inforcube网络准入控制系统v3.3.4-用户手册

本文档归上讯 所有，并保留一切权利。 ，任何公司和个人不得将此文档中的包括其中所含的所有资料进行、公开、或以其他方式、散发给第。否则，本公司将必其。免责条款本文档仅提供阶段性信息，因市场情况变化迅速，所含内容可根据产品的实际情况随时更新、修改，恕不另行通知。所以，本文档参考使用，不提供的担保，如因文档使用不当造成的直接或间接损失，本公司不承担任何责任。地址：市张江高科路498号20号楼3楼：86-21- 传真：86-21-邮箱： 一 产品介 产品简 设计依 产品架 产品功 工作环境要 基本配 连接相关配 网卡配 交换机配 强制登录界 WEB认证登 修改..................................................................................................................客户端认证登 二.管理平台使用说 登录管理平 系统主 审计管 日志管 报表管 基础信 用户管 终端管 终端管 策略管 策略配 进程策 截屏策 USB设备策 其他设备策 杀毒软件策 文件操作日志策 服务策 表策 必备软件策 控制策 客户端卸载策 弱口令策 补丁策 流量策 系统配 网络配 网卡配 告警配 安全域配 个性化配 双机热备 数据备份与恢 系统升 管 三 关于上讯信 四 产品支 一 产品介产品简介InforCube网络准入控制系统是新一代的系统，它是基于专业操作系统（IFCOS）开发的一款B/S架构的网络准入控制系统。它包括了扫描、杀毒软件及库检测、用户管理、设备管理、操作行为管理、用户信息管理等诸多功能。本系统特色的支持WEB管理界面和命令行管理操作，支持SSH、net终端控制方式。不仅支持普通的网络设备还支持不可交换机和线设备，能够全方位的对网络进行控制。设计依据4A安全体系认证4A安全认证体系,统一用户账号管理、统一认证管理、统一管理和统一审计四要素后涵盖单点登录（SSO）等安全功能，既能够为客户提供完善的、高安全级别的4A管理，从而保证网络信息的性、完整性和可用性。ISO27001标准条款A10.10.1要求组织必须记录用户、意外和事件的日志，并保留一定期限，以便为安全事件的和取证；条款要求组织必须记录系统管理和 的操作行为；条款A15.1.3明确要求必须保护组织的运行记录；条款A15.2.1要求信息系统经理必须确保所有负责的安全过程都在正确执行，符合安全策略和标准的要求。信息系统等级保护标准应支持用户标识和用户鉴别。在对每一个用户到系统时，采用用户名和用户标识符标识用户，并确保在系统整个生存周期用户标识的唯一性；在每次用户登录系统时，采用受控的口令或具有相应安全强度的其他机制进行用户鉴别，并对鉴别数据进行性和完整性保护。应在安全策略控制范围内，使用户对其创建的客体具有相应的操作权限，并能将这些权限部分或全部授予其他用户。自主控制主体的粒度为用户级，客体的粒度为文件或数据库表级和（或）记录或字段级。自主操作包括对客体的创建、读、写、修改和删除等。在对安全管理员进行鉴别和权限控制的基础上，应由安全管理员通过特定操作界面对主、客体进行安全标记，将强制控制扩展到所有主体与客体；应按安全标记和强制控制规则，对确定主体客体的操作进行控制。强制控制主体的粒度为用户级，客体的粒度为文件或数据库表级。应确保安全计算环境内的所有主、客体具有一致的标记信息，并实施相同的强制控制规则。可通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理，包括根据安全审计策略对审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行、管理和查询等。产品架构InforCube网络准入控制系统控制网络中所有终端主机的正常入网，并把需要的信息进行整合、、显示、处理。其主要功能模块包括网络实时监测、操作行为审计（日志管理）、规范用户操作（策略管理）、用户管理、设备管理、系统配置等。产品功能InforCube网络准入控制系统是基于完整的安全思想模型，符合国际标准，其主要功能如下：用户的认证管理InforCube网络准入控制系统包含多种认证方式，包括静态密码、AD域认证、LDAP认证和Radius认证等。通过认证后的用户会被系统定位到确定的设备，而且系统对该设备每次的操作都会有对应的记录并存入日志文件。问题设备的检测与功能InforCube网络准入控制系统拥有独特的检测机制，对每种都定义了自己的警告和抑制机制。一旦检测到设备出现，系统会把接收到该设备的数据全部丢弃，从而限制设备的网络功能，有效地降低对网络的破坏、提高网络的安全性。InforCube网络准入控制系统提供了完整的备份与恢复机制。为了保证业务的持续性运行，系统支持双机热备，当正在运行设备出现故障时可热切换到备份机。系统同时提供定时的周期性备份与“一键式”智能备份技术，使得发生故障后能以最快的速度进行恢复，保证系统的稳定运行。工作环境要求InforCube网络准入控制系统是基于专业的操作系统平台，同时支持B/S架构的Web界面管理。只需要安装系统所需的组件并正确配置完全即可正常使用。基本配置连接相关配置在上讯 服务调试完现场网络环境后，系统管理需根据交换机配置进入系统进行相应配置。管理只需一根网线与InforCube NAC的eth1网口设备直连。注：eth1网口默认IP地址为192.168.1.1/24登陆端主机只需设置为同一网段IP即可。此时，用户可以打开浏览器并输入，跳出如图1-6-1所示登录界面，用户名为admin，为admin。图图1-6-网卡配置网卡配置共分为两种模式：“标准模式”和“端口聚合”，系统默认为“标准模式”，只提供eth2-5四个口供显示与编辑。页面显示所有网卡配置的详细信息包括：网卡，IP地址，子网掩码，类型和状态（表示正常开启状态；表示网卡处于未启用状态）图1-6-点击按钮，对网卡进行编辑，如图1-6-3。请特别注意“下一跳IP”的配置工作，这里填写该网卡IP所在网段的网关地址。图1-6-注意，配置完网卡之后，需要重启网卡才能生效，请在网卡列表页面中勾选相应的网卡，再点击按钮，进行重启操作；另外，eth0口为心跳口，提供双机热备服务；eth1--eth4口负责提供数据转发服务；eth5口为管理口，出厂IP地址为192.168.1.1/24。eth0口和eth5口在页面上不做显示。点击按钮能够切换网卡模式，切换时会清空现有eth2-的网卡配置信息，提示信息如图1-6-4图1-6-交换机配置登录系统—>【基础信息】—>【交换机管理】—>【交换机配置】交换机页面显示的信息有IP地址，类型，端口，SNMP版本，SNMP 名，SNMP写 名，如图1-6-5。点击按钮，添加相应的交换机信息后点击按钮，如图1-6-6，新的交换机便会显示在交换机列表；后续网络环境改变的原因，可点击按钮，对交换机配置进行编辑。注意更改完后需重启服务。图1-6-图1-6-注意，基本配置也可参考2.1章节中的配置向导。强制登录界面当管理员分配了用户名和给用户，用户可使用pc机连接到交换机可管控的接口上，用分配的用户名和登录去网络。WEB认证登录用户打开浏览器，输入任意一个地址后，会跳出如图1-7-1所示界面，要求用户输入用户名和进行认证。本地认证，用户名和为管理员分配；AD域认证、LDAP认证、以及Radius认证，用户名和均为域服务器中的用户名和，登录后，显示为 图1-7-输入管理员所给的用户名进行登录，通过验证后便能正常入网图1-7-修改

图1-7-在PORTAL认证页面上点击，提出如图1-7-4界面，进行修改操作。输入用户名、原和新后点击按钮，会弹出修改成功提示 ；点击按钮，返回到认证界面。图1-7-客户端认证登录在PORTAL认证页面上点击，进行客户端 图1-7-完成后进行解压，点击客户端图标，进入客户端图1-7-点击下一步进入安装证协议图1-7-点击下一步进入选择安装位置：图1-7-点击安装进入安装流程:点击完成NAC客户端安装

图1-7-图1-7-点击“完成”会提示重启计算机：图1-7-用户重新启动计算机后打开客户端程序:图1-7-在强制修改开关“开启”时，客户端用户第一次进行认证时，必须进行修改，如图1-7-12；同时，桌面右下角弹出如图1-7-13提示。图1-7-图1-7-输入合法用户名和新，点击登录按钮进行认证，通过认证后进入安全检测，此项共检测4个项目，包括补丁检测、杀毒软件检测、必备软件检测、弱口令检测，如图1-7-14。图1-7-若您的终端没有通过补丁安全检测，则客户端程序会要求进行修复，点击按钮进行自动修复工作，修复过程和修复结果分别如图1-7-15和图1-7-16红色框区域部分所示。注意：是否可以跳过检测？可以。点击按钮跳过一系列检测机制，但须在规定修复时效内将不合格的安检项修复完成，否则会予以26章节的注意事项！图1-7-图1-7-若您的终端没有通过杀毒软件检测和必备软件检测，则客户端提供相应的 用户只需点击 按钮进行杀毒软件和必备软件下载，完成后进行安装。最后点击按钮，再一次进行安全检测。若以上一系列检测均通过后，表示您的设备符合安全合规检查,可以正常使用网络，如图1-7-17。图图1-7-注意：因为开启了相应的补丁策略、杀毒软件策略、必备软件策略和弱口令策略，才会进行补丁扫描与修复、杀毒软件扫描、必备软件扫描和弱口令检测；相反的，用户可以根据需要关闭相应的补丁策略、杀毒软件策略和必备软件策略，或者将该用户设置为白，从而跳过一系列检测。客户端功能项当用户通过认证入网后，右击客户端小图标，具有3个功能选项（如图1-7-18）：关于、设备、修改。图1-7-点击按钮，弹出系统版本信息，如图1-7-19所示图1-7-插上U盘后，点击按钮，弹出如图1-7-20，用户可以自定义设备名称，但需注意设备名称字符数为4-20，且不能含有中文字符；当输入正确的设备名称后，点击按钮，表示设备成功。点击按钮，客户端会弹出当前的策略开启状况（如1-7-21）。点击按钮，客户端会弹出修改页面（如图1-7-22）。用户需根据要求输入原与新，新有强弱显示，若新中包含大写字母、小写字母及数字，则表示强度为“强”；若只包含其“ ”和“ ”后点击按钮，会弹出相应 修成功提示 ；点击按钮，关闭修改 页面。 改成功后无需用户立即输入用户名与新进行重新认证登录，但是下次入网认证时需要输入新方可通过认证。注意：域帐号无法进行修改操作二.登录管理平台打开IE浏览器，输入地址，如，为管理口地址，上讯信息建议您不要修改管理口地址；若需在实际网络环境中进行直接，可为eth2-eth5网口设置IP并进行连接。以管理员账户登录，如图2-1-1所示。图2-1-注意：用户名： 系统管理右上角功能菜单如图2-1-2所示。图2-1-按钮可以实现当前用户修 操作图2-1-按钮可以帮助您更好的使用系统，为每一项主功能模块做详细说明。图2-1-退出管理员登录时，单击界面右上角菜单栏中的按钮即可；点击按钮后系统自动返回至登录页面，管理员需要重新输入用户名进行登录。图2-1-点击按钮有如下选项：重启服务、配置向导、关机、重启需要重启系统服务时，单击界面右上角菜单栏中的按钮即可，弹出如下提示，点击按钮重启系统服务。图2-1-单击界面右上角菜单栏中的按钮可以进行配置向导操作点击按钮开始向导。图2-1-首先进行网络控制方式配置，可点击按钮跳过配置向导图2-1-点击按钮进入交换机配置环节，请新增或编辑为您所需要的交换机信息。图2-1- 按钮进入最后的设备网卡配置环节。可进行启用操作，禁用操作和编辑操作。配置完毕后点击按钮完成配置工作。图2-1-需要关闭NAC服务器时，单击界面右上角菜单栏中的按钮即可，弹出如下提示，点击按钮重启系统服务。图2-1-需要重启NAC服务器时，单击界面右上角菜单栏中的按钮即可，弹出如下提示，点击按钮重启服务器。图2-1-首次进入系统，系统主要功能菜单如图2-1-13所示。图2-1-系统主页界面左侧显示在的左侧显示的是系统、近期的、最近未认证的终端以及上次信息。显示如图2-2-1所示。界面右侧显示

图2-2-在界面右侧图表显示终端以及全部终端终端图表显示包括6种不同的方式，分别以6种不同的颜色区分，图以折线的方式显示，蓝色折线为 ，黄色折线为补丁安全性，绿色折线为认证失败，红色折线为用户变更、青色折线为IP变更、浅蓝色折线为IP用户变更（如图2-2-2黑色框区域。当鼠标放在折线上时会显示相应时间下对应的数字统计（如图2-2-2红色框区域）。图图2-2-全部终端图表同样以四种颜色加以区分，蓝色柱状图表示未认证终端，黄色柱状图表示已认证终端，绿色柱状图表示合规终端，红色柱状图表示违规终端（如图2-2-3黑色框区域）。当鼠标放在图上时会显示当前时间下对应的数字统计（--3红色框区域）。图2-2-审计管理登录系统—>【审计管理】。该功能模块包含日志管理和报表管理两个子菜单。图2-3-日志管理日志管理包含：认证审计、审计、Portal审计、管理员审计、双机热备份、文件操作审计、终端检测审计、补丁修复审计。图图2-3-认证审计显示已认证设备的全部信息，包括C地址，用户名，部门，，角色，认证日期和注销日期；提供多种查询方式，如可以按日/月查询、可以设定起始和终止时间查询、同时支持关键字的模糊查询。图2-3-图2-3-点击按钮进入数据导出页面文件类型可（图2-3-审计显示统计用户的信息，包括MAC地址，用户名，类型，状态，开启时间；提供多种查询方式，如可以按日/月查询、可以设定起始和终止时间查询、同时支持关键字的模糊查询。portal审

图2-3-图图2-3-界面显示所有通过Portal认证的用户信息，用户名是唯一的。显示的信息包括IP地址，时间，MAC地址，用户名。页面显示最近500条记录，用户可以刷新页面来更新信息的显示；提供多种查询方式，如可以按日管理员审计界面显示所有管理员登录NAC管理界面的一系列操作信息，包括IP地址，时间，用户名，用户操作。主要记录管理员的操作、与操作相应的时间。页面显示最近500条记录，用户可以刷新页面以更新信息的显示；提供多种查询方式，如可以按日/月查询、可以设定起始和终止时间查询、同时支持关键字的模糊查询。双机热备份

图2-3-界面显示双机切换的具体切换时间、目前所使用的主服务器IP地址、以及进行双机切换的原因（主要分为手动进行切换；或者因为出现异常时间而进行的自动切换）。图2-3-文件操作审计显示终端设备上文件的创建、、粘帖、删除、重命名等操作；提供多种查询方式，如可以按日/月查询、可以设定起始和终止时间查询、同时支持关键字的模糊查询。如图2-3-9所示。终端检测审计

图2-3-显示每个客户端用户的检测结果，主要状况、检测分数、检测描述、检测时间等；提供多种查询方式，可以设定起始和终止时间查询、同时支持关键字的模糊查询。图图2-3-补丁修复审计显示每个客户端用户的补丁修复结果，包括：修复时间、修复总数、修复成功数、修复失败数等；提供多种查询方式，可以设定起始和终止时间查询、同时支持关键字的模糊查询。图2-3-报表管理报表管理包含：每日入网报告、每周入网报告、每月入网报告。报表主要记录信息为：终端总数、未认证终端数、已认证终端数、portal认证终端数、客户端认证终端数、安检完全通过终端数、记录数、已绑定记录数、已修复的终端数、新发现的终端数、存在隐患的终端数、不需要安检的终端数。图2-3-每日入网报告显示每日终端信息记录数，并以柱状图的形式显示每日信息。每日入网报表以当天的23:59分为时间节点查看，因此，无法查看当天或未来的每日入网报表。日报表同时提供导出功能，点击按钮，便会产生相应的PDF文档。图2-3-点击数值能够查看详细信息，如点击终端总数“9”，弹出如图2-3-14图2-3-每周入网报告显示每周终端信息记录数，并以柱状图的形式显示每周信息。每周入网报表以设置时间段的方式进行查看，默认为7天一周，也可设置任意天数为一个时间段进行查询。查询时间点仍然以每天的23:59分为基准，因此，无法查看包含当日或未来的周报表。周报表同时提供导出功能，点 按钮，便会产生相应的PDF文档图2-3-每月入网报告显示每月终端信息记录数，并以柱状图的形式显示每周信息。每月入网报表以月最后一天的23:59分为时间节点，因此，无法查看当月报表或未来的月报表。月报表同时提供导出功能，点击按钮，便会产生相应的PDF文档。图2-3-基础信息基础信息中包含3图2-4-用户管理用户管理中包含4项子菜单，包括用户一览、部门管理、角色管理、黑白。用户一览

图2-4-用户一览菜单主要对用户进行导入、导出、添加和查询等操作。图2-4-添加用户，点击按钮，弹出添加用户界面。添加成功之后，用户会在用户列表中显示，用户根据角色登录NAC系统，拥有相应的权限；另外，不同的用户 网络时拥有不同的上网时效。图2-4-点击，进入导入页面，用户可以点击按钮进行用户列表批量导入。图2-4-点击按钮，用户列表模板进行编辑图2-4-通过查询框，可以对所有用户进行模糊查询。用户列表主要是实现对的编辑，重置和删除功能。当鼠标指针移动到记录中的用户名并单击时，会弹出相应的用户信息（如图2-4-7在记录最右边会出现编辑、重置、以及删除按钮。点击编辑按钮会自动弹出编辑框（如图2-4-8）其中包括用户名、、、部门、角色、认证方式和备注。点击重置后会将用户更改为888888对记录进行删除时只需在相应记录条的右侧单击删除按钮即可。还可以通过勾选前面的多选框并点击按钮，删除多条记录。用户一览界面同样提供记录导出功能，点击按钮即可图2-4-部门管理

图2-4-部门管理主要可进行创建部门、查找部门、以及部门的编辑，删除，移交下属等操作。界面左边显示添加部门的上下级关系，界面右边显示添加的部门和查询框。图2-4-创建部门，点击按钮，弹出信息框需填写部门名，直接，描述，如图2-4-10。若输入框后面标识红色*，则为必填项，请选择该部门直属，合理规划部门的上下级关系。图2-4-可以对部门进行编辑，移交下属和删除操作。点击按钮对部门进行编辑，显示出该部门的部门名，直接，描述和部门的信息，可以将没有其他具体部门归属的用户直接划入该部门中，点击按钮保存退出，如图2-4-11所示。图2-4-点击按钮进行移交下属操作，弹出移交下属界面，如图2-4-12中所示，将研发部中的admin1、admin4重新划入产品部中，点击按钮后立即生效。图2-4-点击按钮删除部门，该部 会默认被规划至缺省部门角色管理在角色管理界面，有系统默认的5类角色：系统管理员，操作管理员，审计管理员、管理员和普通用户，管理员无法对默认角色进行编辑与删除操作；系统默认管理的管理权限是固定的，无法进行更改，使用可以点击管理员名称进行权限关联查看，如图2-4-13所示。图图2-4-系统管理员只具有基础信息和系统配置权限。图2-4-操作管理员只具有主页和策略管理权限。图2-4-审计管理员只具有日志管理权限。图2-4-管理员只具有主页、日志管理、基础信息和策略管理权限。图2-4-普通用户不具备任何管理的权限图2-4-点击按钮进行角色添加，如图2-4-19中填写角色名称为“监控管理员”；并进行权限关联设置，勾选主页、日志管理、基础信息，点击按钮后添加成功。以上创建的角色表示：具有管理员角色的用户在登录系统管理后，只具有主页、日志管理、基础信息的权限。图2-4-对于用户自定义添加的角色可以进行编辑和删除操作，点击按钮，进行编辑操作，点击按钮后编辑成功，如图2-4-20所示。点击按键删除角色。图2-4-黑白黑白主要是方便管理员查看当前所有用户的黑白用户，提供删除操作，这里的删除操作并不是删除这个用户，仅仅是删除这个用户的。页面显示的信息主要有用户名，，，部门，角色和备注。图2-4-终端管理终端管理中包含5项子菜单，包括终端一览、终端、IP地址管理IP-MAC绑定、资产管理。图2-4-终端一览InforCube网络准入控制系统会自动添加网络上发现的所有节点。因此，在这个功能模块当中，管理员可以查询和导出所有接入终端信息，如图2-4-23。图2-4-点击按钮对任意设备的信息进行编辑操作包括修改状（分“已认证”和“未认证”两种，例如：若将某终端的认证状态从“已认证”改为“未认证”，那么这台终端会立即下线）、安全状态、安全描述、类别、以及注销日期，其余信息为只读，不能修改。注意：如果该用户是orl用户，则编辑该用户时的安全状态为“未扫描”，安全描述为“该终端尚未进行客户端检测”，如图2-4-24红色框区域所示；如果该终端是客户端用户，则编辑该用户时的安全状态为“已通过”或“未通过”，安全描述则根据客户端检测结果而定，如果2-4-25红色框区域所示。图2-4-图2-4- 按钮，弹出图2-4-26提示框，点击按钮后可将已通过认证的终端强制下线。图2-4-终端终端模块包含了两方面：一览和策 一览“一览”界面显示所有终端的信息，包括MAC地址，用户名，，状态，描述， 时间，释放时间和备注，如图2-4-27。点击按钮，将终端从“入网”状态状态切换到“允许入网状态”；点击按钮，将终端从“允许入网”状态状态切换到“入网状态”；点击按钮，将该终端删除。图2-4-管理员可以根据需要手动将设备添加。点击按钮，弹出添加界面，如图2-4-28，其中MAC地址（MAC地址只能为已连接上系统的终端的MAC地址）、状态（分为入网和允许入网）、描述（分为、补丁安全性）为必填选项。 策略

图2-4-界面显示系统的各种机制，包括，描述，启用和采取措施图2-4-点击“IP用户变更”的操作按钮，弹出到编辑界面，如图2-4-30。“启用”状态定为“是”，无法进行修改，表示当该终端变更IP和用户后无法通过认证；“采取措施”为”邮件“，表示当某终端变更IP和用户时，会有相应的邮件；“采取措施”为”日志“表示某终端变更IP和用户时会有一条记录写入到【日志管理】—>【审计】当中；“采取措施”为“强制切换”表示触犯此策略的终端所发的数据全被NAC服务器丢弃，此项无法取消勾选。图图2-4-点击“用户变更”的操作按钮，弹出到编辑界面，如图2-4-31。当“启用”编辑为“是”，系统则对用户进行该扫描；当“启用”编辑为“否”时，系统则不对用户进行该扫描，表示该主机即使是以IP-MAC绑定的以外的用户名进行登录，也不会有任何措施和措施。“采取措施”为“邮件”和“强制切换”，当勾选邮件时，若该终端所使用另一用户进行认证登录，系统扫描后会发送邮件至管理员；“采取措施”为“强制切换”表示触犯此策略的终端所发的数据全被服务器丢弃，图2-4-点击“IP变更”的操作按钮，弹出到编辑界面，如图2-4-32。“启用”状态定为“是”，无法进行修改，表示该终端变更IP地址后无法通过认证；“采取措施”为”邮件“，表示当某终端变更IP地址时，会有相应的邮件；“采取措施”为”日志“表示当该终端变更IP地址时会有一条记录写入到【日志管理】—>【审计】当中；“采取措施”为“强制切换”表示触犯此策略的终端所发的数据全被服务器丢弃，此项无法取消勾选。图2-4-点击“认证失败”的操作按钮，弹出到编辑界面，如图2-4-33。当“启用”编辑为“是”，系统对用户进行该扫描，”锁定次数”默认为5次，“锁定时长”默认为30分钟，表示连续5次输入错误的用户名后，“采取措施”为“锁定终端”表示锁定该终端30分钟，30分钟过后才能继续认证登录，“采取措施”为”日志“表示连续5次输入错误帐号与后会产生一条记录写入到【日志管理】—>【审计】当中；当“启用”编辑为“否”时，系统不对用户进行该扫描，则表示终端输入用户名的次数没有数值限制。图2-4-点击“补丁安全性”的操作按钮，弹出到编辑界面，如图2-4-34。当“启用”编辑为”是“，系统则对用户进行该扫描；当“启用”编辑为“否”时，系统则不对用户进行该扫描，则表示即使检测出该终端补丁没有更新也能够认证入网；“采取措施”为“强制切换”表示触犯此策略的终端所发的报文全被服务器丢弃，此项无法取消勾选。图2-4-点击“ ”的操作按钮，弹出到编辑界面，如图2--35。“启用”状态定为“是”，无法进行修改，表示用户无法通过认证；“采取措施”为”邮件“，表示当某用户被编辑为时，会有相应的邮件报警；“采取措施”为”日志“表示用户尝试登录时会有一条记录写入到【日志管理】—>【审计】当中；“采取措施”为“强制切换”表示触犯此策略的终端所发的数据全被服务器丢弃，此项无法取消勾选。IP地址管理

图2-4-InforCube网络准入控制系统能够自动检测出所需检测网段中所有IP地址的使用情况，操作步骤为，step1：添加需要扫描的网段；step2：进行扫描。网段管理若要进行扫描，必须先添加该扫描网段，但是初始状态下网段管理列表为空，需要进行手动添加。图2-4-点击按钮，填写相应的网络IP、子网掩码及描述信息图2-4-IP地址池选择需要进行扫描的网段后点击按钮，图2-4-38显示系统正在扫描网段172.18.4.0/24。图2-4-扫描所得结果以IP地址池方式显示，橙色表示以被使用的IP地址，绿色表示未被使用的IP地址，并统计出该网段下已使用IP和未使用IP的具体数目；鼠标点击具体地址后，会产生该IP地址的详细信息。图2-4-点击按钮可以将扫描结果以列表形式显示点击 按钮进行添加安全域操作。有关安全域的具体作用，读者可以翻阅手册2.6.4章节。图图2-4-IP-MAC绑定主要包括实时表和基准表。实时表实时表显示接入终端的MAC地址、IP地址与用户名信息（2-4-41），“设为基准”共有两种操作方式，一是点击该终端信息最右边一栏操作下的 按键，弹出确认框（如图2-4-42），点击按钮设置为基准信息。另式可用于批量操作，勾选多个终端后，点击按钮进行设为基准操作。图2-图2-4-图2-4-基准表基准表用于实现“人机绑定”管理，即表示将“IP-MAC-用户名”这三者进行绑定，如图2-4-43。图2-4-可以对基准表中单个数据进行编辑、删除操作，也可以对基准表中多个数据进行批量删除（点击按钮）、清空操作（点击按钮用户可以自定义终端的IP用户名等点击编辑按钮如图2-4-44。图2-4-绑定后，当用户终端所获得的IP地址发生变更后，会立即被切为资产管理显示所有通过客户端模式认证的终端的相应信息，如图2-4-45图2-4-点击按钮进入编辑页面，对资产进行编辑操作图2-4-点击按钮，跳出页面显示终端设备的硬件信息与软件信息图2-4-点击按钮后，会跳出确认框（如图2-4-48），点击“确定”后完成设为基准操作；再次点击按钮进行查看，发现“基准配置中”已有资产的软硬件描述（2-4-49）。注意：当终端软硬件信息有变更时，系统会有相应的邮 图2-4-图2-4-终端管理终端管理中包含2图2-4-交换机信息显示接入网络的交换机信息。显示包括交换机名称，详细信息包括：端，端口名称，端口状态，所属vlan和交换机IP。交换机配置

图2-4-交换机页面显示的信息有IP地址，类型，端，SNMP版本，SNMP读名，SNMP写名。图2-4-点击按钮进入添加交换机页面如图2-4-53，设置交换机参数点击，新的交换机便会显示在交换机列表中。图2-4-点击进入交换机编辑页面如图2-4-54，编辑完交换机参数点。图图2-4-策略管理策略管理中包含15项子菜单，包括策略配置、进程策略、截屏策略、USB设备策略、其他设备策略、杀毒软件策略、文件操作日志策略、服务策略、表策略、必备软件策略、控制策略、客户端卸载策略、弱口令策略、补丁策略、流量策略。图图2-5-策略配置策略总开关策略总开关，控制包括进程策略、截屏策略、B设备策略、其他设备策略、杀毒软件策略、文件操作日志策略、服务策略、表策略、必备软件策略、控制策略、客户端卸载策略、弱口令策略、补丁策略、流量策略这4个策略的开启情况，启用既开启策略对用户进行控制，禁用既关闭策略不对用户进行控制。图2-5-策略同步周期策略同步周期设置策略更新周期，策略会在策略周期时间之内进行自动更新策略。校验

图2-5-校验默认处于关闭状态，客户端用户可以通过右击客户端小程序，选择“策略查看”阅览相关的策略开启状态。一旦将开关启用，则需要设置，如图2-5-4；并且当客户端用户再次通过右击客户端小程序查阅相关策略开启状态时，会要求输入相应的校验，如图2-5-5。图2-5-图2-5-进程策略进程配置进程管理页面显示进程名称、进程描述、查询按钮和新增按钮。图2-5-在进程列表显示界面，输入进程名称，点击可以搜索出相关进程；点击，进入进程添加页面（如图-5-7），可以添加被管控的进程名、软件名、软件类型和描述信息。图图2-5-点击按键返回，返回到进程列表页面。点击对新添加的进程进行保存操作，之后在进程列表中会有相应进程的显示。进程列表页面点击按钮进入进程编辑页面例如 进程，点击操作项的编辑按钮，可以编辑进程名、软件名、软件类型和描述，如图2-5-8。图2-5-图2-5-点击按钮进行MD5值设置操作，在MD5信息添加页面中，可以添加进程的版本号、图2-5-在此界面，点击按钮计 值工ProcessTools.exe，运行后出现如下窗口。图2-5-点击添加需计算MD5值的.exe进程，然后点，计算出文件大小和MD5值，将计算值填写至设置MD5值页面，*号为必填项，填写完成点击，新添加MD5值显示在添加页面下方，点击MD5值操作项删除按钮可以删除MD5值，点击返回到进程列表页面。策略配置进程策略根据用户类型可分为缺省策略，部门策略和用户策略三种，策略叠加时，按优先级从高到底分别为：用户策略>部门策略>缺省策略。图2-图2-5-图2-5-缺省策略页面，没有设置部门或用户策略的其余用户均遵守缺省策略的控制，用户可以根据需要自定义进程策略为“允许”或“”，可点击按钮进行编辑，进入如图2-5-12，对缺省策略进行编辑图2-5-部门策略页面，可新建、编辑、删除和查询部门策略。点击按钮进入新建部门策略页面（如图2-5-13），策略名称必填，用户可以根据需要选择进程策略为“允许”或“”，左侧勾选设置策略的部门（可多选），图2-图2-5-可对部门策略进行编辑、禁用、删除和查看部门操作，如图2-5-14。点击按钮表示进行“编辑”操作，可以对原有策略进行修改动作；点击按钮表示进行“禁用”操作，可以使策略失效；点击按钮表示进行“删除”操作，可以删除该策略；点击按钮表示进行“查看部门”操作，可以查看该策略所对应的生效部门。图图2-5-点击按钮新建用户策略，进入新建策略页面（如图2-5-15），策略名称必填，用户可以根据需要自定义进程策略为“允许”或“”，左侧勾选要设置策略的用户（可多选），点击保存。图图2-5-同样，可对用户策略进行编辑、禁用、删除和查看用户操作。注意：所有的策略优先级从高到低均是用户策略>部门策略>缺省策略；新建用户策略与新建部门策略步骤相同，下面的章节中均将以新建部门策略为例，若管理员需要新建用户策略，可参照不同策略类型的新建部门策略操作。截屏策略进入部门策略页面，可新建部门策略、编辑策略、删除策略和查询策略。点击按钮 进入新建部门策略页面（如图2--16），策略名称必填，用户可以根据需要选择截屏策略为“允许”或“”，左侧勾选要设置策略的部门（可多选），点击按钮后部门策略列表中便会产生相应的添加信息；管理员可对部门策略进行编辑、禁用、删除和查看部门操作。图图2-5-USB设备策略登录系统—>【策略管理】—>【USB设备策略】USB设备配置首先需要使用客户端对设备进行，如USB设备流程，优盘后客户端小图标右击“设备 ”，如图2-5-17。图2-5-弹出设备界面如图2-5-19输入相应的设备名称后点击按钮，会显示设备成功的提示 图2-5-在“USB设备配置”界面中，可点击按钮，进行设备编辑操作；可点击按钮，删除已设备；可输入关键字再点击按钮，进行设备查询操作。图2-5-点击按钮，可进行设备名称的修改和填写描述信息图2-5-策略配置进入部门策略页面，可新建部门策略、编辑策略、删除策略和查询策略。点击按钮 进入新建部门策略页面（如图2-5-21），策略名称必填，用户可以根据需要选择USB设备策略为“允许”或“禁止”，左侧勾选要设置策略的部门（可多选），点击按钮后部门策略列表中便会产生相应的添加信息；管理员可对部门策略进行编辑、禁用、删除和查看部门操作。其他设备策略

图2-5-其他设备包括对串口、并口、红外、1394、无线网卡的控制。进入部门策略页面，可新建部门策略、编辑策略、删除策略和查询策略。点击按钮进入新建部门策略页面（如图2-5-22），策略名称必填，用户可以根据需要选择其他设备策略为“允许”或“”，左侧勾选要设置策略的部门（可多选），点击按钮后部门策略列表中便会产生相应的添加信息；管理员可对部门策略进行编辑、禁用、删除和查看部门操作。图2-5-杀毒软件策略杀毒软件配置系统提供7种杀毒软件的检测，包括菲、卡巴斯基、趋势科技、赛门铁克、金山毒霸、瑞星杀毒和。图2-5-点击按钮，对杀毒软件进行编辑操作；点击按钮，对杀毒软件进行上传操作，如图2-5-24。策略配置

图2-5-进入部门策略页面，可新建部门策略、编辑策略、删除策略和查询策略。点击按钮 进入新建部门策略页面（如图2--25），策略名称必填，用户可以根据需要选择杀毒软件策略为“允许”或“”，左侧勾选要设置策略的部门（可多选），点击按钮后部门策略列表中便会产生相应的添加信息；管理员可对部门策略进行编辑、禁用、删除和查看部门操作。文件操作日志策略

图2-5-系统提供共对6种文件格式进行操作记录，包括TXTWORDEXCEL、PPT、PDF和CAD。进入部门策略页面，可新建部门策略、编辑策略、删除策略和查询策略。点击 按钮进入新建部门策略页面（如图2-5-26），策略名称必填，用户可以根据需要选择文件操作日志策略为“允许”或“”，左侧勾选要设置策略的部门（可多选），点击按钮后部门策略列表中便会产生相应的添加信息；管理员可对部门策略进行编辑、禁用、删除和查看部门操作。图图2-5-服务策略服务配置该界面中可点击按钮，对服务进行编辑操作；可点击按钮，删除受管理的服务；输入关键字点击按钮，进行服务查询操作。图2-5-点击按钮，进入服务添加页面，其中服务名称为必填，用户可选择性填写描述信息，点击按钮返回到服务管理列表并显示添加的服务，如图2-5-28所示。图2-5-策略配置服务策略可以控制终端主机系统服务的开启与关闭。进入部门策略页按钮进入新建部门策略页面（如图2-5-29），策略名称必填，用户可以根据需要选择服务策略为“允许”或“”，左侧勾选要设置策略的部（可多选），点击按钮后部门策略列表中便会产生相应的添加信息；管理员可对部门策略进行编辑、禁用、删除和查看部门操作。图2-5-表策略登录系统—>【策略管理】—>【表策略 表配该界面中可点击按钮，对 表进行编辑操作；点击按钮，删除受管理的 表；输入关键字点击按钮，进行 表查询操作。图2-5-点击按钮，进入服务添加页面，其中表名称为必填，用户可选择性填写描述信息，点击按钮返回到表管理列表并显示添加的表，如图2-5-31所示。图2-5-策略配置进程策略用以控制终端主机程序进程的运行与关闭。进入部门策略页按钮进入新建部门策略页面（如图2-5-32），策略名称必填，用户可以根据需要选择表策略为“允许”或“”，左侧勾选要设置策略的部门（可多选），点击 按钮后部门策略列表中便会产生相应的添加信息；管理员可对部门策略进行编辑、禁用、删除和查看部门操作。图2-5-必备软件策略必备软件配置该界面中可点击按钮，对必备软件进行编辑操作；点击按钮，删除受管理的必备软件；输入关键字点击按钮，进行必备软件查询操作。图2-5-点击按钮，进入必备软件添加页面，填写软件名称（必填）、软件版本、软件描述等信息，用户点击按钮，进行必备软件上传操作如图2-4-34；填写相关信息后点击按钮进行上传操作，如图2-4-35。图2-图2-5-策略配置

图2-5-服务策略用以控制终端入网前所必须安装的软件。进入部门策略页按钮进入新建部门策略页面（如图2-5-36），策略名称必填，用户可以根据需要选择必备软件策略为“是”或“否”，左侧勾选要设置策略的部门（可多选），点击保存。图2-5-控制策略登录系统—>【策略管理】—>【控制策略目的网段配置该界面中可点击按钮，删除受管理的目的网段；输入关键字点击按钮，进行受管控目的网段的查询操作。图2-5-点击按钮，进入目的网段添加页面，其中网段名、网段号、子网掩码为必填，用户可选择性填写描述信息，点击按钮返回到目的网段管理列表并显示添加的目的网段，如图2-5-示。图图2-5-策略配置注意 控制策略只具 模式（所添加的目的网段全不）或者允许模式（所添加的目的网段均可 ），两种模式不能同时使用。一旦进行策略切换，目前所有的 控制策略会被清空。表示系统目前采 控制策略（策 的网段不可问，其他均可），点击该按钮后系统将会切换至允许控制策略，并弹出相应的清空策略提示，如图2-5-39。表示系统目前采用允许控制策略（策略允许的网段可以访问，其他均不可），点击该按钮后系统将会切换至 策略，并弹出相应的清空策略提示。图2-5-进入部门策略页面，可新建部门策略、编辑策略、删除策略和查询策略。点击 按钮进入新建部门策略页面（如图2--40），策略名称必填，用户可以根据需要选择目的网段策略为“允许”或“”，左侧勾选要设置策略的部门（可多选），点击按钮后部门策略列表中便会产生相应的添加信息；管理员可对部门策略进行编辑、禁用、删除和查看部门操作。图2-5-注意：新建允 控制策略与以上步骤类似，请参考客户端卸载策略进入部门策略页面，可新建部门策略、编辑策略、删除策略和查询策略。点击 按钮进入新建部门策略页面（如图2-5-41），策略名称必填，用户可以根据需要选择“客户端卸载”为“允许”或“”，左侧勾选要设置策略的部门（可多选），点击按钮后部门策略列表中便会产生相应的添加信息；管理员可对部门策略进行编辑、禁用、删除和查看部门操作。图图2-5-弱口令策略弱口令配置包含弱口令配置和账户安全策略配置。弱口令配置主要可以设置弱口令检测周期；点击按钮可以进行字典上传操作；同时，对于检测未通过的终端，管理员可以自定义提示语发至终端用户。账户安全策略配置主要包括复杂度和长度。检测并自动设置终端注意的复杂度的开启与关闭状态；最短长度为0-14位可选。图2-5-策略配置进入部门策略页面，可新建部门策略、编辑策略、删除策略和查询策略。点击 按钮进入新建部门策略页面（如图2-5-43），策略名称必填，用户可以根据需要选择弱口令策略为“禁用”或“启用”，左侧勾选要设置策略的部门（可多选），点击保存。图图2-5-补丁策略补丁列表补丁策略与其他策略管理有所不同，它并不具有缺省策略，部门策略和用户策略之分，一旦开启补丁策略，所有客户端用户（非白用户）在入网前均要进行补丁检测。在补丁策略界面中，显示系统所提供补丁的名称、补丁级别以及发布日期等信息；系统同时提供多种查询方式，可按时间进行查询，也可输入关键字再点击按钮进行模糊查询；管理员可点击按钮进行补丁上传操作。图2-5-系统为您进行了补丁分类，点击右上角的分类数值能够根据不同的补丁类别显示补丁，如图2-5-45。图2-5-点击按钮，跳转到如图2-5-46，在该界面中，管理员可点击按钮选择保存于本地计算机中的补丁包，最后再点按钮进行补丁上传操作。图2-5-注意：本系统所有补丁统一 上 C&A产品线提供。上传记录上传记录页面中显示上传的补丁包名称、操作人、升级时间以及操作栏，如图2-5-47；点击按钮，能够查看补丁包的具体信息，如补丁名称、补丁等级，如图2-5-48。图2-5-图2-5-流量策告警阈值配置告警阈值分为5个等级，用户可以自定义配置，上讯信息建议您不要将阈值设的过于接近。告警记录

图2-5-终端一旦超过所设置的阈值，便会产生一条告警记录。所记录的信息包括：用户名、IP地址、MAC地址、当前速率、告警级别及告警时间等。图2-5-系统配置系统配置中包含8项子菜单，包括网络配置、网卡配置、告警配置、安全域配置、个性化配置、双机热备份、数据备份与恢复、系统升级、授图2-6-网络配置页面显示系统技术方式、认证检测方式（分为认证和非认证）、用户认证方式（包括本地认证、LDAP认证、Radius认证和AD域认证）、默认认证方式（分为Portal认证+静态和客户端认证+静态）、访客时长、白 时长、强制修改开关、自开关、修复时效配置开关、修复时效时长、以及 强制登录开关。图2-6-注意：“修复时效配置”的意义：客户端用户没有通过安全检测时，可以选择跳过安全检测而入网，若“修复时效配置”为“开启”状态，则该终端需要在规定修复时效之内进行修复操作，否则予以断网操作。当认证检测方式选择为“认证”图2-6-LDAP认证需要额外配置用户组，用户类型，服务器，，邮箱，图2-6-Radius认证需要额外配置服务器和密钥。图2-6-AD域认证需要额外配置服务器和后缀图2-6-注意：在客户端重新使用AD域用户名进行认证登录，特别注意需要在用户名后面加上。另外，如果“用户组”中没有填写任何数据，则表示该AD域服务器上的所有域帐号均能够进行认证登录；如果“用户组”中指定了相应的组，则表示AD域服务器上的该组下的所有帐号能够进行认证登录，其他组下的帐号无法进行认证登录。当认证检测方式选择为“非认证”当切换认证检测方式时，原有认证检测方式下的所有数据将被清空。此时，在【基础信息】中会多出【管理】模块。入网中主要包括未和已的终端。图2-6-此时，受管控的用户打开网页时会被重定向到如下图2-6-7所示页面。图2-6-终端用户输入正确的、并正确选择自己所在部门后点击按钮便表示已向管理员提交入网申请，此时终端页面会弹出如图2-6-8所示提示信息；而管理员会收到如图2-6-9所示的入网请求，同时会于管理界面的右上角显示“有待记录”，如图2-6-10；并可在“未”中查看发送请求的终端用户信息，如图2-6-11所示。图2-6-图2-6-图2-6-图2-6-管理员可点击按钮，编辑相应信息后，可对入网申请给与“同意”或“”回复。如管理员点击了按钮，则会弹出如图2-6-13提示信息，并且会将此操作添加到“已”列表当中，如图2-6-14红色框区域所示，同时，当终端用户再次打开网页时，跳转至如图2-6-15提示信息；用户可以点击按钮，再次尝试申请入网，此时管理员会再次收到入网请求，当管理员编辑好入网请求后点击按钮，如图2-6-16，则会弹出如图2-6-17提示信息，并且会将此操作添加到”已审批”列表当中，如图2-6-18红色框区域所示。图2-6-图2-6-图2-6-图2-6-图2-6-图2-6-图2-6-如果终端用户已经通过，并且管理员在