ASM盈高入网规范管理系统操作手册VWord格式.doc
《ASM盈高入网规范管理系统操作手册VWord格式.doc》由会员分享,可在线阅读,更多相关《ASM盈高入网规范管理系统操作手册VWord格式.doc(78页珍藏版)》请在冰点文库上搜索。
5.7.1 LDAP服务器配置 17
5.7.1 AD域认证参数设置 18
5.7.1 身份认证记录 19
5.7.1 动态验证码获取记录 19
5.8 配置入网规范 19
5.8.1 标准行业入网规范库 20
5.8.2 自定义规范 20
5.8.3 高级属性 24
5.9 配置网络联动控制 24
5.9.1 EOU认证技术设置 25
5.9.2 PORTAL认证技术设置 28
5.9.3 透明网桥设置 30
5.9.4 策略路由设置 33
5.9.5 MVG网关设置 36
5.10 配置双机热备 39
6. 用户日常使用 40
6.1 新设备注册检查 40
6.2 审核接入设备 45
6.3 设备管理 45
6.4.1. 添加可信设备 46
6.4.2. 取消可信设备 46
6.4.3. 设备安装软件信息 47
6.4 隔离设备 47
6.5 设备和用户绑定 48
6.6 立刻认证安检 51
6.7 信息导入 52
6.8 IP地址池 52
6.9 IP/MAC绑定 53
6.10.1. 添加IP/MAC绑定 53
6.10.2. 导入IP/MAC绑定 54
6.10 IP/MAC全局配置 55
6.11 查看系统数据及报表 56
6.12.1. 设备信息查询 56
6.12.2. 补丁管理查询 57
6.12.3. 统计报表查询 58
6.12.4. 未关机统计 62
6.12 上下网审计 63
6.13 级联管理 63
6.14 功能地图 65
6.15 报警中心 65
6.16 其他 66
6.17.1. 数据备份 66
6.17.2. 系统更新 67
6.17.3. 上传软件管理 68
6.17.4. 设备状态管理 68
6.17.5. 系统调试日志列表 69
6.17.6. Excel报表导出 69
6.17.7. 强制认证推送 70
6.17.8. 终端故障分析 71
6.17.9. 数据导入 71
6.17 过期设备清除记录 72
6.18 系统用户 72
7. 终端小助手功能 74
7.1 安检用户切换 74
7.2 修改认证用户密码 75
杭州盈高科技有限公司
1.说明
ASM基于最先进的第三代准入控制技术,无需改变您的网络,无需安装客户端,具有简便的操作性、高度智能化的修复方式及对于各种复杂网络的强适应性。
我们为您制订了一系列有效可靠的网络合规性要求,从而实现“违规不入网,入网必合规”的管理规范,充分满足《等保》对于网络边界及主机保护的要求
为了能帮助您迅速部署ASM并体验ASM的强大功能,请参照本手册进行相关操作。
祝您使用愉快!
2.ASM设备外观图解
eth1:
管理端口(HA心跳口),具有固定地址191.191.191.191
eth0:
非可信接口port,串联模式使用,接内部受控网络
图2.1
eth2:
旁路接口Out-of-bandport,旁路模式使用,使用时需要您分配一个IP地址
eth3:
可信接口trustedport,串联模式使用,接外部不受控网络
Console口
3.登录方式
我们提供web登录的方式对ASM平台进行相关的配置。
l如果您是与eth1口直连,那么请在浏览器地址栏中输入http:
//191.191.191.191/admin。
l如果ASM设备采用旁路方式接入您的网络,请预先为eth2口分配一个网络中可以使用的IP地址(配置方法参考启用旁路模式),确保您能ping通eth2口,在浏览器地址栏中输入http:
//eth2口IP地址/admin。
登录界面如下所示:
图3.1
ASM设备初始登录用户名:
admin,密码:
888888。
4.操作界面说明
4.1首页
初次登录,首页界面如图所示:
图4.1.1
ASM的模块,包括“注册与认证”、“入网规范管理”,“统计报表”、“报警中心”、“网络联动控制”、“内网边界管理”、“网络审计疏导”、“系统设置”共8个模块。
如图所示:
图4.1.2
版本信息是您购买的ASM设备的型号及各项版本号。
图4.1.3
请确保所显示的型号与供货合同相符。
我们对引擎、行业库及补丁库会及时做出更新,敬请随时关注我们的网站,以便使用我们为您提供的最新服务。
4.2模块界面
当您点击任何一个模块后,会进入类似图4.2.1所示的模块界面:
图4.2.1
点击各个“选项”后可以进行更为详细的设置。
5.用户首次配置
如果您是第一次登录ASM系统(登录方式请参考登录方式),为了方便今后的工作,我们建议您先进行一些初始化配置。
5.1启用旁路模式
如果ASM是采用串联方式接入您的网络,请跳过此步骤,直接进入启用串联网络。
当ASM采用旁路方式接入您的网络时,必须为执行接入的eth2口分配一个网络中可用的IP地址。
操作步骤为“系统设置”模块→“网络参数设置”选项,进入如下界面:
图5.1.1
1、勾选ETH2的启用框;
2、为ETH2配置一个您网络中可用的IP地址、子网掩码、网关。
3、点击“完成配置”。
在ASM系统已经通过eth2口接入您网络的情况下,远程pingeth2口的IP地址。
如果无法ping通,请联系我们的技术工程师。
5.2启用串联模式
如果ASM系统是采用旁路方式接入您的网络,请跳过此步骤,进入系统基本设置。
请将ASM的eth0口与您需要进行准入控制的内部网络相连,将eth3口与您的外部网络相连。
具体连接方式可能需要依据您的网络拓扑而定,您可以预先咨询我们的技术工程师。
图5.2.1
1、勾选ETH0、ETH1的启用框。
2、点击“完成配置”。
注:
关于串联接入的具体参数设置,请参透明网桥设置。
5.3系统基本设置
为了让ASM更好地融入您的网络,请先将您的用户信息写入ASM的界面中。
在您下次登录时,将看到采用您单位相关信息的界面。
操作步骤为“系统设置”模块→“系统基本设置”选项,进入如下界面:
图5.3.1
5.4邮件提醒
我们为您提供了当新设备入网时自动发送邮件进行提醒的功能。
当然,如果您不需要邮件提醒,也可以跳过此步骤,不会影响设备的其他功能。
操作步骤为“系统设置”模块→“邮件提醒设置”选项,进入如下界面:
图5.5.1
l请输入您的邮件服务器地址,您的登录账户及登录密码。
邮件将从这个邮箱发出。
请填入ASM系统的管理地址(如您配置好的ETH2口地址)及web登录的端口号(默认为80端口),收到邮件的管理员可以在邮件中直接点击这个链接访问到我们的ASM系统。
l请填入邮件中所显示的收件人地址(可以与您的登录账户名不同)。
请点击Email框输入需要接收提醒邮件的收件人地址;
图5.5.2
再点击“添加”按钮将地址添加到收件人列表中。
删除收件人:
您可以选中收件人列表中的某个地址,再点击“删除”按钮
清空收件人:
您可以直接点击“清空”按钮删除所有已存在的收件人。
5.5短信提醒设置
当有设备等待接入审核或者IP/MAC变动或者空间不足时,我们可以设置发送短信提醒管理员。
操作步骤为“系统设置”模块→“短信提醒设置”选项,进入如下界面:
图5.6.1
配置好短信引擎地址,管理员手机号码,以及需要发送短信的情形,点击保存配置后,当有发生需要发送短信的状况时,管理员就会收到提醒短信。
5.6部门管理
根据您单位目前管理的部门,ASM上也需要设置相应的部门规划。
这样在入网设备注册时(入网设备注册的详细过程请参考新设备注册检查)可以就选择归属的部门,方便您及时准确地对设备进行定位和管理。
请确保您已经填写好了您的单位名称(关于公司或单位名称的填写请参考系统基本设置),此时单位名称会显示在所有部门的最顶层。
操作步骤为“注册与认证”模块→“部门管理”选项,如图所示:
图5.8.1
您只需点击“添加部门”按钮进行新部门编辑即可。
图5.8.2
请输入新部门名称。
ASM支持多部门多级管理,当您第一次添加部门时,上级部门为公司名称;
当有多个部门时,您可以在“上级部门”一栏选择其中一个作为新部门的直接上级。
保存后,部门列表将显示在界面的右方。
图5.8.3
通过点击相应的操作名称,您可以对已有的部门进行排序、编辑和删除的操作
5.7注册与认证
在设备接入网络之前,如果您是第一次接入网络,就需要先进行注册,然后进行身份认证。
只有身份认证通过的设备才能进一步的对设备进行安全检查,确保您的设备是规范入网的。
请选择“注册与认证”模块,在界面的左边会出现注册与认证部分的导航栏“认证管理”与“身份认证参数设置”,
5.7.1安全域配置
在配置用户角色之前可以先配置好安全域,以便在角色配置时可以准确地分配检查通过和不通过时分别可以访问的域。
配置安全域的界面如图所示:
图5.10.1.1
5.7.1认证角色管理
用户角色是对用户身份的一种归类。
例如归类于来宾角色的用户,系统将不对其进行安检。
您可以自己新建一个特有的角色,新建界面如图所示:
图5.10.2.1
如上图所示,您可以根据自己的需求,设置角色是否需要安检,安检周期,安检时引用的规范以及安检后可以访问的域。
如果您启用了检查时安装入网小助手,那么我们会在您进行安检时安装入网小助手,并且根据您输入的名字进行命名。
安装入网小助手之后,每次开机时,小助手会自动为您进行安全检查。
为了达到更准确的检查结果,您可以配置小助手的二次检查,选择检查时间间隔。
当第一次安检完成后,等待您配置的间隔时间小助手即进行第二次安检。
如果您不想打扰到被管理人员的正常工作,我们小助手为您提供了免打扰模式。
在小助手配置中,您可以开启免打扰模式,开启后,客户机的小助手不会出现任何提示和对话框。
如果您在卸载小助手的时候想让设备信息同时被删除,您可以启用“卸载小助手是否删除该设备信息”,那样当您手动卸载小助手后,您的设备信息也会被删除。
5.7.1用户管理
用户是对使用设备身份的管理方式。
您可以建立用户,使其归类于某个角色,当身份认证通过后,就可以进行安检,然后入网。
用户管理界面如下图所示:
图5.10.3.1
点击“添加用户”按钮,进入新建用户界面,如下图所示:
图5.10.3.2
输入认证用户名、密码、确认密码,并根据需求选择用户的角色、类型和部门后,保存用户即可。
用户还可以和设备进行绑定,如果该用户绑定了一台设备,则该用户就只能在绑定的这台设备上进行认证,不能在其他设备上进行认证;
您可以勾选需要绑定的用户,点击“绑定设备”按钮,选择绑定设备方式,确定即可。
我们为您提供了两种绑定方式:
绑定到用户最后认证的设备和绑定到指定设备。
如果您选择了绑定到最后认证的设备,系统自动为您绑定到您最后认证的设备;
如果您选择了绑定到指定设备,那么您可以选择您想绑定的设备。
当您配置完成后,用户管理界面的是否启用绑定设备和绑定的设备会显示您所设置绑定的设备。
界面如图所示:
图5.10.3.3
如果您希望被绑定的用户可以在所有的设备上进行认证,那么您可以勾选该用户,通过点击“取消绑定设备”按钮取消该用户的绑定即可。
5.7.1来宾认证参数
如果您有来宾需要接入网络,那么您可以设置您的来宾在入网时是否需要验证身份,是否需要临时上网码。
认证参数的设置如下图所示:
图5.10.4.1
当您启用来宾认证时,来宾用户入网前必须要先经过认证,认证通过后的安检设置将根据来宾角色配置进行安全检查。
如果您选择需要临时上网码,那么您的来宾入网认证时就需要向他所访问的人申请一个临时上网码以便入网。
临时上网码可以使用小助手申请,也可以通过检查页面来申请。
使用小助手申请上网码:
在已经安装小助手的客户机上右击小助手à
选择“申请来宾上网码”à
系统分配临时上网码;
界面如下图所示:
图5.10.4.2
您也可以使用检查页面获取上网码:
员工角色的客户机检查完成后,在结果界面上点击“申请来宾上网码”,如下图所示:
图5.10.4.3
获取到的临时上网码将在来宾用户认证接入网络时使用。
5.7.1全局参数设置
对于身份认证,您可以选择不认证,如果您选择认证的话,我们的系统为您提供了四种认证方式:
用户名密码认证、UKey身份认证、短信认证、Email认证。
我们在全局参数设置中为您提供一系列关于认证和安检的全局参数,您可以根据自己的需求进行设置。
全局认证参数设置如下图所示:
图5.10.7.1
您可以根据不同的情况设置各个选项;
如果您开启了无控件快速认证时,当新设备接入网络时不需要安装控件并且也不需要注册,只要输入正确的用户名和密码就能进行安检。
该功能只在MVG、DHCP、策略路由以及透明网桥这几种准入技术下才有效;
如果您开启了允许通过手机进行身份认证,当手机通过无线接入您的网络时可以开启安
检界面,通过认证接入网络;
如果您设置检查后显示安检得分,那么在安检完成后检查结果页面会显示安全得分;
如果您设置检查后启动自动修复,那么安检完成后如果有检查项不通过则会根据管理员的配置进行自动修复;
如果您设置客户端检查页面风格,则打开安检页面后,页面会显示设置的风格;
如果您设置了认证前提示用户选择身份类型,当您打开安检页面需要先选择身份类型才会进入身份认证页面;
如果您设置为不提示,当您打开安检页面不需要选择身份类型直接跳转到身份认证页面;
如果您设置用户身份选择显示为图片,则您打开安检页面显示的为默认的我是来宾和我是员工按钮;
如果您设置显示文字,则可以在弹出的输入框中设置我是员工和我是来宾替换为您想要显示的文字,不能超过6个字;
如果您设置管理后台访问方式为安全模式,则您打开管理平台必须是以https的形式打开页面;
如果您设置管理后台访问方式普通模式,则您打开管理平台页面可以为普通的http模式打开;
如果您选择控件安装方式为自动在线安装,则当客户机安装了.net时首次接入网络是不需要自己手动下载控件安装的;
如果您选择手动下载安装,则您首次接入网络
如果您设置为安检前需要进行身份认证,并且设置需要认证的IP段,当您打开安检页面进行安检时,客户机IP在需要认证的IP范围内则需要进行用户身份验证;
如果您设置为安检前不需要进行身份认证,那么您进行安检时进入身份认证页面不需要手动去输入信息我们系统默认给您通过;
如果您开启了桌面安全管理系统联动,那么我们在进行安全检查之前会先检查是否安装
了桌面安全管理软件,如果没有安装的话,我们会根据您配置的地址去访问安装桌面安全管理软件。
关于自动修复功能,我们提供了一些不需要用户交互的检查项的自动修复。
当您开启桌面安全管理联动时,ASM的模块会增加一个桌面安全管理,如下图所示:
图5.10.7.2
客户端检查页面可更换风格,系统默认风格为经典蓝,其他可切换风格为国旗红和安全绿;
5.7.1注册参数配置
关于注册时需要进行的一些操作,您可以在注册参数中进行设置,设置界面如下图所示:
图5.10.8.1
新接入网络的设备注册有2种方式,分别为用户手动输入信息进行注册和系统自动进行注册。
当选择用户手动输入信息进行注册时,可选择设备注册后是否需要审核以及设备基本信息、所在部门、使用者、电话号码、物理地址、接入原因和入网协议的必填、选择或者隐藏的功能设置。
当电话号码选择为必填时,客户机注册时必须填写电话号码;
当选择系统自动进行注册时,新接入网络的设备无需填写注册信息;
5.7.1认证参数配置
注册完成之后的客户机,必须要进行身份认证通过后才能安检,接入网络。
那么安检时需要进行哪些操作呢?
我们可以在认证参数配置中进行配置,界面如下图所示:
图5.10.9.1
认证方式的选择,您在这边选择某些认证方式,客户机在身份认证时就显示您所选的认证方式。
如果你选择了身份认证成功后设备优先拥有用户认证角色的网络访问权限,那么在认证成功后,设备的网络访问权限是根据您认证的用户的权限来限制网络访问的。
否则就会根据设备的角色来限制网络访问。
如果您选择启用用户同一时刻只允许在一台设备上使用,那么您在一台设备上认证时使用的用户名和密码,如果在另外一台设备上也使用了此用户名和密码,那么前一台的认证将会被后一台挤下去,断开网络。
5.7.1用户名密码认证
为了方便您进行用户名密码方式认证,我们为您提供了五种认证服务器,您可以根据自己的需求进行设定,界面如下图所示:
图5.10.10.1
如果您选择的是本地服务器,那么您在认证时输入的用户名和密码必须是存在于我们的系统里的。
如果您选择的是其他两个服务器,那么您认证时输入的用户名和密码必须存在于这两个服务器里。
第三方web服务器需要通过url配置,链接到第三方服务器配合认证。
关于LDAP服务器配置和AD域的设置我们将在下面进行详细说明。
5.7.1UKey认证
如果您需要使用UKey进行身份认证,那么您需要在这里进行配置,界面如下图所示:
图5.10.11.1
您可以根据自己的情况配置UKey认证的认证方式,多少时间会断网。
当您选择的是根证书认证时,您必须导入您的根证书到我们的ASM系统。
如果您选择的是其他的服务器,那么您可以根据自己配置的服务器在界面上进行配置。
配置完拔掉UKey的最大时间,当您拔掉UKey后,超过限制的时间,您的设备将会断网。
5.7.1手机短信认证
如果您需要使用短信进行认证,那么您需要在这里进行短信认证参数配置,您可以根据自己的需求配置短信发送的服务器,可以增加、删除或者编辑短信认证的原因。
图5.10.12.1
当您配置好短信认证参数,您还需要去设备列表信息中查看您的设备信息中的联系电话是否填写正确。
如果未填写,是不能成功使用手机进行认证的。
5.7.1Email认证
在进行身份认证时,如果您使用的是Email认证,那这里的配置就至关重要了,您在这里配置好SMTP服务器地址和端口之后,只有使用这个服务器和端口的邮箱才能够通过身份认证。
Email认证参数配置页面如下图所示:
图5.10.13.1
5.7.1LDAP服务器配置
LDAP服务器是用户名和密码认证时使用的一个服务器,您可以自己建立一个LDAP服务器,然后把LDAP服务器的信息配置在我们的系统上,您就可以根据LDAP服务器上设置的用户名和密码进行身份认证了。
配置界面如下图:
图5.10.14.1
在配置界面中,我们为您提供了一些简单的例子,您可以根据自己所配置的LDAP服务器,参照我们提供的例子在界面上进行配置。
输入配置信息后,您可以点击“测试”按钮来查看您配置的信息是否正确。
5.7.1AD域认证参数设置
AD域也是一个用户名和密码认证时使用服务器,配置界面如下图:
图5.10.15.1
将您预先配置的域服务器的IP地址和域名的信息输入,选择是否启用单点登录。
当您的设备是登录在您所配置的域中时,如果您选择启用单点登录,设备认证时无需输入用户名和密码即可认证通过;
如果您选择关闭单点登录,设备认证时就需要输入用户名和密码来进行认证。
若开启了AD域单点登录,则设备认证检查时,会自动去AD域服务器上验证是否存在该AD域用户;
若开启了AD域单点登录且启用同步域中的使用人到设备使用人时,设备检查后,设备使用人就是域的登录用户;
若关闭单点登录,启用同步域中使用人到设备使用人,设备检查后,认证输入的域用户被同步到设备使用人。
5.7.1身份认证记录
系统为您提供了身份认证记录统计功能,当客户机进行身份认证后,在这里会显示设备的认证记录。
包括设备认证的用户、认证角色、认证方式、认证时间、设备的名称、设备的IP以及认证原因。
系统还为您提供了一些条件查询功能,您可以根据自己的需求在界面上输入查询条件,点击“查询”按钮进行查询。
图5.10.16.1
5.7.1动态验证码获取记录
当您使用手机短信认证后,在动态验证码获取记录页面会产生一条验证记录,可以记录客户机使用手机认证的手机号码和验证码,在使用有效期内您可以使用这个验证码进行再次认证;
使用期限需要您手动设置过期时间间隔。
界面如图5.10.17.1所示:
图5.10.17.1
5.8配置入网规范
在掌控了入网设备的身份后,您还需要配置符合您单位入网安全性的一系列规范。
只有设备的身份和安全性同时在您的掌握和控制范围之内,才能确保您的网络是可控和符合安全性要求的。
请选择“入网规范管理”模块,在界面的左部上方出现“规范制定”栏,如图所示:
图5.11.1
1
9.1.
10.1.
11.1.
12.1.
13.1.
14.1.
15.1.
16.1.
5.8.1标准行业入网规范库
ASM系统已经为您提供了各行业的入网规范标准,这是我们广泛参考大量行业案例制定出的推荐标准。
您可以直接应用该标准规范以迅速获知您的网络在标准要求下的安全状况。
如图所示
图5.11.1.1
点击“标准行业入网规范库”后出现如图所示界面:
图5.11.1.2
这里是我们的一个实例截图,您可以找到自身所属的行业,直接点击规范的名称即可查看行业入网规范的配置。
5.8.2自定义规范
当然,您也可以根据自身的网络状况制定完全个性化的网络规范方案。
图5.11.2.1
点击“检查规范列表”后,出现如下界面:
图5.11.2.2
点击“新建规范”后,出现如下界面:
升级会员 