ASM盈高入网规范管理系统监控.doc

ASM系统操作手册客户名称：新邵市县委所属行业：政府机构用户简介：新邵市县委下属11镇4乡，651个行政村，28个社区，是全新邵地区的行政枢纽，负责整个地区的管理、行政、收支等政府财务功能客户需求：落实内部安全管理制度，提高终端用户的安全意识，避免出现非法终端入网的情况，实现集中策略管理，解决终端安全设置不一致的现状。并对计算机的安全性（如补丁安装情况、杀毒软件安装情况等）进行扫描和修复，另外需要统计全网计算机的资产情况。应用规模：下属11镇4乡、近100个所属机关单位、近2000台终端计算机包括各品牌台式机、移动设备、笔记本电脑、打印机，其中还包括一定数量的特殊系统工作站。实现功能：策略路由旁路式准入控制、接入设备安全性扫描、资产管理、必须程序安装、上网控制、杀毒软件和补丁推送等。 应用背景：在国家对政府机构信息化建设日益重视的今天，新邵市县委已经建立起了完善的电子政务系统，各地方基于政务信息系统进行日常工作和管理，效率高，使用便捷。但由于目前所辖乡镇众多，导致网络接入用户总数众多，且遍布新邵全市各个角落。在多年的网络使用过程中，信息科发现始终存在以下难以解决的问题：u 无法清楚了解每日有多少台设备进入了县委的网络；u 无法统计入网的人员数量和每日来访的宾客数量；u 缺乏有效手段对用户的操作行为（如随意安装娱乐程序、私自更改ip地址、不登录到域等）进行控制；u 员工计算机水平参差不齐，导致入网电脑的安全性难以保证，许多电脑不装杀毒软件或不打补丁就直接入网，内网经常有病毒感染或ARP攻击事件发生；另外，由于县委信息部门人数有限，对于分布广泛的内网接入在维护和管理上存在较大的难度，工作效率一直无法提高。为了解决长期困扰网络信息部门的上述问题，本着遵循等保中内网安全控制条款和满足新邵县委内部信息安全控制和安全体系建设要求，在县领导的重视下提出建设内网安全准入控制系统。该项目主要的安全目标在于控制来宾对于内网重要资源的访问，控制内网设备的安全性，规范用户的入网行为，并且对安全系数低的设备进行跟踪和修复。通过县委信息部门领导和盈高科技专业团队前期的详细交流和规划，在众多国内外知名厂商中选择了更为专业和稳定的INFOGO-ASM入网规范管理系统做为整个项目的准入平台，采用旁路方式联接信息科机房主核心交换，采用策略路由方式控制整个网路。 准入系统实施使用收益：u 通过技术手段统计了入网的设备、人员、时间等信息u 有效的控制和管理了来宾入网的权限和记录u 实现终端用户对于计算机管理，如：IP管理，软件管理等的有序管理；u 确保终端用户安装并且更新了杀毒软件的病毒库，大大加强了内部网络的安全性 入网基本流程：1. 入网后打开任意网页，立刻被重定向到安检页面，并且给浏览器安装active插件2. 打开安检页面后，终端用户登记自己的身份信息和物理位置，为管理员提供资产信息列表3. 登记完成后，开始安检， 检查后如果安装有杀毒软件、补丁和U盘管理系统则可以通过安检开始使用网络资源，如果未通过，则自动为用户进行安装。4. 电脑成功接入网络后，插件随时处于激活状态，定期安检保障计算机安全，如果卸载插件、U盘管理软件或者杀毒软件等客户端，则立刻断网。 用户评价：通过本次项目实施，对整个网络重新进行了安全规划和加固：一是优化了原有网络接入方式，保证了网络的安全性和可靠性；二是对全网近2000多个信息点的接入做了控制，必须达到安全规范才能接入业务网，确保每个接入网络的终端都安装了最新的防病毒软件，重要补丁都得到安装等；三是对每个终端的流量作了采样，统计终端的流量排行，并且对异常流量行为的终端采取措施。从网络与终端等方面立体化地加固了网络的安全性。本文来自：E-Works ，转载请保留原文链接：/590915/articles/184648.htmlASM盈高入网规范管理系统 INFOGO Access Standard Management System操作手册Version 5.2.3035 版权 声明：本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属盈高科技所有，并受到有关产权及版权法保护。任何个人、机构未经盈高科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 商标：盈高、INFOGO是盈高科技的注册商标，未经允许，不得引用。10目录1.说明12.ASM设备外观图解13.登录方式14.操作界面说明24.1首页24.2模块界面35.用户首次配置35.1启用旁路模式45.2启用串联模式45.3系统基本设置55.4邮件提醒55.5短信提醒设置65.6部门管理75.7注册与认证85.7.1安全域配置85.7.1认证角色管理95.7.1用户管理105.7.1来宾认证参数125.7.1全局参数设置135.7.1注册参数配置145.7.1认证参数配置155.7.1用户名密码认证165.7.1UKey认证165.7.1手机短信认证175.7.1Email认证175.7.1LDAP服务器配置175.7.1AD域认证参数设置185.7.1身份认证记录195.7.1动态验证码获取记录195.8配置入网规范195.8.1标准行业入网规范库205.8.2自定义规范205.8.3高级属性245.9配置网络联动控制245.9.1EOU认证技术设置255.9.2PORTAL认证技术设置285.9.3透明网桥设置305.9.4策略路由设置335.9.5MVG网关设置365.10配置双机热备396.用户日常使用406.1新设备注册检查406.2审核接入设备456.3设备管理456.4.1.添加可信设备466.4.2.取消可信设备466.4.3.设备安装软件信息476.4隔离设备476.5设备和用户绑定486.6立刻认证安检516.7信息导入526.8IP地址池526.9IP/MAC绑定536.10.1.添加IP/MAC绑定536.10.2.导入IP/MAC绑定546.10IP/MAC全局配置556.11查看系统数据及报表566.12.1.设备信息查询566.12.2.补丁管理查询576.12.3.统计报表查询586.12.4.未关机统计626.12上下网审计636.13级联管理636.14功能地图656.15报警中心656.16其他666.17.1.数据备份666.17.2.系统更新676.17.3.上传软件管理686.17.4.设备状态管理686.17.5.系统调试日志列表696.17.6.Excel报表导出696.17.7.强制认证推送706.17.8.终端故障分析716.17.9.数据导入716.17过期设备清除记录726.18系统用户727.终端小助手功能747.1安检用户切换747.2修改认证用户密码75杭州盈高科技有限公司1. 说明ASM基于最先进的第三代准入控制技术，无需改变您的网络，无需安装客户端，具有简便的操作性、高度智能化的修复方式及对于各种复杂网络的强适应性。我们为您制订了一系列有效可靠的网络合规性要求，从而实现“违规不入网，入网必合规”的管理规范，充分满足等保对于网络边界及主机保护的要求为了能帮助您迅速部署ASM并体验ASM的强大功能，请参照本手册进行相关操作。祝您使用愉快！2. ASM设备外观图解eth1:管理端口(HA心跳口)，具有固定地址91eth0: 非可信接口port，串联模式使用，接内部受控网络图 2.1eth2: 旁路接口Out-of-band port，旁路模式使用，使用时需要您分配一个IP地址eth3: 可信接口trusted port，串联模式使用，接外部不受控网络 Console口3. 登录方式我们提供web登录的方式对ASM平台进行相关的配置。l 如果您是与eth1口直连，那么请在浏览器地址栏中输入91/admin 。l 如果ASM设备采用旁路方式接入您的网络，请预先为eth2口分配一个网络中可以使用的IP地址（配置方法参考启用旁路模式），确保您能ping通eth2口，在浏览器地址栏中输入 http:/ eth2口IP地址/admin。登录界面如下所示：图 3.1ASM设备初始登录用户名：admin ，密码：888888 。4. 操作界面说明4.1 首页初次登录，首页界面如图所示：图 4.1. 1ASM的模块，包括“注册与认证”、“入网规范管理”，“统计报表”、“报警中心”、“网络联动控制”、“内网边界管理”、“网络审计疏导”、“系统设置”共8个模块。如图所示：图 4.1. 2版本信息是您购买的ASM设备的型号及各项版本号。如图所示：图 4.1. 3请确保所显示的型号与供货合同相符。我们对引擎、行业库及补丁库会及时做出更新，敬请随时关注我们的网站，以便使用我们为您提供的最新服务。4.2 模块界面当您点击任何一个模块后，会进入类似图4.2.1所示的模块界面：图 4.2. 1点击各个“选项”后可以进行更为详细的设置。5. 用户首次配置如果您是第一次登录ASM系统（登录方式请参考登录方式），为了方便今后的工作，我们建议您先进行一些初始化配置。5.1 启用旁路模式如果ASM是采用串联方式接入您的网络，请跳过此步骤，直接进入启用串联网络。当ASM采用旁路方式接入您的网络时，必须为执行接入的eth2口分配一个网络中可用的IP地址。操作步骤为“系统设置”模块 “网络参数设置”选项，进入如下界面：图 5.1. 11、 勾选ETH2的启用框；2、 为ETH2配置一个您网络中可用的IP地址、子网掩码、网关。3、 点击“完成配置”。在ASM系统已经通过eth2口接入您网络的情况下，远程ping eth2口的IP地址。如果无法ping通，请联系我们的技术工程师。5.2 启用串联模式如果ASM系统是采用旁路方式接入您的网络，请跳过此步骤，进入系统基本设置。请将ASM的eth0口与您需要进行准入控制的内部网络相连，将 eth3口与您的外部网络相连。具体连接方式可能需要依据您的网络拓扑而定，您可以预先咨询我们的技术工程师。操作步骤为“系统设置”模块 “网络参数设置”选项，进入如下界面：图 5.2. 11、 勾选ETH0、ETH1 的启用框。2、 点击“完成配置”。注：关于串联接入的具体参数设置，请参透明网桥设置。5.3 系统基本设置为了让ASM更好地融入您的网络，请先将您的用户信息写入ASM的界面中。在您下次登录时，将看到采用您单位相关信息的界面。操作步骤为 “系统设置”模块 “系统基本设置”选项，进入如下界面：图 5.3. 15.4 邮件提醒我们为您提供了当新设备入网时自动发送邮件进行提醒的功能。当然，如果您不需要邮件提醒，也可以跳过此步骤，不会影响设备的其他功能。操作步骤为 “系统设置”模块 “邮件提醒设置”选项，进入如下界面：图 5.5. 1l 请输入您的邮件服务器地址，您的登录账户及登录密码。邮件将从这个邮箱发出。请填入ASM系统的管理地址（如您配置好的ETH2口地址）及web登录的端口号（默认为80端口），收到邮件的管理员可以在邮件中直接点击这个链接访问到我们的ASM系统。l 请填入邮件中所显示的收件人地址（可以与您的登录账户名不同）。请点击Email框输入需要接收提醒邮件的收件人地址；图 5.5. 2再点击“添加”按钮将地址添加到收件人列表中。删除收件人：您可以选中收件人列表中的某个地址，再点击“删除”按钮清空收件人：您可以直接点击“清空”按钮删除所有已存在的收件人。5.5 短信提醒设置当有设备等待接入审核或者IP/MAC变动或者空间不足时，我们可以设置发送短信提醒管理员。操作步骤为“系统设置”模块 “短信提醒设置”选项，进入如下界面：图 5.6. 1配置好短信引擎地址，管理员手机号码，以及需要发送短信的情形，点击保存配置后，当有发生需要发送短信的状况时，管理员就会收到提醒短信。5.6 部门管理根据您单位目前管理的部门，ASM上也需要设置相应的部门规划。这样在入网设备注册时（入网设备注册的详细过程请参考新设备注册检查）可以就选择归属的部门，方便您及时准确地对设备进行定位和管理。请确保您已经填写好了您的单位名称（关于公司或单位名称的填写请参考系统基本设置），此时单位名称会显示在所有部门的最顶层。操作步骤为“注册与认证”模块 “部门管理”选项，如图所示：图 5.8. 1您只需点击“添加部门”按钮进行新部门编辑即可。如图所示：图 5.8. 2请输入新部门名称。ASM支持多部门多级管理，当您第一次添加部门时，上级部门为公司名称；当有多个部门时，您可以在“上级部门”一栏选择其中一个作为新部门的直接上级。保存后，部门列表将显示在界面的右方。如图所示：图 5.8. 3通过点击相应的操作名称，您可以对已有的部门进行排序、编辑和删除的操作5.7 注册与认证在设备接入网络之前，如果您是第一次接入网络，就需要先进行注册，然后进行身份认证。只有身份认证通过的设备才能进一步的对设备进行安全检查，确保您的设备是规范入网的。请选择“注册与认证”模块，在界面的左边会出现注册与认证部分的导航栏“认证管理”与“身份认证参数设置”， 5.7.1 安全域配置在配置用户角色之前可以先配置好安全域，以便在角色配置时可以准确地分配检查通过和不通过时分别可以访问的域。配置安全域的界面如图所示：图 5.10.1. 15.7.1 认证角色管理用户角色是对用户身份的一种归类。例如归类于来宾角色的用户，系统将不对其进行安检。您可以自己新建一个特有的角色，新建界面如图所示：图 5.10.2. 1如上图所示，您可以根据自己的需求，设置角色是否需要安检，安检周期，安检时引用的规范以及安检后可以访问的域。如果您启用了检查时安装入网小助手，那么我们会在您进行安检时安装入网小助手，并且根据您输入的名字进行命名。安装入网小助手之后，每次开机时，小助手会自动为您进行安全检查。为了达到更准确的检查结果，您可以配置小助手的二次检查，选择检查时间间隔。当第一次安检完成后，等待您配置的间隔时间小助手即进行第二次安检。如果您不想打扰到被管理人员的正常工作，我们小助手为您提供了免打扰模式。在小助手配置中，您可以开启免打扰模式，开启后，客户机的小助手不会出现任何提示和对话框。如果您在卸载小助手的时候想让设备信息同时被删除，您可以启用“卸载小助手是否删除该设备信息”，那样当您手动卸载小助手后，您的设备信息也会被删除。5.7.1 用户管理用户是对使用设备身份的管理方式。您可以建立用户，使其归类于某个角色，当身份认证通过后，就可以进行安检，然后入网。用户管理界面如下图所示：图 5.10.3. 1点击“添加用户”按钮，进入新建用户界面，如下图所示：图 5.10.3. 2输入认证用户名、密码、确认密码，并根据需求选择用户的角色、类型和部门后，保存用户即可。用户还可以和设备进行绑定，如果该用户绑定了一台设备，则该用户就只能在绑定的这台设备上进行认证，不能在其他设备上进行认证；您可以勾选需要绑定的用户，点击“绑定设备”按钮，选择绑定设备方式，确定即可。我们为您提供了两种绑定方式：绑定到用户最后认证的设备和绑定到指定设备。如果您选择了绑定到最后认证的设备，系统自动为您绑定到您最后认证的设备；如果您选择了绑定到指定设备，那么您可以选择您想绑定的设备。当您配置完成后，用户管理界面的是否启用绑定设备和绑定的设备会显示您所设置绑定的设备。界面如图所示：图 5.10.3. 3如果您希望被绑定的用户可以在所有的设备上进行认证，那么您可以勾选该用户，通过点击“取消绑定设备”按钮取消该用户的绑定即可。5.7.1 来宾认证参数如果您有来宾需要接入网络，那么您可以设置您的来宾在入网时是否需要验证身份，是否需要临时上网码。认证参数的设置如下图所示：图 5.10.4. 1当您启用来宾认证时，来宾用户入网前必须要先经过认证，认证通过后的安检设置将根据来宾角色配置进行安全检查。如果您选择需要临时上网码，那么您的来宾入网认证时就需要向他所访问的人申请一个临时上网码以便入网。临时上网码可以使用小助手申请，也可以通过检查页面来申请。使用小助手申请上网码：在已经安装小助手的客户机上右击小助手选择“申请来宾上网码”系统分配临时上网码；界面如下图所示：图 5.10.4. 2您也可以使用检查页面获取上网码：员工角色的客户机检查完成后，在结果界面上点击“申请来宾上网码”，如下图所示：图 5.10.4. 3获取到的临时上网码将在来宾用户认证接入网络时使用。5.7.1 全局参数设置对于身份认证，您可以选择不认证，如果您选择认证的话，我们的系统为您提供了四种认证方式：用户名密码认证、UKey身份认证、短信认证、Email认证。我们在全局参数设置中为您提供一系列关于认证和安检的全局参数，您可以根据自己的需求进行设置。全局认证参数设置如下图所示：图 5.10.7. 1您可以根据不同的情况设置各个选项； 如果您开启了无控件快速认证时，当新设备接入网络时不需要安装控件并且也不需要注册，只要输入正确的用户名和密码就能进行安检。该功能只在MVG、DHCP、策略路由以及透明网桥这几种准入技术下才有效；如果您开启了允许通过手机进行身份认证，当手机通过无线接入您的网络时可以开启安检界面，通过认证接入网络；如果您设置检查后显示安检得分，那么在安检完成后检查结果页面会显示安全得分；如果您设置检查后启动自动修复，那么安检完成后如果有检查项不通过则会根据管理员的配置进行自动修复；如果您设置客户端检查页面风格，则打开安检页面后，页面会显示设置的风格；如果您设置了认证前提示用户选择身份类型，当您打开安检页面需要先选择身份类型才会进入身份认证页面；如果您设置为不提示，当您打开安检页面不需要选择身份类型直接跳转到身份认证页面；如果您设置用户身份选择显示为图片，则您打开安检页面显示的为默认的我是来宾和我是员工按钮；如果您设置显示文字，则可以在弹出的输入框中设置我是员工和我是来宾替换为您想要显示的文字，不能超过6个字；如果您设置管理后台访问方式为安全模式，则您打开管理平台必须是以https的形式打开页面；如果您设置管理后台访问方式普通模式，则您打开管理平台页面可以为普通的http模式打开；如果您选择控件安装方式为自动在线安装，则当客户机安装了.net时首次接入网络是不需要自己手动下载控件安装的；如果您选择手动下载安装，则您首次接入网络如果您设置为安检前需要进行身份认证，并且设置需要认证的IP段，当您打开安检页面进行安检时，客户机IP在需要认证的IP范围内则需要进行用户身份验证；如果您设置为安检前不需要进行身份认证，那么您进行安检时进入身份认证页面不需要手动去输入信息我们系统默认给您通过；如果您开启了桌面安全管理系统联动，那么我们在进行安全检查之前会先检查是否安装了桌面安全管理软件，如果没有安装的话，我们会根据您配置的地址去访问安装桌面安全管理软件。关于自动修复功能，我们提供了一些不需要用户交互的检查项的自动修复。当您开启桌面安全管理联动时，ASM的模块会增加一个桌面安全管理，如下图所示：图 5.10.7. 2 客户端检查页面可更换风格，系统默认风格为经典蓝，其他可切换风格为国旗红和安全绿；5.7.1 注册参数配置关于注册时需要进行的一些操作，您可以在注册参数中进行设置，设置界面如下图所示：图 5.10.8. 1新接入网络的设备注册有2种方式，分别为用户手动输入信息进行注册和系统自动进行注册。当选择用户手动输入信息进行注册时，可选择设备注册后是否需要审核以及设备基本信息、所在部门、使用者、电话号码、物理地址、接入原因和入网协议的必填、选择或者隐藏的功能设置。当电话号码选择为必填时，客户机注册时必须填写电话号码； 当选择系统自动进行注册时，新接入网络的设备无需填写注册信息；5.7.1 认证参数配置注册完成之后的客户机，必须要进行身份认证通过后才能安检，接入网络。那么安检时需要进行哪些操作呢？我们可以在认证参数配置中进行配置，界面如下图所示：图 5.10.9. 1认证方式的选择，您在这边选择某些认证方式，客户机在身份认证时就显示您所选的认证方式。如果你选择了身份认证成功后设备优先拥有用户认证角色的网络访问权限，那么在认证成功后，设备的网络访问权限是根据您认证的用户的权限来限制网络访问的。否则就会根据设备的角色来限制网络访问。如果您选择启用用户同一时刻只允许在一台设备上使用，那么您在一台设备上认证时使用的用户名和密码，如果在另外一台设备上也使用了此用户名和密码，那么前一台的认证将会被后一台挤下去，断开网络。5.7.1 用户名密码认证为了方便您进行用户名密码方式认证，我们为您提供了五种认证服务器，您可以根据自己的需求进行设定，界面如下图所示：图 5.10.10. 1如果您选择的是本地服务器，那么您在认证时输入的用户名和密码必须是存在于我们的系统里的。如果您选择的是其他两个服务器，那么您认证时输入的用户名和密码必须存在于这两个服务器里。第三方web服务器需要通过url配置，链接到第三方服务器配合认证。关于LDAP服务器配置和AD域的设置我们将在下面进行详细说明。5.7.1 UKey认证如果您需要使用UKey进行身份认证，那么您需要在这里进行配置，界面如下图所示：图 5.10.11. 1您可以根据自己的情况配置UKey认证的认证方式，多少时间会断网。当您选择的是根证书认证时，您必须导入您的根证书到我们的ASM系统。如果您选择的是其他的服务器，那么您可以根据自己配置的服务器在界面上进行配置。配置完拔掉UKey的最大时间，当您拔掉UKey后，超过限制的时间，您的设备将会断网。5.7.1 手机短信认证如果您需要使用短信进行认证，那么您需要在这里进行短信认证参数配置，您可以根据自己的需求配置短信发送的服务器，可以增加、删除或者编辑短信认证的原因。界面如下图所示：图 5.10.12. 1 当您配置好短信认证参数，您还需要去设备列表信息中查看您的设备信息中的联系电话是否填写正确。如果未填写，是不能成功使用手机进行认证的。5.7.1 Email认证在进行身份认证时，如果您使用的是Email认证，那这里的配置就至关重要了，您在这里配置好SMTP服务器地址和端口之后，只有使用这个服务器和端口的邮箱才能够通过身份认证。Email认证参数配置页面如下图所示：图 5.10.13. 15.7.1 LDAP服务器配置LDAP服务器是用户名和密码认证时使用的一个服务器，您可以自己建立一个LDAP服务器，然后把LDAP服务器的信息配置在我们的系统上，您就可以根据LDAP服务器上设置的用户名和密码进行身份认证了。配置界面如下图：图 5.10.14. 1在配置界面中，我们为您提供了一些简单的例子，您可以根据自己所配置的LDAP服务器，参照我们提供的例子在界面上进行配置。输入配置信息后，您可以点击“测试”按钮来查看您配置的信息是否正确。5.7.1 AD域认证参数设置AD域也是一个用户名和密码认证时使用服务器，配置界面如下图：图 5.10.15. 1将您预先配置的域服务器的IP地址和域名的信息输入，选择是否启用单点登录。当您的设备是登录在您所配置的域中时，如果您选择启用单点登录，设备认证时无需输入用户名和密码即可认证通过；如果您选择关闭单点登录，设备认证时就需要输入用户名和密码来进行认证。注：若开启了AD域单点登录，则设备认证检查时，会自动去AD域服务器上验证是否存在该AD域用户；若开启了AD域单点登录且启用同步域中的使用人到设备使用人时，设备检查后，设备使用人就是域的登录用户；若关闭单点登录，启用同步域中使用人到设备使用人，设备检查后，认证输入的域用户被同步到设备使用人。5.7.1 身份认证记录 系统为您提供了身份认证记录统计功能，当客户机进行身份认证后，在这里会显示设备的认证记录。包括设备认证的用户、认证角色、认证方式、认证时间、设备的名称、设备的IP以及认证原因。系统还为您提供了一些条件查询功能，您可以根据自己的需求在界面上输入查询条件，点击“查询”按钮进行查询。界面如图所示：图 5.10.16. 15.7.1 动态验证码获取记录当您使用手机短信认证后，在动态验证码获取记录页面会产生一条验证记录，可以记录客户机使用手机认证的手机号码和验证码，在使用有效期内您可以使用这个验证码进行再次认证；使用期限需要您手动设置过期时间间隔。界面如图所示：图 5.10.17. 15.8 配置入网规范在掌控了入网设备的身份后，您还需要配置符合您单位入网安全性的一系列规范。只有设备的身份和安全性同时在您的掌握和控制范围之内，才能确保您的网络是可控和符合安全性要求的。请选择“入网规范管理”模块，在界面的左部上方出现“规范制定”栏，如图所示：图 5.11. 1111....5.8.1 标准行业入网规范库ASM系统已经为您提供了各行业的入网规范标准，这是我们广泛参考大量行业案例制定出的推荐标准。您可以直接应用该标准规范以迅速获知您的网络在标准要求下的安全状况。如图所示图 5.11.1. 1点击“标准行业入网规范库”后出现如图所示界面：图 5.11.1. 2这里是我们的一个实例截图，您可以找到自身所属的行业，直接点击规范的名称即可查看行业入网规范的配置。5.8.2 自定义规范当然，您也可以根据自身的网络状况制定完全个性化的网络规范方案。如图所示图 5.11.2. 1点击“检查规范列表”后，出现如下界面：图 5.11.2. 2点击“新建规范”后，出现如下界面：图 5.11.2. 3我们提供了多种检查项供您选择。当您需要启用相应的检查项时，请先勾选对应的“启用”框。图 5.11.2. 4在检查项的旁边可以点击“配置”链接进入具体的参数页面。如果您勾选了“设为关键检查项”选项框，则此项检查未通过时设备将被即时隔离出网络。（关于设备安全检查的具体过程请参照新设备注册检查）请最后设置修复期限选项，如图所示：图 5.11.2. 5选择第一个单选框，可以设定非关键项未通过的修复时间，默认为7天。修复时间是为了提供给入网设备一个适应规范的缓冲期，设备可以在这段时间内正常访问网络以做出修复操作。当修复期限到期而设备依然未修复完成则将被隔离出网络。我们不建议您选择第二个单选框，这样将失去对不合规设备的控制。在“帮助说明”中再次声明了关键项未通过设备将直接被隔离出网络，不提供修复期。请确保只有对您网络造成重大威胁的检查项才设置为关键检查项。检查项参数说明：a) 杀毒软件检查图 5.11.2. 6我们提供了对目前市面上所有主流杀毒软件的支持，您可以选择您所要求安装的杀毒软件名称，杀毒软件版本号，病毒库版本号，及是否正在运行的多项检查参数；当您选择了多项杀毒软件时，设备只要符合您所列出的其中一种杀毒软件中所有的参数即可通过检查。当设备未能通过杀毒软件检查时，为了方便入网用户及时快捷地进行自动修复，我们在ASM上提供了相应的修复选项。 如果您的网络中有杀毒软件服务器或提供修复的地址，请填入相应的链接地址。（关于不对网络设备及服务器进行控制的操作，请参考可信设备管理）您也可以上传安装包或病毒库升级包，这样用户可以直接从检查页面上下载程序进行修复。（杀毒软件检查未通过后的自我修复具体请参考新设备注册检查）当设备的杀毒软件版本或者病毒库版本不符合时，为了方便入网用户及时快捷地进行自动修复，我们在该杀毒软件后面提供了相应的修复配置， b) IP/MAC绑定检查图 5.11.2. 7在检查项中添加或导入IP/MAC绑定列表，当您管理的计算机试图改变IP或者MAC时，系统就判断为此检查项不通过。c) 补丁检查图 5.11.2. 8我们的补丁系统已经为您定义好了“严重”、“重要”和“中等”三个级别的补丁，您可以选择相应必须安装的类型。为了适应您独特的网络环境，我们还提供了例外补丁配置。点击“添加”按钮后，您可以根据ASM中的补丁列表自定义您额外需要安装的补丁或额外不需要安装的补丁。5.8.3 高级属性我们为您提供了检查规范的高级属性：共享或者私有。如果您选择的是共享规范，那么其他操作员也可以对您建的规范进行查看和修改。如果您选择的是私有规范，那么其他操作员对您建的规范只有查看的权限。图 5.11.3. 15.9 配置网络联动控制当配置好以上各项后，您还需要配置网络联动控制才能真正实现准入控制。ASM系统支持与多种网络设备进行联动，完全以界面化的形式启用及配置各种接入认证。进入“网络联动控制”模块如下界面：图 5.12. 1您可以根据当前网络环境，任意选择一种认证技术进行配置。当您开启某一个准入技术时，我们的系统将会在页面上的技术导航栏里进行醒目的提示，如下图：图 5.12. 2注：透明网桥、策略路由和VG虚拟网关一次只能启用一个。5.9.1 EOU认证技术设置如果您的接入交换机是CISCO的35系列交换机，那么您可以在接入层就可以利用EOU认证技术进行非常细致安全的准入控制，可以充分利用CISCO交换机的特性来进行安全准入的操作。操作步骤：a) 基本参数设置图 5.12.1. 11、 配置重定向URL地址：http:/eth2口IP地址。2、 配置重定向的交换机ACL名称：AsmEouUrlAcl。3、 当您在开启EOU认证技术后又希望放开所有设备，则可“启用紧急模式”。4、 其余配置项使用默认配置即可。5、 点击“完成配置”。b) EOU全局参数设置图 5.12.1. 21、 配置主认证服务器地址：主ASM设备eth2口IP地址（若您有两台ASM设备，则配置备认证服务器地址：备ASM设备eth2口IP地址）。2、 配置隔离服务器：若您希望设备被隔离后仍然可以访问指定的服务器，则可以在“IP地址”处填写该服务器的IP地址，然后选择“添加”按钮。3、 同样，您也可以选中希望设备被隔离后不可以访问指定的服务器，然后选择“删除”按钮或者选择“清空”按钮，进行删除或清空。4、 点击“完成配置”。c) EOU交换机管理当您配置好EOU基本参数和全局参数后，才能开始配置EOU交换机管理。进入“EOU认证技术设置”栏，选择“EOU交换机管理”，如下界面所示：图 5.12.1. 31、 添加交换机：选择“添加交换机”按钮进入如下界面： 图 5.12.1. 42、 填写完各参数配置选择“完成配置”后出现如下界面：图 5.12.1. 53、 配置交换机：选中添加的交换机后选择“配置交换机”按钮进入如下界面：图 5.12.1. 64、 选中要在交换机上开启EOU认证技术的端口，然后选择“生效EOU配置”。（至此，EOU认证技术已配置完成。）5.9.2 PORTAL认证技术设置如果您的网络路由器支持PORTAL功能，例如H3C的MSR20系列或更高级别的路由器，那么您就可以使用该功能。操作步骤：a) 基本参数设置图 5.12.2. 11、 配置重定向URL地址：http:/eth2口IP地址。2、 配置认证服务器地址：ASM设备eth2口IP地址。3、 配置免认证服务器：若你希望将指定的设备不进行portal认证，则可以在“IP地址：”、“掩码”处填写该设备的IP地址和掩码（IP地址段可通过掩码来控制），然后选择“添加”按钮。4、 同样，您也可以选择“删除”或“清空”按钮，从列表中删除或清空免认证的设备。5、 点击“完成配置”。b) PORTAL路由器管理当您配置好PORTAL基本参数后，才能开始配置EOU交换机管理。进入“PORTAL认证技术设置”栏，选择“PORTAL路由器管理”，如下界面所示：图 5.12.2. 21、 添加路由器：选择“添加路由器”按钮进入如下界面：图 5.12.2. 32、 填写完各参数配置选择“完成配置”后出现如下界面：图 5.12.2. 43、 配置路由器：选中添加的路由器后选择“配置路由器”按钮进入如下界面：图 5.12.2. 54、 选择要在路由器上开启PORTAL认证技术的端口，然后选择“生效PORTAL配置”。（至此，PORTAL认证技术已配置完成。）5.9.3 透明网桥设置如果您只希望对部分的网络进行保护，比如您只希望对服务器群进行保护，那么您可以采用透明网桥的技术，将透明网桥部署在服务器群的前面，由透明网桥来保护您的服务器资源。采用透明网桥认证技术，必须确定已启用eth0和eth1网卡 ，请参照启用串联网络。操作步骤：a) 认证参数设置图 5.12.3. 11、 配置重定向URL地址：http:/eth2口IP地址。2、 当您在开启透明网桥认证技术后又希望放开所有设备，则可“启用紧急模式”。3、 设置安检过后是否返回到重定向前访问的界面或者重定向到指定的页面。4、 配置采用二次转向的IP地址。5、 点击“完成配置”。b) 例外设备管理图 5.12.3. 21、 配置隔离服务器：若您希望设备被隔离后仍然可以访问指定的服务器，则可以在“开始IP”、“结束IP”处填写该服务器的IP地址，然后选择“添加”按钮。同样，选择“删除”按钮进行删除。2、 配置不管理网段：若你希望将指定的设备不进行入网控制，则可以在“开始IP：”、“结束IP”处填写该设备的IP地址，然后选择“添加”按钮。同样，选择“删除”按钮进行删除。c) 例外域名设置图 5.12.3. 3设置例外域名后，设备被隔离后，仍然能访问例外的域名；d) NAT网络设置NAT技术不仅完美地解决了IP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。设置界面如下图：图 5.12.3. 45.9.4 策略路由设置如果您想要求某些路由必须经过特定的路径，那么就可以使用策略路由。策略路由联动控制使用的网卡是eth0和eth2，采用策略路由认证技术，必须确定已启用这三个网卡并且配置eth2口的IP地址。（网卡配置请参照启用旁路网络）操作步骤：a) 认证参数设置图 5.12.4. 11、 配置重定向URL地址：http:/eth2口IP地址。2、 配置下一跳IP地址：该地址为与ASM系统eth0口直连的网络联动设备的IP地址。3、 配置好下一跳IP地址后点击“获取下一跳MAC地址”按钮，若能网络正常则网络联动设备的MAC地址将显示于“下一条MAC地址”文本框中。4、 当您在开启策略路由认证技术后又希望放开所有设备，则可“启用紧急模式”。5、 配置采用二次转向的IP地址。6、 设置安检通过后是否返回指定的页面，如果选择启用，并设置页面路径。7、 设置安检过后是否返回到重定向前访问的界面。8、 点击“完成配置”。b) 例外设备管理图 5.12.4. 21、 配置隔离服务器：若您希望设备被隔离后仍然可以访问指定的服务器，则可以在“开始IP”、“结束IP”处填写该服务器的IP地址，然后选择“添加”按钮。同样，选择“删除”按钮进行删除。2、 配置不管理网段：若你希望将指定的设备不进行入网控制，则可以在“开始IP：”、“结束IP”处填写该设备的IP地址，然后选择“添加”按钮。同样，选择“删除”按钮进行删除。c) 例外域名设置图 5.12.4. 3设置例外域名后，设备被隔离后，仍然能访问例外的域名；d) NAT网络设置NAT技术不仅完美地解决了IP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。设置界面如下图：图 5.12.4. 45.9.5 MVG网关设置MVG网关配置界面如下：a) 基本参数设置：图5.12.8. 11、 当您在开启策略路由认证技术后又希望放开所有设备，则可“启用紧急模式”。2、 勾选日志等级；3、 配置重定向URL地址：http:/eth2口IP地址。4、 配置隔离服务器：若您希望设备被隔离后仍然可以访问指定的服务器，则可以在“开始IP”、“结束IP”处填写该服务器的IP地址，然后选择“添加”按钮。同样，选择“删除”按钮进行删除。5、 点击“完成配置”。b) MVG交换机管理：当您配置好MVG基本参数后，才能开始配置MVG交换机管理。进入“MVG虚拟网关设置”栏，选择“MVG交换机管理”，如下界面所示：图5.12.8. 2点击“添加交换机”，可以配置您需要管理的交换机，界面如下图所示：图5.12.8. 3输入您要管理的交换机的名称、IP地址等，点击“完成配置”成功添加交换机，添加完成后，交换机将显示在管理列表中如图 所示。点击交换机名称或者选择交换机点击配置交换机按钮，可以对交换机各个端口进行选择管理，界面如下图所示：图5.12.8. 4选择需要管理的端口，点击“保存配置”按钮，即可管理所选的端口。您可以点击管理mac列表来进行mac和端口的绑定，首先添加需要绑定的mac，如下图：图5.12.8. 5添加完成后，勾选是否绑定mac，如下图所示：图5.12.8. 6c) VLAN映射配置：配置完交换机管理后，您还需要对Vlan映射进行配置，保证接入设备认证前后属于不同权限的Vlan，从而达到接入控制的目的。图5.12.8. 7d) 例外域名设置图5.12.8. 8设置例外域名后，设备被隔离后，仍然能访问例外的域名；e) 管理端口列表图5.12.8. 9显示交换机管理的端口信息f) 隔离端口列表图5.12.8. 10显示隔离端口的信息5.10 配置双机热备部署ASM系统后可保证入网人员的可信性及入网设备的安全性，可减少网络因攻击性危险造成的安全隐患，但网络本身还是会因系统的硬件性危险、数据流失、网络单点故障而引起安全风险。借于此，ASM系统已为您提供了双机热备功能来保障数据完整性、网络无单点故障、硬件冗余性。启用双机热备功能步骤为“系统设置”模块“双机热备管理”选项，进入如下界面：图 5.13. 11、 配置检测IP地址列表：该地址通常配置成ASM系统eth2口的网关IP地址。2、 主机和备机配置：先配置主机的心跳IP地址和管理IP地址，再配置备机的心跳IP地址和管理IP地址。3、 配置本机热备心跳IP地址：配置成ASM系统eth1口的地址。4、 点击“保存配置”启用双机热备功能。6. 用户日常使用6.1 新设备注册检查1、 当您网络中有新设备接入并通过浏览器访问互联网时，会出现如下界面：图 6.1. 12、 根据您的身份选择员工或者来宾，下面先介绍员工，点击“我是员工”按钮，出现如下界面：图 6.1. 23、 勾选“我同意入网协议”进行入网登记，选择部门，输入使用者等信息，点击下一步如下界面：图 6.1. 34、选择认证方式之后输入认证信息后点击“确定”，就可以进入检查页面，如下图：图 6.1. 45、若您已经在首次配置时启用了“设备注册审核”，则点击“下一步”后出现提示信息：图 6.1. 5注：设置接入设备审核请参照设置接入设备审核。6、点击“确定”按钮，出现如下界面：图 6.1. 67、此时需要等待管理员批准审核（请参照审核接入设备。）8、当管理员批准审核后，进行步骤3和步骤4；9、当安全检查完成后，若新设备符合当前入网规范，则出现如下界面并可使用网络：图 6.1. 710、若新设备某些关键检查项不符合当前入网规范，则需要修复存在的问题后才能使用网络，如下界面：图 6.1. 8注：安全检查请参照配置入网规范。来宾账户的注册认证及检查：在打开检查页面时，选择“我是来宾”，如果您设置了不启用来宾认证，那么您的网络就不允许有来宾访问。当浏览器需要接入网络时界面如下：图 6.1. 9如果您设置了开启来宾认证，但不需要临时上网码