赛门日克=朱史能天野15佬宜窕式回0回 KcAE4;尸*2口, M. 12未更新美做V 小干V&一|看更况宜 3 4J大子V|8.5未U新正幼V 小平V|15|修复配叠s卡

48、巴即更去干v|tf.O靠天附工甄V 小干V35M良配支0E金山目雨大干v|5.0未W野天垓V 小干VJG一|修贪品宣国PI江民大干|1LD-未更料矢疑* 小干V他|修旦配若 回p| till回 WLD32,二V?. J韦京新元效*性干V明_|甘噂配近H大手那J小虹野土球7 小甲V15g蚂七回|刁附甘我再步飞大于*ID素更一三,* 心干V帖在匹配营回p 3国乐击M剧1用末更籽天触 1小干虚n|修如指j H丈子,16. Oi 0丸克物苫鸵 小平V|l5|保旦吉 H大干*|aq韦克斯无微v 小干 V检复配式回0 对牛虻费条否|大不v|l.D东立折天也7小不V心|修复史宣0|停4就底臼画 k*isi|

49、 文干 * 5. n本,爵一“11干*15PI3&加.二M|l。未受物天蜀1小于-s|栏红配五的大工理新索歙* 小干V_|35国在:以上月中的冷去软件检室霖件中,海运其中一F通过性支,度却:荐幸未克新日匪喈式虻;皿匚-史-。图 5.11.2. 29我们提供了对目前市面上所有主流杀毒软件的支持,您可以选择您所要求安装的杀毒软件名称,杀毒软件版本号,病毒库版本号,及是否正在运行的多项检查参数;当您选择了多项杀毒软件时,设备只要符合您所列出的其中一种杀毒软件中所有的参数 即可通过检查。当设备未能通过杀毒软件检查时,为了方便入网用户及时快捷地进行自动修复,我们在ASMk提供了相应的修复选项。如果您的网

50、络中有杀毒软件服务器或提供修复的地址,请填入相应的链接地址。(关于 不对网络设备及服务器进行控制的操作,请参考可信设备管理)您也可以上传安装包或病毒库升级包,这样用户可以直接从检查页面上下载程序进行修复。(杀毒软件检查未通过后的自我修复具体请参考新设备注册检查)当设备的杀毒软件版本或者病毒库版本不符合时,为了方便入网用户及时快捷地进行自动修复,我们在该杀毒软件后面提供了相应的修复配置,b) IP/MAC绑定检查图 5.11.2. 30在检查项中添加或导入 IP/MAC绑定列表,当您管理的计算机试图改变IP或者MAC寸,系统就判断为此检查项不通过。c)补丁检查检查顶名称:补丁检查 检章项描述:由

51、青m前茅鼓起百存在膈洞,瑞保哀筑安全,选坟横直L请这报需要安装的木丁关里17产重亘米中等2例外补丁配置岸以下列走中田补丁必须安装以下列表中的讣丁不常去安装彳或配直11关闭51面图 5.11.2. 31我们的补丁系统已经为您定义好了 “严重”、“重要”和“中等”三个级别的补丁,您可以选择相应必须安装的类型。为了适应您独特的网络环境,我们还提供了例外补丁配置。点击“添加”按钮后,您可 以根据ASW的补丁列表自定义您额外需要安装的补丁或额外不需要安装的补丁。5.8.3高级属性我们为您提供了检查规范的高级属性: 共享或者私有。如果您选择的是共享规范,那么 其他操作员也可以对您建的规范进行查看和修改。如

52、果您选择的是私有规范,那么其他操作员对您建的规范只有查看的权限。图 5.11.3. 325.9配置网络联动控制当配置好以上各项后,您还需要配置网络联动控制才能真正实现准入控制。ASM系统支持与多种网络设备进行联动,完全以界面化的形式启用及配置各种接入认证。小*”是支送至后田丑:步一修明由金青日鼻覆口 |授,:冉千事,财力曰河关事|堀巾杓中川关,1谢看或|)i 4 匕I酬 0 的皮换II管理油添加交换机交至斯名称:IPHttib:量录用口名:密网:Intbl吗密码:交会机瞿号:操作方式:|CI5QQjJ | J55L* |TELNET 1,完成配叠互置图 62、填写完各参数配置选择“完成配置”后

53、出现如下界面:图 73、配置交换机:选中添加的交换机后选择“配置交换机”按钮进入如下界面:宜H司再,司to| EDI号* 工标号谓百3 口后标TLMT1 TirFHiniF* a LI 让 Mu: LaaLklillA融孤七田*ID宜Vp一1r*iJ 1111bMS4ah4*注&川y&一5FvaiiT-ibanii %KO du ri eSfl5 口a七11331+总力e nrrTUrXH*1c-a五:皆百HRBJi僵中在T里:巫谩霞.印运方便3r记录交战矶日志“生效EOU配置”。(至此,EOUMSR20!(列或更高级别的路由器,图 84、选中要在交换机上开启EOU认证技术的端口,然后选择认证

54、技术已配置完成。)5.9.2 PORTA认证技术设置如果您的网络路由器支持 PORTA功能,例如H3c的 那么您就可以使用该功能。操作步骤:生.-ET 至 AN图 5.12.2. 391、配置重定向URLM址:,则可以在“IP地址:、“掩码”处填写该设备的 IP地址和掩码 (IP地址段可通过掩码来控制),然后选择“添加”按钮。2、同样,您也可以选择“删除”或“清空”按钮,从列表中删除或清空免认证的设备。3、点击“完成配置”。b) PORTA路由器管理当您配置好PORTA基本参数后,才能开始配置EOU换机管理。进入“ PORTAIM证技术设置”栏,选择“ PORTA略由器管理”,如下界面所示:I

55、 MWiag 11 -UM |L WWiMi_ll Mt8MO-lFl 斑f立廊irwu型岸携*共告反角尸ETt图 5.12.2. 401、添加路由器:选择“添加路由器”按钮进入如下界面:图 5.12.2. 412、填写完各参数配置选择“完成配置”后出现如下界面:I. *Wt由* IIl【配 1W曲珥 I 亘制lidlBliB :稣面特例】晦址5=(MTi-itHCP口小】KL算RM怎】KX JSETEJQT电图 5.12.2. 423、配置路由器:选中添加的路由器后选择“配置路由器”按钮进入如下界面:一科工旦里世韭里rjrqgftHCTt F疑由总岫iM电盘亚事却生 生主考 ME 二 FEE

56、O-EI! BfhElNnX I陋ttDtft工工粕白HJ忙乩jQiXmMmlD/CfMilnEXr卬山1 i*ElXurtutD/fbri dp*BOutroeftH/3briJs*3HiXnuvUl/4朝J 4副nG仁I4图 5.12.2. 434、选择要在路由器上开启 PORTA认证技术的端口,然后选择“生效PORTAL置”。(至此, PORTA以证技术已配置完成。)5.9.3透明网桥设置如果您只希望对部分的网络进行保护,比如您只希望对服务器群进行保护,那么您可以采用透明网桥的技术, 将透明网桥部署在服务器群的前面,由透明网桥来保护您的服务器资源。采用透明网桥认证技术,必须确定已启用et

57、h0和ethl网卡,请参照启用串联网络。操作步骤:事二霞正RMum密同魄;宣工再叼收:厘工3*式二E用 *关圮ITEWM甘让=http;/门睚,168. 54,201.a . )jSSfiS!. &k:,L ”M2 pj. lire o.fl is直到Itel而却S曲:1J90g受性ilhl居串任目强奇冷!直;后罡不E用逵珈给r启后.挺用用户律修在立旃twgt向二另带M同磁生林利心口启吉汕*岷句上上表至二说dj kt ip =w* k 舐 er曲骨堂修il其后r国目+W眄1.5问叫出西二启用不方用沃功1骈后,加息用尸;在电闻E hg mH拉w/当同幽啜的七监查成型后含白5Kl对到立灯之:篁瞅期

58、螭!h趾如4虱 5 E星.M :过牙,门二a D. 1/一看在F*SI?图 5.12.3. 441、配置重定向URL地址:,则可“启用紧急模式”。2、设置安检过后是否返回到重定向前访问的界面或者重定向到指定的页面。3、配置采用二次转向的IP地址。4、点击“完成配置”。图 5.12.3. 451、配置隔离服务器:若您希望设备被隔离后仍然可以访问指定的服务器,则可以在“开始 IP”、“结束IP”处填写该服务器的IP地址,然后选择“添加”按钮。同样,选择“删 除”按钮进行删除。2、配置不管理网段:若你希望将指定的设备不进行入网控制,则可以在“开始IP:、“结束IP”处填写该设备的IP地址,然后选择“

59、添加”按钮。同样,选择“删除”按钮进 行删除。C)例外域名设置图 5.12.3. 46设置例外域名后,设备被隔离后,仍然能访问例外的域名;d) NAT网络设置NAT技术不仅完美地解决了 IP地址不足的问题,而且还能够有效地避免来自网络外部的 攻击,隐藏并保护网络内部的计算机。设置界面如下图:图 5.12.3. 475.9.4策略路由设置如果您想要求某些路由必须经过特定的路径,那么就可以使用策略路由。策略路由联动控制使用的网卡是eth0和eth2 ,采用策略路由认证技术,必须确定已启用这三个网卡并且配置eth2 口的IP地址。(网卡配置请参照启用旁路网络)操作步骤:最匚二 必胜二心刍.骈*髭由&

60、LE*!Pl?工=_三.士.一餐黑品面皮木四革03鼻一冲批斗干目毒同阴鼾淋甫不沏何漏2推瞿IM种9相片上再用了枷昭僚u诏武梅吉通由航力宝MlW看租|(阐用与行母贵$用)母泊位了一T XT*碎下一 铸龄左督由51k”晚由可山下用雷同而即用口措,用瓜害汗碌*口时于品*沏r君寻金国蓊.野隼工事由也即哥m至才的嗯或耳.而话有用所不,理4慢月第*曰=ru度B设由上#用括是必吸各.由氏生在注珏去主某舲加.也果可不走某的雯进行花包,生而望高7甲I;某槿塞君独妙,日才叫;7型试曷5 丁 mine占 v g日态帮幼想啕相第l正m潜品下”了餐击簟片前m行瞥用/昕守尊后港度监志元电百日本 BWS- *第主由应报足美

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论