ASM盈高入网规范管理系统操作手册13328.pdf

《ASM盈高入网规范管理系统操作手册13328.pdf》由会员分享，可在线阅读，更多相关《ASM盈高入网规范管理系统操作手册13328.pdf（78页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 ASM 盈高入网规范管理系统 INFOGO Access Standard Management System 操作手册 Version 版权 声明：本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属盈高科技所有，并受到有关产权及版权法保护。任何个人、机构未经盈高科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。商标：盈高、INFOGO 是盈高科技的注册商标，未经允许，不得引用。目 录 1.说明-错误!未定义书签。2.ASM 设备外观图解-错误!未定义书签。3.登录方式-错误!未定义书签。4.操作界面说明-错误!未定义书签。首页-错误!未定义

2、书签。模块界面-错误!未定义书签。5.用户首次配置-错误!未定义书签。启用旁路模式-错误!未定义书签。启用串联模式-错误!未定义书签。系统基本设置-错误!未定义书签。邮件提醒-错误!未定义书签。短信提醒设置-错误!未定义书签。部门管理-错误!未定义书签。注册与认证-错误!未定义书签。安全域配置-错误!未定义书签。认证角色管理-错误!未定义书签。用户管理-错误!未定义书签。来宾认证参数-错误!未定义书签。全局参数设置-错误!未定义书签。注册参数配置-错误!未定义书签。认证参数配置-错误!未定义书签。用户名密码认证-错误!未定义书签。UKey 认证-错误!未定义书签。手机短信认证-错误!未定义书签

3、。Email 认证-错误!未定义书签。LDAP 服务器配置-错误!未定义书签。AD 域认证参数设置-错误!未定义书签。身份认证记录-错误!未定义书签。动态验证码获取记录-错误!未定义书签。配置入网规范-错误!未定义书签。标准行业入网规范库-错误!未定义书签。自定义规范-错误!未定义书签。高级属性-错误!未定义书签。配置网络联动控制-错误!未定义书签。EOU 认证技术设置-错误!未定义书签。PORTAL 认证技术设置-错误!未定义书签。透明网桥设置-错误!未定义书签。策略路由设置-错误!未定义书签。MVG 网关设置-错误!未定义书签。配置双机热备-错误!未定义书签。6.用户日常使用-错误!未定义

4、书签。新设备注册检查-错误!未定义书签。审核接入设备-错误!未定义书签。设备管理-错误!未定义书签。添加可信设备-错误!未定义书签。取消可信设备-错误!未定义书签。设备安装软件信息-错误!未定义书签。隔离设备-错误!未定义书签。设备和用户绑定-错误!未定义书签。立刻认证安检-错误!未定义书签。信息导入-错误!未定义书签。IP 地址池-错误!未定义书签。IP/MAC 绑定-错误!未定义书签。添加 IP/MAC 绑定-错误!未定义书签。导入 IP/MAC 绑定-错误!未定义书签。IP/MAC 全局配置-错误!未定义书签。查看系统数据及报表-错误!未定义书签。设备信息查询-错误!未定义书签。补丁管理

5、查询-错误!未定义书签。统计报表查询-错误!未定义书签。未关机统计-错误!未定义书签。上下网审计-错误!未定义书签。级联管理-错误!未定义书签。功能地图-错误!未定义书签。报警中心-错误!未定义书签。其他-错误!未定义书签。数据备份-错误!未定义书签。系统更新-错误!未定义书签。上传软件管理-错误!未定义书签。设备状态管理-错误!未定义书签。系统调试日志列表-错误!未定义书签。Excel 报表导出-错误!未定义书签。强制认证推送-错误!未定义书签。终端故障分析-错误!未定义书签。数据导入-错误!未定义书签。过期设备清除记录-错误!未定义书签。系统用户-错误!未定义书签。7.终端小助手功能-错误

6、!未定义书签。安检用户切换-错误!未定义书签。修改认证用户密码-错误!未定义书签。1.说明 ASM 基于最先进的第三代准入控制技术，无需改变您的网络，无需安装客户端，具有简便的操作性、高度智能化的修复方式及对于各种复杂网络的强适应性。我们为您制订了一系列有效可靠的网络合规性要求，从而实现“违规不入网，入网必合规”的管理规范，充分满足等保对于网络边界及主机保护的要求 为了能帮助您迅速部署 ASM 并体验 ASM 的强大功能，请参照本手册进行相关操作。祝您使用愉快！2.ASM 设备外观图解 eth1:管理端口(HA 心跳口)，具有固定地址 非可信接口 port，串联模式使用，接内部受控网络 图 2

7、.1 eth2:旁路接口 Out-of-band port，旁路模式使用，使用时需要您分配一个 IP 地址 eth3:可信接口 trusted port，串联模式使用，接外部不受控网络 Console 口 3.登录方式 我们提供 web 登录的方式对 ASM 平台进行相关的配置。如果您是与 eth1 口直连，那么请在浏览器地址栏中输入。如果 ASM 设备采用旁路方式接入您的网络，请预先为 eth2 口分配一个网络中可以使用的 IP 地址（配置方法参考启用旁路模式），确保您能 ping 通 eth2 口，在浏览器地址栏中输入 eth2 口 IP 地址/admin。登录界面如下所示：图 3.1 A

8、SM 设备初始登录用户名：admin，密码：888888。4.操作界面说明 4.1 首页 初次登录，首页界面如图所示：图.1 ASM 的模块，包括“注册与认证”、“入网规范管理”，“统计报表”、“报警中心”、“网络联动控制”、“内网边界管理”、“网络审计疏导”、“系统设置”共 8 个模块。如图所示：图.2 版本信息是您购买的 ASM 设备的型号及各项版本号。如图所示：图.3 请确保所显示的型号与供货合同相符。我们对引擎、行业库及补丁库会及时做出更新，敬请随时关注我们的网站，以便使用我们为您提供的最新服务。4.2 模块界面 当您点击任何一个模块后，会进入类似图 4.2.1 所示的模块界面：图.4

9、 点击各个“选项”后可以进行更为详细的设置。5.用户首次配置 如果您是第一次登录 ASM 系统（登录方式请参考登录方式），为了方便今后的工作，我们建议您先进行一些初始化配置。5.1 启用旁路模式 如果 ASM 是采用串联方式接入您的网络，请跳过此步骤，直接进入启用串联网络。当 ASM 采用旁路方式接入您的网络时，必须为执行接入的 eth2 口分配一个网络中可用的 IP 地址。操作步骤为“系统设置”模块“网络参数设置”选项，进入如下界面：图.5 1、勾选 ETH2 的启用框；2、为 ETH2 配置一个您网络中可用的 IP 地址、子网掩码、网关。3、点击“完成配置”。在 ASM 系统已经通过 et

10、h2 口接入您网络的情况下，远程 ping eth2 口的 IP 地址。如果无法 ping 通，请联系我们的技术工程师。5.2 启用串联模式 如果 ASM 系统是采用旁路方式接入您的网络，请跳过此步骤，进入系统基本设置。请将 ASM 的 eth0 口与您需要进行准入控制的内部网络相连，将 eth3 口与您的外部网络相连。具体连接方式可能需要依据您的网络拓扑而定，您可以预先咨询我们的技术工程师。操作步骤为“系统设置”模块“网络参数设置”选项，进入如下界面：图.6 1、勾选 ETH0、ETH1 的启用框。2、点击“完成配置”。注：关于串联接入的具体参数设置，请参透明网桥设置。5.3 系统基本设置

11、为了让 ASM 更好地融入您的网络，请先将您的用户信息写入 ASM 的界面中。在您下次登录时，将看到采用您单位相关信息的界面。操作步骤为“系统设置”模块“系统基本设置”选项，进入如下界面：图.7 5.4 邮件提醒 我们为您提供了当新设备入网时自动发送邮件进行提醒的功能。当然，如果您不需要邮件提醒，也可以跳过此步骤，不会影响设备的其他功能。操作步骤为“系统设置”模块“邮件提醒设置”选项，进入如下界面：图.8 请输入您的邮件服务器地址，您的登录账户及登录密码。邮件将从这个邮箱发出。请填入 ASM 系统的管理地址（如您配置好的 ETH2 口地址）及 web 登录的端口号（默认为 80端口），收到邮件

12、的管理员可以在邮件中直接点击这个链接访问到我们的 ASM 系统。请填入邮件中所显示的收件人地址（可以与您的登录账户名不同）。请点击 Email 框输入需要接收提醒邮件的收件人地址；图.9 再点击“添加”按钮将地址添加到收件人列表中。删除收件人：您可以选中收件人列表中的某个地址，再点击“删除”按钮 清空收件人：您可以直接点击“清空”按钮删除所有已存在的收件人。5.5 短信提醒设置 当有设备等待接入审核或者 IP/MAC 变动或者空间不足时，我们可以设置发送短信提醒管理员。操作步骤为“系统设置”模块“短信提醒设置”选项，进入如下界面：图.10 配置好短信引擎地址，管理员手机号码，以及需要发送短信的

13、情形，点击保存配置后，当有发生需要发送短信的状况时，管理员就会收到提醒短信。5.6 部门管理 根据您单位目前管理的部门，ASM 上也需要设置相应的部门规划。这样在入网设备注册时（入网设备注册的详细过程请参考新设备注册检查）可以就选择归属的部门，方便您及时准确地对设备进行定位和管理。请确保您已经填写好了您的单位名称（关于公司或单位名称的填写请参考系统基本设置），此时单位名称会显示在所有部门的最顶层。操作步骤为“注册与认证”模块“部门管理”选项，如图所示：图.11 您只需点击“添加部门”按钮进行新部门编辑即可。如图所示：图.12 请输入新部门名称。ASM 支持多部门多级管理，当您第一次添加部门时，

14、上级部门为公司名称；当有多个部门时，您可以在“上级部门”一栏选择其中一个作为新部门的直接上级。保存后，部门列表将显示在界面的右方。如图所示：图.13 通过点击相应的操作名称，您可以对已有的部门进行排序、编辑和删除的操作 5.7 注册与认证 在设备接入网络之前，如果您是第一次接入网络，就需要先进行注册，然后进行身份认证。只有身份认证通过的设备才能进一步的对设备进行安全检查，确保您的设备是规范入网的。请选择“注册与认证”模块，在界面的左边会出现注册与认证部分的导航栏“认证管理”与“身份认证参数设置”，5.7.1 安全域配置 在配置用户角色之前可以先配置好安全域，以便在角色配置时可以准确地分配检查通

15、过和不通过时分别可以访问的域。配置安全域的界面如图所示：图 5.10.1.2 5.7.1 认证角色管理 用户角色是对用户身份的一种归类。例如归类于来宾角色的用户，系统将不对其进行安检。您可以自己新建一个特有的角色，新建界面如图所示：图 5.10.2.3 如上图所示，您可以根据自己的需求，设置角色是否需要安检，安检周期，安检时引用的规范以及安检后可以访问的域。如果您启用了检查时安装入网小助手，那么我们会在您进行安检时安装入网小助手，并且根据您输入的名字进行命名。安装入网小助手之后，每次开机时，小助手会自动为您进行安全检查。为了达到更准确的检查结果，您可以配置小助手的二次检查，选择检查时间间隔。当

16、第一次安检完成后，等待您配置的间隔时间小助手即进行第二次安检。如果您不想打扰到被管理人员的正常工作，我们小助手为您提供了免打扰模式。在小助手配置中，您可以开启免打扰模式，开启后，客户机的小助手不会出现任何提示和对话框。如果您在卸载小助手的时候想让设备信息同时被删除，您可以启用“卸载小助手是否删除该设备信息”，那样当您手动卸载小助手后，您的设备信息也会被删除。5.7.1 用户管理 用户是对使用设备身份的管理方式。您可以建立用户，使其归类于某个角色，当身份认证通过后，就可以进行安检，然后入网。用户管理界面如下图所示：图 5.10.3.4 点击“添加用户”按钮，进入新建用户界面，如下图所示：图 5.

17、10.3.5 输入认证用户名、密码、确认密码，并根据需求选择用户的角色、类型和部门后，保存用户即可。用户还可以和设备进行绑定，如果该用户绑定了一台设备，则该用户就只能在绑定的这台设备上进行认证，不能在其他设备上进行认证；您可以勾选需要绑定的用户，点击“绑定设备”按钮，选择绑定设备方式，确定即可。我们为您提供了两种绑定方式：绑定到用户最后认证的设备和绑定到指定设备。如果您选择了绑定到最后认证的设备，系统自动为您绑定到您最后认证的设备；如果您选择了绑定到指定设备，那么您可以选择您想绑定的设备。当您配置完成后，用户管理界面的是否启用绑定设备和绑定的设备会显示您所设置绑定的设备。界面如图所示：图 5.

18、10.3.6 如果您希望被绑定的用户可以在所有的设备上进行认证，那么您可以勾选该用户，通过点击“取消绑定设备”按钮取消该用户的绑定即可。5.7.1 来宾认证参数 如果您有来宾需要接入网络，那么您可以设置您的来宾在入网时是否需要验证身份，是否需要临时上网码。认证参数的设置如下图所示：图 5.10.4.7 当您启用来宾认证时，来宾用户入网前必须要先经过认证，认证通过后的安检设置将根据来宾角色配置进行安全检查。如果您选择需要临时上网码，那么您的来宾入网认证时就需要向他所访问的人申请一个临时上网码以便入网。临时上网码可以使用小助手申请，也可以通过检查页面来申请。使用小助手申请上网码：在已经安装小助手的

19、客户机上右击小助手选择“申请来宾上网码”系统分配临时上网码；界面如下图所示：图 5.10.4.8 您也可以使用检查页面获取上网码：员工角色的客户机检查完成后，在结果界面上点击“申请来宾上网码”，如下图所示：图 5.10.4.9 获取到的临时上网码将在来宾用户认证接入网络时使用。5.7.1 全局参数设置 对于身份认证，您可以选择不认证，如果您选择认证的话，我们的系统为您提供了四种认证方式：用户名密码认证、UKey 身份认证、短信认证、Email 认证。我们在全局参数设置中为您提供一系列关于认证和安检的全局参数，您可以根据自己的需求进行设置。全局认证参数设置如下图所示：图 5.10.7.10 您可

20、以根据不同的情况设置各个选项；如果您开启了无控件快速认证时，当新设备接入网络时不需要安装控件并且也不需要注册，只要输入正确的用户名和密码就能进行安检。该功能只在 MVG、DHCP、策略路由以及透明网桥这几种准入技术下才有效；如果您开启了允许通过手机进行身份认证，当手机通过无线接入您的网络时可以开启安 检界面，通过认证接入网络；如果您设置检查后显示安检得分，那么在安检完成后检查结果页面会显示安全得分；如果您设置检查后启动自动修复，那么安检完成后如果有检查项不通过则会根据管理员的配置进行自动修复；如果您设置客户端检查页面风格，则打开安检页面后，页面会显示设置的风格；如果您设置了认证前提示用户选择身

21、份类型，当您打开安检页面需要先选择身份类型才会进入身份认证页面；如果您设置为不提示，当您打开安检页面不需要选择身份类型直接跳转到身份认证页面；如果您设置用户身份选择显示为图片，则您打开安检页面显示的为默认的我是来宾和我是员工按钮；如果您设置显示文字，则可以在弹出的输入框中设置我是员工和我是来宾替换为您想要显示的文字，不能超过 6 个字；如果您设置管理后台访问方式为安全模式，则您打开管理平台必须是以 https 的形式打开页面；如果您设置管理后台访问方式普通模式，则您打开管理平台页面可以为普通的http 模式打开；如果您选择控件安装方式为自动在线安装，则当客户机安装了时首次接入网络是不需要自己手

22、动下载控件安装的；如果您选择手动下载安装，则您首次接入网络 如果您设置为安检前需要进行身份认证，并且设置需要认证的 IP 段，当您打开安检页面进行安检时，客户机 IP 在需要认证的 IP 范围内则需要进行用户身份验证；如果您设置为安检前不需要进行身份认证，那么您进行安检时进入身份认证页面不需要手动去输入信息我们系统默认给您通过；如果您开启了桌面安全管理系统联动，那么我们在进行安全检查之前会先检查是否安装 了桌面安全管理软件，如果没有安装的话，我们会根据您配置的地址去访问安装桌面安全管理软件。关于自动修复功能，我们提供了一些不需要用户交互的检查项的自动修复。当您开启桌面安全管理联动时，ASM 的

23、模块会增加一个桌面安全管理，如下图所示：图 5.10.7.11 客户端检查页面可更换风格，系统默认风格为经典蓝，其他可切换风格为国旗红和安全绿；5.7.1 注册参数配置 关于注册时需要进行的一些操作，您可以在注册参数中进行设置，设置界面如下图所示：图 5.10.8.12 新接入网络的设备注册有 2 种方式，分别为用户手动输入信息进行注册和系统自动进行注册。当选择用户手动输入信息进行注册时，可选择设备注册后是否需要审核以及设备基本信息、所在部门、使用者、电话号码、物理地址、接入原因和入网协议的必填、选择或者隐藏的功能设置。当电话号码选择为必填时，客户机注册时必须填写电话号码；当选择系统自动进行注

24、册时，新接入网络的设备无需填写注册信息；5.7.1 认证参数配置 注册完成之后的客户机，必须要进行身份认证通过后才能安检，接入网络。那么安检时需要进行哪些操作呢我们可以在认证参数配置中进行配置，界面如下图所示：图 5.10.9.13 认证方式的选择，您在这边选择某些认证方式，客户机在身份认证时就显示您所选的认证方式。如果你选择了身份认证成功后设备优先拥有用户认证角色的网络访问权限，那么在认证成功后，设备的网络访问权限是根据您认证的用户的权限来限制网络访问的。否则就会根据设备的角色来限制网络访问。如果您选择启用用户同一时刻只允许在一台设备上使用，那么您在一台设备上认证时使用的用户名和密码，如果在

25、另外一台设备上也使用了此用户名和密码，那么前一台的认证将会被后一台挤下去，断开网络。5.7.1 用户名密码认证 为了方便您进行用户名密码方式认证，我们为您提供了五种认证服务器，您可以根据自己的需求进行设定，界面如下图所示：图 5.10.10.14 如果您选择的是本地服务器，那么您在认证时输入的用户名和密码必须是存在于我们的系统里的。如果您选择的是其他两个服务器，那么您认证时输入的用户名和密码必须存在于这两个服务器里。第三方 web 服务器需要通过 url 配置，链接到第三方服务器配合认证。关于 LDAP 服务器配置和 AD 域的设置我们将在下面进行详细说明。5.7.1 UKey 认证 如果您需

26、要使用 UKey 进行身份认证，那么您需要在这里进行配置，界面如下图所示：图 5.10.11.15 您可以根据自己的情况配置 UKey 认证的认证方式，多少时间会断网。当您选择的是根证书认证时，您必须导入您的根证书到我们的 ASM 系统。如果您选择的是其他的服务器，那么您可以根据自己配置的服务器在界面上进行配置。配置完拔掉 UKey 的最大时间，当您拔掉 UKey 后，超过限制的时间，您的设备将会断网。5.7.1 手机短信认证 如果您需要使用短信进行认证，那么您需要在这里进行短信认证参数配置，您可以根据自己的需求配置短信发送的服务器，可以增加、删除或者编辑短信认证的原因。界面如下图所示：图 5

27、.10.12.16 当您配置好短信认证参数，您还需要去设备列表信息中查看您的设备信息中的联系电话是否填写正确。如果未填写，是不能成功使用手机进行认证的。5.7.1 Email 认证 在进行身份认证时，如果您使用的是 Email 认证，那这里的配置就至关重要了，您在这里配置好 SMTP 服务器地址和端口之后，只有使用这个服务器和端口的邮箱才能够通过身份认证。Email 认证参数配置页面如下图所示：图 5.10.13.17 5.7.1 LDAP 服务器配置 LDAP 服务器是用户名和密码认证时使用的一个服务器，您可以自己建立一个 LDAP 服务器，然后把 LDAP 服务器的信息配置在我们的系统上，

28、您就可以根据 LDAP 服务器上设置的用户名和密码进行身份认证了。配置界面如下图：图 5.10.14.18 在配置界面中，我们为您提供了一些简单的例子，您可以根据自己所配置的 LDAP 服务器，参照我们提供的例子在界面上进行配置。输入配置信息后，您可以点击“测试”按钮来查看您配置的信息是否正确。5.7.1 AD 域认证参数设置 AD 域也是一个用户名和密码认证时使用服务器，配置界面如下图：图 5.10.15.19 将您预先配置的域服务器的 IP 地址和域名的信息输入，选择是否启用单点登录。当您的设备是登录在您所配置的域中时，如果您选择启用单点登录，设备认证时无需输入用户名和密码即可认证通过；如

29、果您选择关闭单点登录，设备认证时就需要输入用户名和密码来进行认证。注：若开启了 AD 域单点登录，则设备认证检查时，会自动去 AD 域服务器上验证是否存在该 AD 域用户；若开启了 AD 域单点登录且启用同步域中的使用人到设备使用人时，设备检查后，设备使用人就是域的登录用户；若关闭单点登录，启用同步域中使用人到设备使用人，设备检查后，认证输入的域用户被同步到设备使用人。5.7.1 身份认证记录 系统为您提供了身份认证记录统计功能，当客户机进行身份认证后，在这里会显示设备的认证记录。包括设备认证的用户、认证角色、认证方式、认证时间、设备的名称、设备的 IP 以及认证原因。系统还为您提供了一些条件

30、查询功能，您可以根据自己的需求在界面上输入查询条件，点击“查询”按钮进行查询。界面如图所示：图 5.10.16.20 5.7.1 动态验证码获取记录 当您使用手机短信认证后，在动态验证码获取记录页面会产生一条验证记录，可以记录客户机使用手机认证的手机号码和验证码，在使用有效期内您可以使用这个验证码进行再次认证；使用期限需要您手动设置过期时间间隔。界面如图 5.10.17.1 所示：图 5.10.17.21 5.8 配置入网规范 在掌控了入网设备的身份后，您还需要配置符合您单位入网安全性的一系列规范。只有设备的身份和安全性同时在您的掌握和控制范围之内，才能确保您的网络是可控和符合安全性要求的。请

31、选择“入网规范管理”模块，在界面的左部上方出现“规范制定”栏，如图所示：图.14 5.8.1 标准行业入网规范库 ASM 系统已经为您提供了各行业的入网规范标准，这是我们广泛参考大量行业案例制定出的推荐标准。您可以直接应用该标准规范以迅速获知您的网络在标准要求下的安全状况。如图所示 图 5.11.1.22 点击“标准行业入网规范库”后出现如图所示界面：图 5.11.1.23 这里是我们的一个实例截图，您可以找到自身所属的行业，直接点击规范的名称即可查看行业入网规范的配置。5.8.2 自定义规范 当然，您也可以根据自身的网络状况制定完全个性化的网络规范方案。如图所示 图 5.11.2.24 点击

32、“检查规范列表”后，出现如下界面：图 5.11.2.25 点击“新建规范”后，出现如下界面：图 5.11.2.26 我们提供了多种检查项供您选择。当您需要启用相应的检查项时，请先勾选对应的“启用”框。图 5.11.2.27 在检查项的旁边可以点击“配置”链接进入具体的参数页面。如果您勾选了“设为关键检查项”选项框，则此项检查未通过时设备将被即时隔离出网络。（关于设备安全检查的具体过程请参照新设备注册检查）请最后设置修复期限选项，如图所示：图 5.11.2.28 选择第一个单选框，可以设定非关键项未通过的修复时间，默认为 7 天。修复时间是为了提供给入网设备一个适应规范的缓冲期，设备可以在这段时

33、间内正常访问网络以做出修复操作。当修复期限到期而设备依然未修复完成则将被隔离出网络。我们不建议您选择第二个单选框，这样将失去对不合规设备的控制。在“帮助说明”中再次声明了关键项未通过设备将直接被隔离出网络，不提供修复期。请确保只有对您网络造成重大威胁的检查项才设置为关键检查项。检查项参数说明：a)杀毒软件检查 图 5.11.2.29 我们提供了对目前市面上所有主流杀毒软件的支持，您可以选择您所要求安装的杀毒软件名称，杀毒软件版本号，病毒库版本号，及是否正在运行的多项检查参数；当您选择了多项杀毒软件时，设备只要符合您所列出的其中一种杀毒软件中所有的参数即可通过检查。当设备未能通过杀毒软件检查时，

34、为了方便入网用户及时快捷地进行自动修复，我们在ASM 上提供了相应的修复选项。如果您的网络中有杀毒软件服务器或提供修复的地址，请填入相应的链接地址。（关于不对网络设备及服务器进行控制的操作，请参考可信设备管理）您也可以上传安装包或病毒库升级包，这样用户可以直接从检查页面上下载程序进行修复。（杀毒软件检查未通过后的自我修复具体请参考新设备注册检查）当设备的杀毒软件版本或者病毒库版本不符合时，为了方便入网用户及时快捷地进行自动修复，我们在该杀毒软件后面提供了相应的修复配置，b)IP/MAC 绑定检查 图 5.11.2.30 在检查项中添加或导入 IP/MAC 绑定列表，当您管理的计算机试图改变 I

35、P 或者 MAC 时，系统就判断为此检查项不通过。c)补丁检查 图 5.11.2.31 我们的补丁系统已经为您定义好了“严重”、“重要”和“中等”三个级别的补丁，您可以选择相应必须安装的类型。为了适应您独特的网络环境，我们还提供了例外补丁配置。点击“添加”按钮后，您可以根据 ASM 中的补丁列表自定义您额外需要安装的补丁或额外不需要安装的补丁。5.8.3 高级属性 我们为您提供了检查规范的高级属性：共享或者私有。如果您选择的是共享规范，那么其他操作员也可以对您建的规范进行查看和修改。如果您选择的是私有规范，那么其他操作员对您建的规范只有查看的权限。图 5.11.3.32 5.9 配置网络联动控

36、制 当配置好以上各项后，您还需要配置网络联动控制才能真正实现准入控制。ASM 系统支持与多种网络设备进行联动，完全以界面化的形式启用及配置各种接入认证。进入“网络联动控制”模块如下界面：图.15 您可以根据当前网络环境，任意选择一种认证技术进行配置。当您开启某一个准入技术时，我们的系统将会在页面上的技术导航栏里进行醒目的提示，如下图：图.16 注：透明网桥、策略路由和 VG 虚拟网关一次只能启用一个。5.9.1 EOU 认证技术设置 如果您的接入交换机是 CISCO 的 35 系列交换机，那么您可以在接入层就可以利用 EOU认证技术进行非常细致安全的准入控制，可以充分利用 CISCO 交换机的

37、特性来进行安全准入的操作。操作步骤：a)基本参数设置 图 5.12.1.33 1、配置重定向 URL 地址：，则可“启用紧急模式”。2、其余配置项使用默认配置即可。3、点击“完成配置”。b)EOU 全局参数设置 图 5.12.1.34 1、配置主认证服务器地址：主 ASM 设备 eth2 口 IP 地址（若您有两台 ASM 设备，则配置备认证服务器地址：备 ASM 设备 eth2 口 IP 地址）。2、配置隔离服务器：若您希望设备被隔离后仍然可以访问指定的服务器，则可以在“IP地址”处填写该服务器的 IP 地址，然后选择“添加”按钮。3、同样，您也可以选中希望设备被隔离后不可以访问指定的服务器

38、，然后选择“删除”按钮或者选择“清空”按钮，进行删除或清空。4、点击“完成配置”。c)EOU 交换机管理 当您配置好 EOU 基本参数和全局参数后，才能开始配置 EOU 交换机管理。进入“EOU 认证技术设置”栏，选择“EOU 交换机管理”，如下界面所示：图 5.12.1.35 1、添加交换机：选择“添加交换机”按钮进入如下界面：图 5.12.1.36 2、填写完各参数配置选择“完成配置”后出现如下界面：图 5.12.1.37 3、配置交换机：选中添加的交换机后选择“配置交换机”按钮进入如下界面：图 5.12.1.38 4、选中要在交换机上开启 EOU 认证技术的端口，然后选择“生效 EOU

39、配置”。（至此，EOU认证技术已配置完成。）5.9.2 PORTAL 认证技术设置 如果您的网络路由器支持 PORTAL 功能，例如 H3C 的 MSR20 系列或更高级别的路由器，那么您就可以使用该功能。操作步骤：a)基本参数设置 图 5.12.2.39 1、配置重定向 URL 地址：，则可以在“IP 地址：”、“掩码”处填写该设备的 IP 地址和掩码（IP 地址段可通过掩码来控制），然后选择“添加”按钮。2、同样，您也可以选择“删除”或“清空”按钮，从列表中删除或清空免认证的设备。3、点击“完成配置”。b)PORTAL 路由器管理 当您配置好 PORTAL 基本参数后，才能开始配置 EOU

40、 交换机管理。进入“PORTAL 认证技术设置”栏，选择“PORTAL 路由器管理”，如下界面所示：图 5.12.2.40 1、添加路由器：选择“添加路由器”按钮进入如下界面：图 5.12.2.41 2、填写完各参数配置选择“完成配置”后出现如下界面：图 5.12.2.42 3、配置路由器：选中添加的路由器后选择“配置路由器”按钮进入如下界面：图 5.12.2.43 4、选择要在路由器上开启 PORTAL 认证技术的端口，然后选择“生效 PORTAL 配置”。（至此，PORTAL 认证技术已配置完成。）5.9.3 透明网桥设置 如果您只希望对部分的网络进行保护，比如您只希望对服务器群进行保护，

41、那么您可以采用透明网桥的技术，将透明网桥部署在服务器群的前面，由透明网桥来保护您的服务器资源。采用透明网桥认证技术，必须确定已启用 eth0 和 eth1 网卡，请参照启用串联网络。操作步骤：a)认证参数设置 图 5.12.3.44 1、配置重定向 URL 地址：，则可“启用紧急模式”。2、设置安检过后是否返回到重定向前访问的界面或者重定向到指定的页面。3、配置采用二次转向的 IP 地址。4、点击“完成配置”。b)例外设备管理 图 5.12.3.45 1、配置隔离服务器：若您希望设备被隔离后仍然可以访问指定的服务器，则可以在“开始IP”、“结束 IP”处填写该服务器的 IP 地址，然后选择“添

42、加”按钮。同样，选择“删除”按钮进行删除。2、配置不管理网段：若你希望将指定的设备不进行入网控制，则可以在“开始 IP：”、“结束 IP”处填写该设备的 IP 地址，然后选择“添加”按钮。同样，选择“删除”按钮进行删除。c)例外域名设置 图 5.12.3.46 设置例外域名后，设备被隔离后，仍然能访问例外的域名；d)NAT 网络设置 NAT 技术不仅完美地解决了 IP 地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。设置界面如下图：图 5.12.3.47 5.9.4 策略路由设置 如果您想要求某些路由必须经过特定的路径，那么就可以使用策略路由。策略路由联动控

43、制使用的网卡是 eth0 和 eth2，采用策略路由认证技术，必须确定已启用这三个网卡并且配置 eth2 口的 IP 地址。（网卡配置请参照启用旁路网络）操作步骤：a)认证参数设置 图 5.12.4.48 1、配置重定向 URL 地址：，若能网络正常则网络联动设备的 MAC 地址将显示于“下一条 MAC 地址”文本框中。2、当您在开启策略路由认证技术后又希望放开所有设备，则可“启用紧急模式”。3、配置采用二次转向的 IP 地址。4、设置安检通过后是否返回指定的页面，如果选择启用，并设置页面路径。5、设置安检过后是否返回到重定向前访问的界面。6、点击“完成配置”。b)例外设备管理 图 5.12.

44、4.49 1、配置隔离服务器：若您希望设备被隔离后仍然可以访问指定的服务器，则可以在“开始 IP”、“结束 IP”处填写该服务器的 IP 地址，然后选择“添加”按钮。同样，选择“删除”按钮进行删除。2、配置不管理网段：若你希望将指定的设备不进行入网控制，则可以在“开始 IP：”、“结束 IP”处填写该设备的 IP 地址，然后选择“添加”按钮。同样，选择“删除”按钮进行删除。c)例外域名设置 图 5.12.4.50 设置例外域名后，设备被隔离后，仍然能访问例外的域名；d)NAT 网络设置 NAT 技术不仅完美地解决了 IP 地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内

45、部的计算机。设置界面如下图：图 5.12.4.51 5.9.5 MVG 网关设置 MVG 网关配置界面如下：a)基本参数设置：图 52 1、当您在开启策略路由认证技术后又希望放开所有设备，则可“启用紧急模式”。2、勾选日志等级；3、配置重定向 URL 地址：，则可以在“开始 IP”、“结束 IP”处填写该服务器的 IP 地址，然后选择“添加”按钮。同样，选择“删除”按钮进行删除。4、点击“完成配置”。b)MVG 交换机管理：当您配置好 MVG 基本参数后，才能开始配置 MVG 交换机管理。进入“MVG 虚拟网关设置”栏，选择“MVG 交换机管理”，如下界面所示：图 53 点击“添加交换机”，可

46、以配置您需要管理的交换机，界面如下图所示：图 54 输入您要管理的交换机的名称、IP 地址等，点击“完成配置”成功添加交换机，添加完成后，交换机将显示在管理列表中如图 5.11.9.2 所示。点击交换机名称或者选择交换机点击配置交换机按钮，可以对交换机各个端口进行选择管理，界面如下图所示：图 55 选择需要管理的端口，点击“保存配置”按钮，即可管理所选的端口。您可以点击管理 mac 列表来进行 mac 和端口的绑定，首先添加需要绑定的 mac，如下图：图 56 添加完成后，勾选是否绑定 mac，如下图所示：图 57 c)VLAN 映射配置：配置完交换机管理后，您还需要对 Vlan 映射进行配置

47、，保证接入设备认证前后属于不同权限的 Vlan，从而达到接入控制的目的。图 58 d)例外域名设置 图 59 设置例外域名后，设备被隔离后，仍然能访问例外的域名；e)管理端口列表 图 60 显示交换机管理的端口信息 f)隔离端口列表 图 61 显示隔离端口的信息 5.10 配置双机热备 部署 ASM 系统后可保证入网人员的可信性及入网设备的安全性，可减少网络因攻击性危险造成的安全隐患，但网络本身还是会因系统的硬件性危险、数据流失、网络单点故障而引起安全风险。借于此，ASM 系统已为您提供了双机热备功能来保障数据完整性、网络无单点故障、硬件冗余性。启用双机热备功能步骤为“系统设置”模块“双机热备

48、管理”选项，进入如下界面：图.17 1、配置检测 IP 地址列表：该地址通常配置成 ASM 系统 eth2 口的网关 IP 地址。2、主机和备机配置：先配置主机的心跳 IP 地址和管理 IP 地址，再配置备机的心跳 IP地址和管理 IP 地址。3、配置本机热备心跳 IP 地址：配置成 ASM 系统 eth1 口的地址。4、点击“保存配置”启用双机热备功能。6.用户日常使用 6.1 新设备注册检查 1、当您网络中有新设备接入并通过浏览器访问互联网时，会出现如下界面：图.18 2、根据您的身份选择员工或者来宾，下面先介绍员工，点击“我是员工”按钮，出现如下界面：图.19 3、勾选“我同意入网协议”

49、进行入网登记，选择部门，输入使用者等信息，点击下一步如下界面：图.20 4、选择认证方式之后输入认证信息后点击“确定”，就可以进入检查页面，如下图：图.21 5、若您已经在首次配置时启用了“设备注册审核”，则点击“下一步”后出现提示信息：图.22 注：设置接入设备审核请参照设置接入设备审核。6、点击“确定”按钮，出现如下界面：图.23 7、此时需要等待管理员批准审核（请参照审核接入设备。）8、当管理员批准审核后，进行步骤 3 和步骤 4；9、当安全检查完成后，若新设备符合当前入网规范，则出现如下界面并可使用网络：图.24 10、若新设备某些关键检查项不符合当前入网规范，则需要修复存在的问题后才

50、能使用网络，如下界面：图.25 注：安全检查请参照配置入网规范。来宾账户的注册认证及检查：在打开检查页面时，选择“我是来宾”，如果您设置了不启用来宾认证，那么您的网络就不允许有来宾访问。当浏览器需要接入网络时界面如下：图.26 如果您设置了开启来宾认证，但不需要临时上网码时，点击“我是来宾”后，出现的界面如下图所示：图.27 如果您设置开启来宾认证，并且需要临时上网码时，点击“我是来宾”后，出现的界面如下图所示：图.28 此时您需要临时上网码，临时上网码的方法申请参见来宾认证参数设置中临时上网码的申请。6.2 审核接入设备 若您已经在首次配置时启用了“注册后需要进行审核”，则有新设备接入网络时