ASM盈高入网规范管理系统操作手册V精编

1、ASM盈高入网规范管理系统 INFOGO Access S tandard M anagement System 明，版权均属盈高科技所有，并受到有关产权及版权法保护。任何个人、机构未经盈高科技的书面授权许 可，不得以任何方式复制或引用本文的任何片断。 商标： 盈高、 INFOGO 是盈高科技的注册商标，未经允许，不得引用。 目录 1. 说明 2. ASM设备外观图解 3. 登录方式 4. 操作界面说明 - 4.1 首页 4.2 模块界面 5. 用户首次配置 - 5.1 启用旁路模式 5.2 启用串联模式 5.3 系统基本设置 错误！未定义书签 5.4 邮件提醒 5.5 短信提醒设置 5.6

2、部门管理 5.7 注册与认证 5.7.1 安全域配置 - 5.7.1 认证角色管理 - 5.7.1 用户管理 - 5.7.1 来宾认证参数 - 14 5.7.1 全局参数设置 - 5.7.1 注册参数配置 - 5.7.1 认证参数配置 - 5.7.1 用户名密码认证 - 5.7.1 UKey认证 5.7.1 手机短信认证 - 5.7.1 Email 认证 5.7.1 LDAP服务器配置 5.7.1 AD域认证参数设置 5.7.1 身份认证记录 - 5.7.1 动态验证码获取记录 - 5.8 配置入网规范 5.8.1 标准行业入网规范库 - 5.8.2 自定义规范 - 5.8.3 高级属性 -

3、5.9 配置网络联动控制 5.9.1 EOU认证技术设置 5.9.2 PORTAL认证技术设置 5.9.3 透明网桥设置 - 5.9.4 策略路由设置 - 5.9.5 MVG网关设置 5.10 配置双机热备 6. 用户日常使用 - 6.1 新设备注册检查 6.2 审核接入设备 6.3 设备管理 添加可信设备 - 取消可信设备 - 设备安装软件信息 - 6.4 隔离设备 6.5 设备和用户绑定 6.6 立刻认证安检 6.7 信息导入 6.8 IP 地址池 - 3 6.9 IP/MAC绑定 - 添加 IP/MAC绑定- 导入 IP/MAC绑定- 错误！未指定书签。 6.10 IP/MAC全局配置

4、- 6.11 查看系统数据及报表 设备信息查询 - 补丁管理查询 - 统计报表查询 - 未关机统计 - 6.12 上下网审计 6.13 级联管理 6.14 功能地图 6.15 报警中心 6.16 其他 数据备份 - 系统更新 - 上传软件管理 - 设备状态管理 - 系统调试日志列表 - 3 Excel 报表导出 强制认证推送 - 终端故障分析 - - 错误！未定义书签。 数据导入 - 6.17 过期设备清除记录 6.18 系统用户 7. 终端小助手功能 - 7.1 安检用户切换 7.2 修改认证用户密码 1. 说明 ASM基于最先进的第三代准入控制技术，无需改变您的网络，无需安装客户 端，具有

5、简便的操作性、 高度智能化的修复方式及对于各种复杂网络的强适应性。 我们为您制订了一系列有效可靠的网络合规性要求， 从而实现 “违规不入网， 入 网必合规”的管理规范，充分满足等保对于网络边界及主机保护的要求 为了能帮助您迅速部署 ASM并体验 ASM的强大功能，请参照本手册进行相关 操作。祝您使用愉快！ 2. ASM设备外观图解 eth1: 管理端口 （HA心跳口） ，具有固定地址 eth0: 非可信接口 port ，串联模式使用，接内部受控网络 图 2.1 eth2: 旁路接口 Out-of-band port ，旁路模式使用，使用时需要您分配一个 IP 地址 eth3: 可信接口 tru

6、sted port ，串联模式使用，接外部不受控网络 Console 口 3. 登录方式 我们提供 web 登录的方式对 ASM平台进行相关的配置。 如果您是与 eth1 口直连，那么请在浏览器地址栏中输入 。 如果 ASM设备采用旁路方式接入您的网络，请预先为eth2 口分配一个网络中可以使用 的 IP 地址（配置方法参考 启用旁路模式 ），确保您能 ping 通 eth2 口，在浏览器地址栏中输 入口 IP 地址 /admin 。 登录界面如下所示： 图 3.1 ASM设备初始登录用户名： admin ，密码： 888888 。 4. 操作界面说明 4.1 首页 初次登录，首页界面如图所示

7、： 图 4.1. 1 ASM的模块 ，包括“注册与认证”、“入网规范管理”，“统计报表”、“报警中 心”、“网络联动控制”、“内网边界管理” 、“网络审计疏导” 、“系统设置”共 8 个模块。如图所示： 图 4.1. 2 版本信息是您购买的 ASM设备的型号及各项版本号。如图所示： 图 4.1. 3 请确保所显示的型号与供货合同相符。 我们对引擎、 行业库及补丁库会及时 做出更新，敬请随时关注我们的网站，以便使用我们为您提供的最新服务。 4.2 模块界面 当您点击任何一个模块后，会进入类似图 4.2.1 所示的模块界面： 图 4.2. 1 点击各个“ 选项” 后可以进行更为详细的设置。 5.

8、用户首次配置 如果您是第一次登录 ASM系统（登录方式请参考 登录方式 ），为了方便今后 的工作，我们建议您先进行一些初始化配置。 5.1 启用旁路模式 如果 ASM是采用串联方式接入您的网络， 请跳过此步骤， 直接进入启用串联 网络。 当 ASM采用旁路方式接入您的网络时，必须为执行接入的 eth2 口分配一个 网络中可用的 IP 地址。 操作步骤为“系统设置”模块 “网络参数设置”选项，进入如下界面： 图 5.1. 1 1、勾选 ETH2的启用框； 2、为 ETH2配置一个您网络中可用的 IP 地址、子网掩码、网关。 3、点击“完成配置” 。 在 ASM系统已经通过 eth2 口接入您网络

9、的情况下，远程 ping eth2 口的 IP 地址。如果无法 ping 通，请联系我们的技术工程师。 5.2 启用串联模式 如果 ASM系统是采用旁路方式接入您的网络， 请跳过此步骤， 进入系统基本 设置。 请将 ASM的 eth0 口与您需要进行准入控制的内部网络相连，将 eth3 口与 您的外部网络相连。 具体连接方式可能需要依据您的网络拓扑而定， 您可以预先 咨询我们的技术工程师。 操作步骤为“系统设置”模块 “网络参数设置”选项，进入如下界面： 图 5.2. 1 1、 勾选 ETH0、 ETH1 的启用框。 2、 点击“完成配置” 。 注：关于串联接入的具体参数设置，请参 透明网桥设

10、置。 5.3 系统基本设置 为了让 ASM更好地融入您的网络，请先将您的用户信息写入 ASM的界面中 在您下次登录时，将看到采用您单位相关信息的界面。 操作步骤为 “系统设置”模块 “系统基本设置”选项，进入如下界面： 图 5.3. 1 5.4 邮件提醒 我们为您提供了当新设备入网时自动发送邮件进行提醒的功能。 当然，如果 您不需要邮件提醒，也可以跳过此步骤，不会影响设备的其他功能。 操作步骤为 “系统设置”模块 “邮件提醒设置”选项，进入如下界面： 图 5.5. 1 请输入您的邮件服务器地址， 您的登录账户及登录密码。 邮件将从这个邮箱发出。 请填 入 ASM系统的管理地址（如您配置好的 E

11、TH2口地址）及 web 登录的端口号（默认为 80 端口），收到邮件的管理员可以在邮件中直接点击这个链接访问到我们的ASM系统。 请填入邮件中所显示的收件人地址（可以与您的登录账户名不同） 。 请点击 Email 框输入需要接收提醒邮件的收件人地址； 图 5.5. 2 再点击“添加”按钮将地址添加到收件人列表中。 删除收件人：您可以选中收件人列表中的某个地址，再点击“删除”按钮 清空收件人：您可以直接点击“清空”按钮删除所有已存在的收件人。 5.5 短信提醒设置 当有设备等待接入审核或者 IP/MAC 变动或者空间不足时，我们可以设置发 送短信提醒管理员。操作步骤为“系统设置”模块 “短信提

12、醒设置”选项， 进入如下界面： 图 5.6. 1 配置好短信引擎地址，管理员手机号码，以及需要发送短信的情形，点击保 存配置后，当有发生需要发送短信的状况时，管理员就会收到提醒短信。 5.6 部门管理 根据您单位目前管理的部门， ASM上也需要设置相应的部门规划。这样在入 网设备注册时 （入网设备注册的详细过程请参考 新设备注册检查 ）可以就选择归 属的部门，方便您及时准确地对设备进行定位和管理。 请确保您已经填写好了您的单位名称 （关于公司或单位名称的填写请参考 系 统基本设置 ），此时单位名称会显示在所有部门的最顶层。操作步骤为“注册与 认证”模块 “部门管理”选项，如图所示： 图 5.8

13、. 1 您只需点击“添加部门”按钮进行新部门编辑即可。如图所示： 图 5.8. 2 请输入新部门名称。 ASM支持多部门多级管理，当您第一次添加部门时，上级部门为公司名称； 当有多个部门时， 您可以在“上级部门” 一栏选择其中一个作为新部门的直接上 级。 保存后，部门列表将显示在界面的右方。如图所示： 图 5.8. 3 通过点击相应的操作名称， 您可以对已有的部门进行排序、 编辑和删除的操 作 5.7 注册与认证 在设备接入网络之前，如果您是第一次接入网络，就需要先进行注册，然后 进行身份认证。 只有身份认证通过的设备才能进一步的对设备进行安全检查， 确 保您的设备是规范入网的。 请选择“注册

14、与认证”模块，在界面的左边会出现注册与认证部分的导航栏 “认证管理”与“身份认证参数设置” ， 5.7.1 安全域配置 在配置用户角色之前可以先配置好安全域， 以便在角色配置时可以准确地分 配检查通过和不通过时分别可以访问的域。配置安全域的界面如图所示： 图 5.10.1. 5.7.1 认证角色管理 用户角色是对用户身份的一种归类。 例如归类于来宾角色的用户， 系统将不 对其进行安检。您可以自己新建一个特有的角色，新建界面如图所示： 图 5.10.2. 如上图所示，您可以根据自己的需求，设置角色是否需要安检，安检周 期，安检时引用的规范以及安检后可以访问的域。如果您启用了检查时安装 入网小助手

15、，那么我们会在您进行安检时安装入网小助手，并且根据您输入 的名字进行命名。安装入网小助手之后，每次开机时，小助手会自动为您进 行安全检查。 为了达到更准确的检查结果，您可以配置小助手的二次检查，选择检查 时间间隔。当第一次安检完成后，等待您配置的间隔时间小助手即进行第二 次安检。 如果您不想打扰到被管理人员的正常工作，我们小助手为您提供了免打 扰模式。在小助手配置中，您可以开启免打扰模式，开启后，客户机的小助 手不会出现任何提示和对话框。 如果您在卸载小助手的时候想让设备信息同时被删除，您可以启用“卸 载小助手是否删除该设备信息” ，那样当您手动卸载小助手后，您的设备信 息也会被删除。 5.7

16、.1 用户管理 用户是对使用设备身份的管理方式。 您可以建立用户， 使其归类于某个角色， 当身份认证通过后，就可以进行安检，然后入网。用户管理界面如下图所示： 图 5.10.3. 点击“添加用户”按钮，进入新建用户界面，如下图所示： 图 5.10.3. 输入认证用户名、密码、确认密码，并根据需求选择用户的角色、类型和部 门后，保存用户即可。 用户还可以和设备进行绑定， 如果该用户绑定了一台设备， 则该用户就只能 在绑定的这台设备上进行认证，不能在其他设备上进行认证； 您可以勾选需要绑定的用户，点击“绑定设备”按钮，选择绑定设备方式， 确定即可。 我们为您提供了两种绑定方式： 绑定到用户最后认证

17、的设备和绑定到 指定设备。 如果您选择了绑定到最后认证的设备， 系统自动为您绑定到您最后认 证的设备； 如果您选择了绑定到指定设备， 那么您可以选择您想绑定的设备。 当 您配置完成后，用户管理界面的是否启用绑定设备和绑定的设备会显示您所设置 绑定的设备。界面如图所示： 图 5.10.3. 如果您希望被绑定的用户可以在所有的设备上进行认证， 那么您可以勾选该 用户，通过点击“取消绑定设备”按钮取消该用户的绑定即可。 5.7.1 来宾认证参数 如果您有来宾需要接入网络， 那么您可以设置您的来宾在入网时是否需要验 证身份，是否需要临时上网码。认证参数的设置如下图所示： 图 5.10.4. 当您启用来

18、宾认证时， 来宾用户入网前必须要先经过认证， 认证通过后的安 检设置将根据 来宾角色配置 进行安全检查。 如果您选择需要临时上网码， 那么您的来宾入网认证时就需要向他所访问的 人申请一个临时上网码以便入网。 临时上网码可以使用小助手申请， 也可以通过 检查页面来申请。 使用小助手申请上网码：在已经安装小助手的客户机上右击小助手 选择 “申请来宾上网码” 系统分配临时上网码；界面如下图所示： 图 5.10.4. 您也可以使用检查页面获取上网码： 员工角色的客户机检查完成后， 在结果 界面上点击“申请来宾上网码” ，如下图所示： 图 5.10.4. 获取到的临时上网码将在来宾用户认证接入网络时使用

19、。 5.7.1 全局参数设置 对于身份认证， 您可以选择不认证， 如果您选择认证的话， 我们的系统为您 提供了四种认证方式： 用户名密码认证、 UKey身份认证、 短信认证、Email 认证。 我们在全局参数设置中为您提供一系列关于认证和安检的全局参数， 您可以根据 自己的需求进行设置。 全局认证参数设置如下图所示： 图 5.10.7. 您可以根据不同的情况设置各个选项； 如果您开启了无控件快速认证时， 当新设备接入网络时不需要安装控件并且 也不需要注册，只要输入正确的用户名和密码就能进行安检。该功能只在MVG、 DHCP、策略路由以及透明网桥这几种准入技术下才有效； 如果您开启了允许通过手机

20、进行身份认证， 当手机通过无线接入您的网络时 可以开启安 检界面，通过认证接入网络； 如果您设置检查后显示安检得分， 那么在安检完成后检查结果页面会显示安 全得分； 如果您设置检查后启动自动修复， 那么安检完成后如果有检查项不通过则会 根据管理员的配置进行自动修复； 如果您设置客户端检查页面风格，则打开安检页面后，页面会显示设置的风 格； 如果您设置了认证前提示用户选择身份类型， 当您打开安检页面需要先选择 身份类型才会进入身份认证页面； 如果您设置为不提示， 当您打开安检页面不需 要选择身份类型直接跳转到身份认证页面； 如果您设置用户身份选择显示为图片， 则您打开安检页面显示的为默认的我 是

21、来宾和我是员工按钮； 如果您设置显示文字， 则可以在弹出的输入框中设置我 是员工和我是来宾替换为您想要显示的文字，不能超过 6 个字； 如果您设置管理后台访问方式为安全模式，则您打开管理平台必须是以 https 的形式打开页面；如果您设置管理后台访问方式普通模式，则您打开管理 平台页面可以为普通的 http 模式打开； 如果您选择控件安装方式为自动在线安装， 则当客户机安装了 .net 时首次接 入网络是不需要自己手动下载控件安装的； 如果您选择手动下载安装， 则您首次 接入网络 如果您设置为安检前需要进行身份认证，并且设置需要认证的 IP 段，当您 打开安检页面进行安检时， 客户机 IP 在

22、需要认证的 IP 范围内则需要进行用户身 份验证；如果您设置为安检前不需要进行身份认证， 那么您进行安检时进入身份 认证页面不需要手动去输入信息我们系统默认给您通过； 如果您开启了桌面安全管理系统联动， 那么我们在进行安全检查之前会先检 查是否安装 了桌面安全管理软件， 如果没有安装的话， 我们会根据您配置的地址去访问安装 桌面安全管理软件。 关于自动修复功能，我们提供了一些不需要用户交互的检查项的自动修复。 当您开启桌面安全管理联动时， ASM的模块会增加一个桌面安全管理，如下 图所示： 图 5.10.7. 客户端检查页面可更换风格， 系统默认风格为经典蓝， 其他可切换风格为国旗 红和安全绿

23、； 5.7.1 注册参数配置 关于注册时需要进行的一些操作，您可以在注册参数中进行设置，设置界面 如下图所示： 图 5.10.8. 新接入网络的设备注册有 2 种方式，分别为用户手动输入信息进行注册 和系统自动进行注册。 当选择用户手动输入信息进行注册时， 可选择设备注册后是否需要审核 以及设备基本信息、所在部门、使用者、电话号码、物理地址、接入原因和 入网协议的必填、 选择或者隐藏的功能设置。 当电话号码选择为必填时， 客 户机注册时必须填写电话号码； 当选择系统自动进行注册时，新接入网络的设备无需填写注册信息； 5.7.1 认证参数配置 注册完成之后的客户机，必须要进行身份认证通过后才能安

24、检，接入网络。 那么安检时需要进行哪些操作呢？我们可以在认证参数配置中进行配置， 界面如 下图所示： 图 5.10.9. 认证方式的选择，您在这边选择某些认证方式，客户机在身份认证时就显示 您所选的认证方式。 如果你选择了身份认证成功后设备优先拥有用户认证角色的网络访问权限， 那么在认证成功后， 设备的网络访问权限是根据您认证的用户的权限来限制网络 访问的。否则就会根据设备的角色来限制网络访问。 如果您选择启用用户同一时刻只允许在一台设备上使用， 那么您在一台设备 上认证时使用的用户名和密码，如果在另外一台设备上也使用了此用户名和密 码，那么前一台的认证将会被后一台挤下去，断开网络。 5.7.

25、1 用户名密码认证 为了方便您进行用户名密码方式认证， 我们为您提供了五种认证服务器， 您 可以根据自己的需求进行设定，界面如下图所示： 图. 如果您选择的是本地服务器， 那么您在认证时输入的用户名和密码必须是存 在于我们的系统里的。 如果您选择的是其他两个服务器， 那么您认证时输入的用 户名和密码必须存在于这两个服务器里。第三方 web服务器需要通过 url 配置， 链接到第三方服务器配合认证。 关于 LDAP服务器配置 和 AD域的设置 我们将在下 面进行详细说明。 5.7.1 UKey认证 如果您需要使用 UKey 进行身份认证，那么您需要在这里进行配置，界面如 下图所示： 图. 您可以

26、根据自己的情况配置 UKey认证的认证方式，多少时间会断网。当您 选择的是根证书认证时， 您必须导入您的根证书到我们的 ASM系统。如果您选择 的是其他的服务器， 那么您可以根据自己配置的服务器在界面上进行配置。 配置 完拔掉 UKey的最大时间， 当您拔掉 UKey后，超过限制的时间， 您的设备将会断 网。 5.7.1 手机短信认证 如果您需要使用短信进行认证，那么您需要在这里进行短信认证参数配置， 您可以根据自己的需求配置短信发送的服务器， 可以增加、删除或者编辑短信认 证的原因。界面如下图所示： 图. 当您配置好短信认证参数， 您还需要去设备列表信息中查看您的设备信息中 的联系电话是否填

27、写正确。如果未填写，是不能成功使用手机进行认证的。 5.7.1 Email 认证 在进行身份认证时， 如果您使用的是 Email 认证，那这里的配置就至关重要 了，您在这里配置好 SMTP服务器地址和端口之后，只有使用这个服务器和端口 的邮箱才能够通过身份认证。 Email 认证参数配置页面如下图所示： 图. 5.7.1 LDAP服务器配置 LDAP服务器是用户名和密码认证时使用的一个服务器，您可以自己建立一 个 LDAP服务器，然后把 LDAP服务器的信息配置在我们的系统上， 您就可以根据 LDAP服务器上设置的用户名和密码进行身份认证了。配置界面如下图： 图. 在配置界面中，我们为您提供了

28、一些简单的例子，您可以根据自己所配置的 LDAP服务器，参照我们提供的例子在界面上进行配置。输入配置信息后，您可 以点击“测试”按钮来查看您配置的信息是否正确。 5.7.1 AD域认证参数设置 AD域也是一个用户名和密码认证时使用服务器，配置界面如下图： 图. 将您预先配置的域服务器的 IP 地址和域名的信息输入，选择是否启用单点 登录。当您的设备是登录在您所配置的域中时， 如果您选择启用单点登录， 设备 认证时无需输入用户名和密码即可认证通过； 如果您选择关闭单点登录， 设备认 证时就需要输入用户名和密码来进行认证。 注：若开启了 AD域单点登录， 则设备认证检查时， 会自动去 AD域服务器

29、上 验证是否存在该 AD域用户； 若开启了 AD域单点登录且启用同步域中的使用人到设备使用人时，设备检 查后，设备使用人就是域的登录用户； 若关闭单点登录， 启用同步域中使用人到 设备使用人，设备检查后，认证输入的域用户被同步到设备使用人。 5.7.1 身份认证记录 系统为您提供了身份认证记录统计功能，当客户机进行身份认证后，在这 里会显示设备的认证记录。包括设备认证的用户、认证角色、认证方式、认证时 间、设备的名称、设备的 IP 以及认证原因。系统还为您提供了一些条件查询功 能，您可以根据自己的需求在界面上输入查询条件， 点击“查询”按钮进行查询。 界面如图所示： 图. 5.7.1 动态验证

30、码获取记录 当您使用手机短信认证后，在动态验证码获取记录页面会产生一条验证记 录，可以记录客户机使用手机认证的手机号码和验证码， 在使用有效期内您可以 使用这个验证码进行再次认证； 使用期限需要您手动设置过期时间间隔。 界面如 图 .1 所示： 图. 5.8 配置入网规范 在掌控了入网设备的身份后， 您还需要配置符合您单位入网安全性的一系列 规范。只有设备的身份和安全性同时在您的掌握和控制范围之内， 才能确保您的 网络是可控和符合安全性要求的。 请选择“入网规范管理”模块，在界面的左部上方出现“规范制定”栏，如 图所示： 图 5.11. 1 5.8.1 标准行业入网规范库 ASM系统已经为您提

31、供了各行业的入网规范标准， 这是我们广泛参考大量行 业案例制定出的推荐标准。 您可以直接应用该标准规范以迅速获知您的网络在标准要求下的安全状况。 如图所示 图 5.11.1. 点击“标准行业入网规范库”后出现如图所示界面： 图 5.11.1. 这里是我们的一个实例截图， 您可以找到自身所属的行业， 直接点击规范的 名称即可查看行业入网规范的配置。 5.8.2 自定义规范 当然，您也可以根据自身的网络状况制定完全个性化的网络规范方案。 如图 所示 图 5.11.2. 点击“检查规范列表”后，出现如下界面： 图 5.11.2. 点击“新建规范”后，出现如下界面： 图 5.11.2. 我们提供了多种

32、检查项供您选择。 当您需要启用相应的检查项时，请先勾选对应的“启用”框。 图 5.11.2. 在检查项的旁边可以点击“配置”链接进入具体的参数页面。 如果您勾选了 “设为关键检查项” 选项框，则此项检查未通过时设备将被即 时隔离出网络。（关于设备安全检查的具体过程请参照 新设备注册检查 ） 请最后设置修复期限选项，如图所示： 图 5.11.2. 选择第一个单选框，可以设定非关键项未通过的修复时间，默认为 7 天。 修复时间是为了提供给入网设备一个适应规范的缓冲期， 设备可以在这段时 间内正常访问网络以做出修复操作。 当修复期限到期而设备依然未修复完成则将 被隔离出网络。 我们不建议您选择第二个

33、单选框，这样将失去对不合规设备的控制。 在“帮助说明” 中再次声明了关键项未通过设备将直接被隔离出网络， 不提 供修复期。请确保只有对您网络造成重大威胁的检查项才设置为关键检查项。 检查项参数说明： a）杀毒软件检查 图 5.11.2. 我们提供了对目前市面上所有主流杀毒软件的支持， 您可以选择您所要求安 装的杀毒软件名称， 杀毒软件版本号， 病毒库版本号， 及是否正在运行的多项检 查参数； 当您选择了多项杀毒软件时， 设备只要符合您所列出的其中一种杀毒软件中 所有的参数即可通过检查。 当设备未能通过杀毒软件检查时， 为了方便入网用户及时快捷地进行自动修 复，我们在 ASM上提供了相应的修复选

34、项。 如果您的网络中有杀毒软件服务器或提供修复的地址， 请填入相应的链接地 址。（关于不对网络设备及服务器进行控制的操作，请参考 可信设备管理 ） 您也可以上传安装包或病毒库升级包， 这样用户可以直接从检查页面上下载 程序进行修复。（杀毒软件检查未通过后的自我修复具体请参考 新设备注册检查 ） 当设备的杀毒软件版本或者病毒库版本不符合时， 为了方便入网用户及时快 捷地进行自动修复，我们在该杀毒软件后面提供了相应的修复配置， b）IP/MAC绑定检查 图 5.11.2. 在检查项中添加或导入 IP/MAC 绑定列表，当您管理的计算机试图改变 IP 或者 MAC时，系统就判断为此检查项不通过。 c

35、）补丁检查 图 5.11.2. 我们的补丁系统已经为您定义好了“严重” 、“重要”和“中等”三个级别的 补丁，您可以选择相应必须安装的类型。 为了适应您独特的网络环境，我们还提供了例外补丁配置。点击“添加”按 钮后，您可以根据 ASM中的补丁列表自定义您额外需要安装的补丁或额外不需要 安装的补丁。 5.8.3 高级属性 我们为您提供了检查规范的高级属性：共享或者私有。如果您选择的是共享 规范，那么其他操作员也可以对您建的规范进行查看和修改。 如果您选择的是私 有规范，那么其他操作员对您建的规范只有查看的权限。 图 5.11.3. 5.9 配置网络联动控制 当配置好以上各项后，您还需要配置网络联

36、动控制才能真正实现准入控制。 ASM系统支持与多种网络设备进行联动， 完全以界面化的形式启用及配置各种接 入认证。 进入“网络联动控制”模块如下界面： 图 5.12. 1 您可以根据当前网络环境，任意选择一种认证技术进行配置。 当您开启某一个准入技术时， 我们的系统将会在页面上的技术导航栏里进行 醒目的提示，如下图： 图 5.12. 2 注：透明网桥、策略路由和 VG虚拟网关一次只能启用一个。 5.9.1 EOU认证技术设置 如果您的接入交换机是 CISCO的 35 系列交换机，那么您可以在接入层就可 以利用 EOU认证技术进行非常细致安全的准入控制， 可以充分利用 CISCO交换机 的特性来

37、进行安全准入的操作。 操作步骤： a) 基本参数设置 图 5.12.1. 1、eth2 口 IP 地址。 2、配置重定向的交换机 ACL 名称： AsmEouUrlAcl 。 3、当您在开启 EOU认证技术后又希望放开所有设备，则可“启用紧急模式”。 4、其余配置项使用默认配置即可。 5、点击“完成配置” 。 b) EOU全局参数设置 图 5.12.1. 1、配置主认证服务器地址：主 ASM设备 eth2 口 IP 地址(若您有两台 ASM设备，则配置备 认证服务器地址：备 ASM设备 eth2 口 IP 地址)。 2、配置隔离服务器：若您希望设备被隔离后仍然可以访问指定的服务器，则可以在“I

38、P 地址”处填写该服务器的 IP 地址，然后选择“添加”按钮。 3、同样，您也可以选中希望设备被隔离后不可以访问指定的服务器，然后选择“删除”按 钮或者选择“清空”按钮，进行删除或清空。 4、点击“完成配置” c）EOU交换机管理 当您配置好 EOU基本参数和全局参数后， 才能开始配置 EOU交换机管理。 进 入“ EOU认证技术设置”栏，选择“ EOU交换机管理”，如下界面所示： 图 5.12.1. 1、添加交换机：选择“添加交换机”按钮进入如下界面： 图 5.12.1. 2、填写完各参数配置选择“完成配置”后出现如下界面： 图 5.12.1. 3、配置交换机：选中添加的交换机后选择“配置交

39、换机”按钮进入如下界面： 图 5.12.1. 4、选中要在交换机上开启 EOU认证技术的端口，然后选择“生效EOU配置”。（至此， EOU 认证技术已配置完成。 ） 5.9.2 PORTAL认证技术设置 如果您的网络路由器支持 PORTAL功能，例如 H3C的 MSR20系列或更高级别 的路由器，那么您就可以使用该功能。 操作步骤： a）基本参数设置 图 5.12.2. 1、eth2 口 IP 地址。 2、配置认证服务器地址： ASM设备 eth2 口 IP 地址。 3、配置免认证服务器： 若你希望将指定的设备不进行 portal 认证，则可以在“IP 地址：”、 “掩码”处填写该设备的 IP

40、 地址和掩码（ IP 地址段可通过掩码来控制） ，然后选择“添 加”按钮。 4、同样，您也可以选择“删除”或“清空”按钮，从列表中删除或清空免认证的设备。 5、点击“完成配置” 。 b）PORTAL路由器管理 当您配置好 PORTA基L 本参数后，才能开始配置 EOU交换机管理。进入“ PORTAL 认证技术设置”栏，选择“ PORTAL路由器管理”，如下界面所示： 图 5.12.2. 1、添加路由器：选择“添加路由器”按钮进入如下界面： 图 5.12.2. 2、填写完各参数配置选择“完成配置”后出现如下界面： 图 5.12.2. 3、配置路由器：选中添加的路由器后选择“配置路由器”按钮进入如

41、下界面： 图 5.12.2. 4、选择要在路由器上开启 PORTAL认证技术的端口， 然后选择 “生效 PORTAL配置”。(至此， PORTAL认证技术已配置完成。 ) 5.9.3 透明网桥设置 如果您只希望对部分的网络进行保护，比如您只希望对服务器群进行保护， 那么您可以采用透明网桥的技术， 将透明网桥部署在服务器群的前面， 由透明网 桥来保护您的服务器资源。 采用透明网桥认证技术，必须确定已启用 eth0 和 eth1 网卡 ，请参照 启用 串联网络。 操作步骤： a) 认证参数设置 图 5.12.3. 1、eth2 口 IP 地址。 2、当您在开启透明网桥认证技术后又希望放开所有设备，

42、则可“启用紧急模式”。 3、设置安检过后是否返回到重定向前访问的界面或者重定向到指定的页面。 4、配置采用二次转向的 IP 地址。 5、点击“完成配置” 。 b) 例外设备管理 图 5.12.3. 1、配置隔离服务器：若您希望设备被隔离后仍然可以访问指定的服务器，则可以在“开始 IP ”、“结束 IP”处填写该服务器的 IP 地址，然后选择“添加”按钮。同样，选择“删 除”按钮进行删除。 2、配置不管理网段：若你希望将指定的设备不进行入网控制，则可以在“开始IP ：”、“结 束 IP ”处填写该设备的 IP 地址，然后选择“添加”按钮。同样，选择“删除”按钮进 行删除。 c) 例外域名设置 图

43、 5.12.3. 设置例外域名后，设备被隔离后，仍然能访问例外的域名； d) NAT网络设置 NAT技术不仅完美地解决了 IP 地址不足的问题， 而且还能够有效地避免来自 网络外部的攻击，隐藏并保护网络内部的计算机。设置界面如下图： 图 5.12.3. 5.9.4 策略路由设置 如果您想要求某些路由必须经过特定的路径，那么就可以使用策略路由。 策略路由联动控制使用的网卡是 eth0 和 eth2 ，采用策略路由认证技术，必 须确定已启用这三个网卡并且配置 eth2 口的 IP 地址。(网卡配置请参照 启用旁 路网络) 操作步骤： a) 认证参数设置 图 5.12.4. 1、eth2 口 IP

44、地址。 2、配置下一跳 IP 地址： 该地址为与 ASM系统 eth0 口直连的网络联动设备的 IP 地址。 3、配置好下一跳 IP 地址后点击“获取下一跳 MAC地址”按钮，若能网络正常则网络 联动设备的 MAC地址将显示于“下一条 MAC地址”文本框中。 4、当您在开启策略路由认证技术后又希望放开所有设备，则可“启用紧急模式”。 5、配置采用二次转向的 IP 地址。 6、设置安检通过后是否返回指定的页面，如果选择启用，并设置页面路径。 7、设置安检过后是否返回到重定向前访问的界面。 8、 点击“完成配置”。 b) 例外设备管理 图 5.12.4. 1、配置隔离服务器： 若您希望设备被隔离后

45、仍然可以访问指定的服务器， 则可以在“开 始 IP ”、“结束 IP ”处填写该服务器的 IP 地址，然后选择“添加”按钮。同样，选 择“删除”按钮进行删除。 2、配置不管理网段：若你希望将指定的设备不进行入网控制，则可以在“开始IP ：”、 “结束 IP ”处填写该设备的 IP 地址，然后选择“添加”按钮。同样，选择“删除” 按钮进行删除 。 c) 例外域名设置 图 5.12.4. 设置例外域名后，设备被隔离后，仍然能访问例外的域名； d) NAT网络设置 NAT技术不仅完美地解决了 IP 地址不足的问题，而且还能够有效地避免来 自网络外部的攻击，隐藏并保护网络内部的计算机。设置界面如下图：

46、 图 5.12.4. 5.9.5 MVG网关设置 MVG网关配置界面如下： a) 基本参数设置： 1、当您在开启策略路由认证技术后又希望放开所有设备，则可“启用紧急模式”。 2、勾选日志等级； 3、eth2 口 IP 地址。 4、配置隔离服务器： 若您希望设备被隔离后仍然可以访问指定的服务器，则可以在“开 始 IP ”、“结束 IP ”处填写该服务器的 IP 地址，然后选择“添加”按钮。同样，选 择“删除”按钮进行删除。 5、点击“完成配置” b) MVG 交换机管理： 当您配置好 MVG基本参数后，才能开始配置 MVG交换机管理。进入“ MVG虚 拟网关设置”栏，选择“ MVG交换机管理”，

47、如下界面所示： 点击“添加交换机”，可以配置您需要管理的交换机，界面如下图所示： 输入您要管理的交换机的名称、 IP 地址等，点击“完成配置”成功添加交 换机，添加完成后，交换机将显示在管理列表中如图 所示。 点击交换机名称或者选择交换机点击配置交换机按钮， 可以对交换机各个端口进 行选择管理，界面如下图所示： 选择需要管理的端口，点击“保存配置”按钮，即可管理所选的端口。 您可以点击管理 mac列表来进行 mac和端口的绑定，首先添加需要绑定的 mac， 如下图： 添加完成后，勾选是否绑定 mac，如下图所示： c) VLAN 映射配置： 配置完交换机管理后，您还需要对 V

48、lan 映射进行配置，保证接入设备认证前后 属于不同权限的 Vlan ，从而达到接入控制的目的。 d) 例外域名设置 设置例外域名后，设备被隔离后，仍然能访问例外的域名； e) 管理端口列表 显示交换机管理的端口信息 f) 隔离端口列表 显示隔离端口的信息 5.10 配置双机热备 部署 ASM系统后可保证入网人员的可信性及入网设备的安全性， 可减少网络 因攻击性危险造成的安全隐患， 但网络本身还是会因系统的硬件性危险、 数据流 失、网络单点故障而引起安全风险。借于此， ASM系统已为您提供了双机热备功 能来保障数据完整性、网络无单点故障、硬件冗余性。 启用双机热备功能步骤为“系统设置”模块“双

49、机热备管理”选项，进入 如下界面： 图 5.13. 1 1、配置检测 IP 地址列表：该地址通常配置成 ASM系统 eth2 口的网关 IP 地址。 2、主机和备机配置： 先配置主机的心跳 IP 地址和管理 IP 地址， 再配置备机的心跳 IP 地址和管理 IP 地址。 3、配置本机热备心跳 IP 地址：配置成 ASM系统 eth1 口的地址。 4、点击“保存配置”启用双机热备功能。 6. 用户日常使用 6.1 新设备注册检查 1、当您网络中有新设备接入并通过浏览器访问互联网时，会出现如下界面： 图 6.1. 1 2、 根据您的身份选择员工或者来宾，下面先介绍员工，点击“我是员工” 按钮，出现

50、如下界面： 图 6.1. 2 3、勾选“我同意入网协议”进行入网登记，选择部门，输入使用者等信息，点击下一步如 下界面： 图 6.1. 3 4、选择认证方式之后输入认证信息后点击“确定” ，就可以进入检查页面，如下 图： 图 6.1. 4 5、若您已经在首次配置时启用了“设备注册审核” ，则点击“下一步”后出现提 示信息： 图 6.1. 5 注：设置接入设备审核请参照 设置接入设备审核。 6、点击“确定”按钮，出现如下界面： 图 6.1. 6 7、此时需要等待管理员批准审核（请参照 审核接入设备。 ） 8、当管理员批准审核后，进行步骤 3 和步骤 4； 9、当安全检查完成后，若新设备符合当前入

51、网规范，则出现如下界面并可使用网络： 图 6.1. 7 10、若新设备某些关键检查项不符合当前入网规范， 则需要修复存在的问题后才 能使用网络，如下界面： 图 6.1. 8 注：安全检查请参照 配置入网规范。 来宾账户的注册认证及检查： 在打开检查页面时，选择“我是来宾” ，如果您设置了不启用来宾认证，那 么您的网络就不允许有来宾访问。当浏览器需要接入网络时界面如下： 图 6.1. 9 如果您设置了开启来宾认证， 但不需要临时上网码时， 点击“我是来宾” 后， 出现的界面如下图所示： 图 6.1. 10 如果您设置开启来宾认证，并且需要临时上网码时，点击“我是来宾”后， 出现的界面如下图所示：

52、 图 6.1. 11 此时您需要临时上网码， 临时上网码的方法申请参见 来宾认证参数设置中临 时上网码的申请 。 6.2 审核接入设备 若您已经在首次配置时启用了“注册后需要进行审核” ，则有新设备接入网 络时需要管理员批准审核后才能接入网络（请参照 设置接入设备审核 ）。您也可 以启用“邮件提醒”功能，让你及时了解设备接入情况（请参照邮件提醒 ）。 操作步骤为“内网边界管理”模块“设备注册审核” 选项，进入如下界面： 图 6.2. 1 1、选中待审核的设备，然后选择“批准审核”按钮，出现如下提示： 图 6.2. 2 根据接入设备的实际情况，您可以限制接入设备使用网络的时间： 当您选择“审核通

53、过后允许永久使用网络”后，点击“批准审核”按钮，此时通过审核 的设备若管理员对其无其他操作的话将永久使用网络。 当您选择“审核通过后超过截止日期将限制使用网络”并为其设置截止日期，点击“批 准审核”按钮，此时通过审核的设备将在截止日期后不能使用网络需重新接入注册，如 下图： 图 6.2. 3 6.3 设备管理 若您希望对指定设备不进行安全检查， 则可将该设备添加为可信设备。 同样， 也可以在可信设备列表中取消设备的可信。 6.4.1. 添加可信设备 操作步骤为“内网边界管理”模块“设备列表信息” 选项，进入如下界面： 图 6.4.1. 关于设备列表信息， 我们为您提供了两种视图的展示， 一种是

54、如上图所示的 列表视图，另一种是平铺视图，界面如下： 图 6.4.1. 1、在“设备名称”列勾选要设为可信的设备。 2、选择“设为可信”按钮。 3、点击“确定”按钮执行添加可信设备。 6.4.2. 取消可信设备 如果您想取消可信设备，您可以通过点击“内网边界管理”模块“可信设 备管理”选项，进入如下界面： 图 6.4.2. 1、在“设备名称”列勾选要取消可信的设备。 2、选择“可信设置” “取消可信”按钮。 3、点击“确定”按钮执行取消可信设备。 6.4.3. 设备安装软件信息 当您需要查看设备安装了哪些软件的时候，我们为您提供了这个功能。只要 您点击进入设备列表信息， 然后点击设备详细信息，

55、 选择设备安装软件信息选项 卡即可查看，如下图： 图 6.4.3. 注：为了不影响服务器认证性能， 软件上报会在小助手启动后 1 到 4个小时内上 报。 6.4 隔离设备 当您发现在网络设备列表中存在不明设备或者违规设备时， 您可以将该设备 进行隔离，让其不能使用网络，以便您更严格、更方便的管理网络，保证网络随 时处于安全状态。 操作步骤为“内网边界管理” 模块“设备列表信息” 选项，进入如下界面： 图 6.5. 1 1、在“设备名称”列勾选要隔离的设备。 2、选择“隔离设置” “隔离设备”按钮，出现如下界面： 图 6.5. 2 当您选择“永久隔离”方式，被隔离的设备将从此刻起永久不能使用网络

56、。 当您选择“指定隔离截止日期”方式，被隔离的设备到了截止日期后将自动恢复使用网 络，如下图： 图 6.5. 3 3、点击“立刻隔离” 按钮执行设备隔离， 此时被隔离的设备桌面右下角的 “入网助手” 出现如下提示： （此提示只在安装了入网助手且正常运行时出现） 图 6.5. 4 若您想要将已隔离的设备重新恢复其使用网络， 则只需将该设备设为可信设备即可。 （请 参照 可信设备管理 ） 6.5 设备和用户绑定 为了更加严谨的管理员工使用设备上网，我们提供了设备和用户绑定的 功能，设备可以绑定某个用户，那么除了这个用户之外的其他用户就不能在 此设备上认证。用户可以绑定某个设备，那么此用户除了能在该

57、设备上认证 之外其他设备上是不能认证的。 设备绑定用户的步骤为：“内网边界管理” 模块“设备列表信息” 选项， 进入如下界面： 图 6.6. 1 选择一台设备，点击“绑定用户设置” “绑定用户”按钮，进入如下 界面： 图 6.6. 2 选择您要绑定到设备的用户，点击确定即可。设备列表中设备的信息显 示如下图： 图 6.6. 3 如果你的设备绑定了一个用户， 而您却使用另外一个用户认证， 那么 ASM 会提示您，如下图： 图 6.6. 4 用户绑定设备的步骤为： “注册与认证”模块“用户管理”选项，进入 如下界面： 图 6.6. 5 选择一个用户，点击“绑定设备”按钮，进入如下界面： 图 6.6

58、. 6 选择一个设备绑定到用户，点击“确定”按钮即可，用户列表信息中信 息显示如下： 图 6.6. 7 如果您的用户绑定了一个设备，却到另一个设备上进行认证，ASM将会 提示如下图： 图 6.6. 8 6.6 立刻认证安检 当您发现网络中存在长时间未进行安检或未通过安检的设备， 您可以执行立 刻认证安检功能让其自动进行安检。 操作步骤为“内网边界管理”模块“设备列表信息” 选项，进入如下界面： 图 6.7. 1 1、 在“设备名称”列勾选要强制安检的设备。 2、选择“立刻认证安检”按钮，出现如下界面： 图 6.7. 2 3、点击“确定”按钮对设备执行强制安检，如下图： 图 6.7. 3 此时，

59、在网络中被强制安检的设备桌面右下角的“入网小助手”出现如下提示，同时自 动弹出网页进行安全检查： （此提示只在安装了入网助手且正常运行时出现） 图 6.7. 4 6.7 信息导入 为了方便您更快速的录入需要管理的信息，我们为您提供信息导入的功能， 可以导入设备和用户两种信息。点击“注册与认证” “信息导入”，进入如下 界面： 图 6.8. 1 第一步请选择您需要导入的信息。当您选择导入的是用户信息时，进入如下 界面： 图 6.8. 2 您可以根据自己的需求选择需要导入的列， 如果您不知道导入的文件内容是 什么格式的， 您可以下载我们为您提供的模板文件。 具体的一些注意点参见页面 下方的帮助说明

60、。 您可以在设备列表和用户列表中查看您导入的信息是否正确。 6.8 IP 地址池 客户机安检过后， IP 地址将会显示在系统的 IP 地址池中。如下图： 图 6.9. 1 6.9 IP/MAC 绑定 ASM系统支持通过简单有效的方式，对 IP/MAC 进行有效的绑定，让您方便 管理 IP 资源。 操作步骤为“内网边界管理”模块“ IP/MAC绑定”选项，进入如下界面： 图 6.10. 1 6.10.1. 添加 IP/MAC 绑定 1、 您可以通过点击 “IP/MAC 绑定设置 添加 IP/MAC 绑定”按钮，进行 IP/MAC绑定的添加， 进入如下界面： 图 6.10.1. 2、填写完相关信息