ASM盈高入网规范管理系统操作手册.docx

《ASM盈高入网规范管理系统操作手册.docx》由会员分享，可在线阅读，更多相关《ASM盈高入网规范管理系统操作手册.docx（78页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、商标：盈高、INFOGO 是盈高科技的注册商标，未经允许，不得引用。ASM 盈高入网标准治理系统INFOGO Access S tandard M anagementSystemVersion操作手册版权声明：本文中消灭的任何文字表达、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属盈高科技全部，并受到有关产权及版权法保护。任何个人、机构未经盈高科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。1. 说明目 录 错误!未定义书签。2. ASM 设备外观图解错误!未定义书签。3. 登录方式错误!未定义书签。4. 操作界面说明-错误!未定义书签。首页错误!未定义书签。模块

2、界面错误!未定义书签。5. 用户首次配置-错误!未定义书签。启用旁路模式错误!未定义书签。启用串联模式错误!未定义书签。系统根本设置错误!未定义书签。邮件提示错误!未定义书签。短信提示设置错误!未定义书签。部门治理错误!未定义书签。注册与认证错误!未定义书签。安全域配置错误!未定义书签。认证角色治理 错误!未定义书签。用户治理 错误!未定义书签。来宾认证参数 错误!未定义书签。全局参数设置 错误!未定义书签。注册参数配置 错误!未定义书签。认证参数配置 错误!未定义书签。用户名密码认证 错误!未定义书签。UKey 认证 错误!未定义书签。手机短信认证 错误!未定义书签。Email 认证 错误!

3、未定义书签。LDAP 效劳器配置错误!未定义书签。AD 域认证参数设置错误!未定义书签。身份认证记录 错误!未定义书签。动态验证码猎取记录错误!未定义书签。配置入网标准 错误!未定义书签。标准行业入网标准库错误!未定义书签。自定义标准错误!未定义书签。高级属性错误!未定义书签。配置网络联动掌握 错误!未定义书签。EOU 认证技术设置错误!未定义书签。PORTAL 认证技术设置错误!未定义书签。透亮网桥设置错误!未定义书签。策略路由设置错误!未定义书签。MVG 网关设置错误!未定义书签。配置双机热备错误!未定义书签。6. 用户日常使用-错误!未定义书签。设备注册检查错误!未定义书签。审核接入设备

4、错误!未定义书签。设备治理错误!未定义书签。添加可信设备错误!未定义书签。取消可信设备 错误!未定义书签。设备安装软件信息错误!未定义书签。隔离设备 错误!未定义书签。设备和用户绑定 错误!未定义书签。马上认证安检 错误!未定义书签。信息导入 错误!未定义书签。IP 地址池 错误!未定义书签。IP/MAC 绑定 错误!未定义书签。添加 IP/MAC 绑定错误!未定义书签。导入 IP/MAC 绑定错误!未定义书签。IP/MAC 全局配置 错误!未定义书签。查看系统数据及报表错误!未定义书签。设备信息查询错误!未定义书签。补丁治理查询错误!未定义书签。统计报表查询错误!未定义书签。未关机统计错误!

5、未定义书签。上下网审计错误!未定义书签。级联治理错误!未定义书签。功能地图错误!未定义书签。报警中心错误!未定义书签。其他错误!未定义书签。数据备份错误!未定义书签。系统更 错误!未定义书签。上传软件治理 错误!未定义书签。设备状态治理 错误!未定义书签。系统调试日志列表错误!未定义书签。Excel 报表导出错误!未定义书签。强制认证推送错误!未定义书签。终端故障分析错误!未定义书签。数据导入错误!未定义书签。过期设备去除记录错误!未定义书签。系统用户错误!未定义书签。7. 终端小助手功能错误!未定义书签。安检用户切换错误!未定义书签。修改认证用户密码错误!未定义书签。1. 说明ASM 基于最

6、先进的第三代准入掌握技术，无需转变您的网络，无需安装客户端，具有简便的操作性、高度智能化的修复方式及对于各种简单网络的强适应性。我们为您制订了一系 列有效牢靠的网络合规性要求，从而实现“违规不入网，入网必合规”的治理标准，充分满足等保对于网络边界及主机保护的要求为了能帮助您快速部署ASM 并体验ASM 的强大功能，请参照本手册进展相关操作。祝您使用开心！eth1:治理端口(HA 心跳口)，具有固定地址 非可信接口port，串联模式使用，接内部受控网络图 2.1eth2: 旁路接口Out-of-band port，旁路模式使用，使用时需要您安排一个IP 地址eth3: 可信接口trusted p

7、ort，串联模式使用，接外部不受控网络2. ASM 设备外观图解3. 登录方式Console口我们供给web 登录的方式对ASM 平台进展相关的配置。假设您是与eth1 口直连，那么请在扫瞄器地址栏中输入 。假设 ASM 设备承受旁路方式接入您的网络，请预先为eth2 口安排一个网络中可以使用的 IP 地址配置方法参考启用旁路模式，确保您能 ping 通 eth2 口，在扫瞄器地址栏中输入 eth2 口 IP 地址/admin。登录界面如下所示：图 3.1ASM 设备初始登录用户名：admin ，密码：888888 。4. 操作界面说明4.1 首页初次登录，首页界面如下图：图 . 1ASM 的

8、模块，包括“注册与认证”、“入网标准治理”，“统计报表”、“报警中心”、“网络联动掌握”、“内网边界治理”、“网络审计疏导”、“系统设置”共 8 个模块。如下图：图 . 2版本信息是您购置的ASM 设备的型号及各项版本号。如下图：图 . 3请确保所显示的型号与供货合同相符。我们对引擎、行业库及补丁库会准时做出更， 敬请随时关注我们的网站，以便使用我们为您供给的最效劳。4.2 模块界面当您点击任何一个模块后，会进入类似图4.2.1 所示的模块界面：图 . 4点击各个“选项”后可以进展更为具体的设置。5. 用户首次配置假设您是第一次登录ASM 系统登录方式请参考登录方式，为了便利今后的工作，我们建

9、议您先进展一些初始化配置。5.1 启用旁路模式假设 ASM 是承受串联方式接入您的网络，请跳过此步骤，直接进入启用串联网络。当 ASM 承受旁路方式接入您的网络时，必需为执行接入的eth2 口安排一个网络中可用的 IP 地址。操作步骤为“系统设置”模块 “网络参数设置”选项，进入如下界面：图 . 51、 勾选 ETH2 的启用框；2、 为 ETH2 配置一个您网络中可用的IP 地址、子网掩码、网关。3、 点击“完成配置”。在 ASM 系统已经通过eth2 口接入您网络的状况下，远程ping eth2 口的IP 地址。假设无法 ping 通，请联系我们的技术工程师。5.2 启用串联模式假设 AS

10、M 系统是承受旁路方式接入您的网络，请跳过此步骤，进入系统根本设置。请将 ASM 的 eth0 口与您需要进展准入掌握的内部网络相连，将 eth3 口与您的外部网络相连。具体连接方式可能需要依据您的网络拓扑而定，您可以预先询问我们的技术工程师。操作步骤为“系统设置”模块 “网络参数设置”选项，进入如下界面：图 . 61、 勾选 ETH0、ETH1 的启用框。2、 点击“完成配置”。注：关于串联接入的具体参数设置，请参透亮网桥设置。5.3 系统根本设置为了让ASM 更好地融入您的网络，请先将您的用户信息写入 ASM 的界面中。在您下次登录时，将看到承受您单位相关信息的界面。操作步骤为 “系统设置

11、”模块 “系统根本设置”选项，进入如下界面：图 . 75.4 邮件提示我们为您供给了当设备入网时自动发送邮件进展提示的功能。固然，假设您不需要邮件提示，也可以跳过此步骤，不会影响设备的其他功能。操作步骤为 “系统设置”模块 “邮件提示设置”选项，进入如下界面：图 . 8请输入您的邮件效劳器地址，您的登录账户及登录密码。邮件将从这个邮箱发出。请填入 ASM 系统的治理地址如您配置好的ETH2 口地址及web 登录的端口号默认为80 端口，收到邮件的治理员可以在邮件中直接点击这个链接访问到我们的ASM 系统。 请填入邮件中所显示的收件人地址可以与您的登录账户名不同。请点击Email 框输入需要接收

12、提示邮件的收件人地址；图 . 9再点击“添加”按钮将地址添加到收件人列表中。删除收件人：您可以选中收件人列表中的某个地址，再点击“删除”按钮清空收件人：您可以直接点击“清空”按钮删除全部已存在的收件人。5.5 短信提示设置当有设备等待接入审核或者IP/MAC 变动或者空间缺乏时，我们可以设置发送短信提示治理员。操作步骤为“系统设置”模块 “短信提示设置”选项，进入如下界面：图 . 10配置好短信引擎地址，治理员手机号码，以及需要发送短信的情形，点击保存配置后， 当有发生需要发送短信的状况时，治理员就会收到提示短信。5.6 部门治理依据您单位目前治理的部门，ASM 上也需要设置相应的部门规划。这

13、样在入网设备注册时入网设备注册的具体过程请参考设备注册检查可以就选择归属的部门，便利您准时准确地对设备进展定位和治理。请确保您已经填写好了您的单位名称关于公司或单位名称的填写请参考系统根本设 置，此时单位名称会显示在全部部门的最顶层。操作步骤为“注册与认证”模块“部门治理”选项，如下图：图 . 11您只需点击“添加部门”按钮进展部门编辑即可。如下图：图 . 12请输入部门名称。ASM 支持多部门多级治理，当您第一次添加部门时，上级部门为公司名称；当有多个部门时，您可以在“上级部门”一栏选择其中一个作为部门的直接上级。保存后，部门列表将显示在界面的右方。如下图：图 . 13通过点击相应的操作名称

14、，您可以对已有的部门进展排序、编辑和删除的操作5.7 注册与认证在设备接入网络之前，假设您是第一次接入网络，就需要先进展注册，然后进展身份认证。只有身份认证通过的设备才能进一步的对设备进展安全检查，确保您的设备是标准入网的。请选择“注册与认证”模块，在界面的左边会消灭注册与认证局部的导航栏“认证治理” 与“身份认证参数设置”，5.7.1 安全域配置在配置用户角色之前可以先配置好安全域，以便在角色配置时可以准确地安排检查通过和不通过时分别可以访问的域。配置安全域的界面如下图：图 5.10.1. 25.7.1 认证角色治理用户角色是对用户身份的一种归类。例如归类于来宾角色的用户，系统将不对其进展安

15、检。您可以自己建一个特有的角色，建界面如下图：图 5.10.2. 3如上图所示，您可以依据自己的需求，设置角色是否需要安检，安检周期，安检时引用的标准以及安检后可以访问的域。假设您启用了检查时安装入网小助手，那么我们会在您进展安检时安装入网小助手，并且依据您输入的名字进展命名。安装入网小助手之后，每次开机时，小助手会自动为您进展安全检查。为了到达更准确的检查结果，您可以配置小助手的二次检查，选择检查时间间隔。当第一次安检完成后，等待您配置的间隔时间小助手即进展其次次安检。假设您不想打搅到被治理人员的正常工作，我们小助手为您供给了免打搅模式。在小助手配置中，您可以开启免打搅模式，开启后，客户机的

16、小助手不会消灭任何提示和对话框。假设您在卸载小助手的时候想让设备信息同时被删除，您可以启用“卸载小助手是否删除该设备信息”，那样当您手动卸载小助手后，您的设备信息也会被删除。5.7.1 用户治理用户是对使用设备身份的治理方式。您可以建立用户，使其归类于某个角色，当身份认证通过后，就可以进展安检，然后入网。用户治理界面如以下图所示：图 5.10.3. 4点击“添加用户”按钮，进入建用户界面，如以下图所示：图 5.10.3. 5输入认证用户名、密码、确认密码，并依据需求选择用户的角色、类型和部门后，保存用户即可。用户还可以和设备进展绑定，假设该用户绑定了一台设备，则该用户就只能在绑定的这台设备上进

17、展认证，不能在其他设备上进展认证；您可以勾选需要绑定的用户，点击“绑定设备”按钮，选择绑定设备方式，确定即可。我们为您供给了两种绑定方式：绑定到用户最终认证的设备和绑定到指定设备。假设您选择 了绑定到最终认证的设备，系统自动为您绑定到您最终认证的设备；假设您选择了绑定到指 定设备，那么您可以选择您想绑定的设备。当您配置完成后，用户治理界面的是否启用绑定 设备和绑定的设备会显示您所设置绑定的设备。界面如下图：图 5.10.3. 6假设您期望被绑定的用户可以在全部的设备上进展认证，那么您可以勾选该用户，通过点击“取消绑定设备”按钮取消该用户的绑定即可。5.7.1 来宾认证参数假设您有来宾需要接入网

18、络，那么您可以设置您的来宾在入网时是否需要验证身份，是否需要临时上网码。认证参数的设置如以下图所示：图 5.10.4. 7当您启用来宾认证时，来宾用户入网前必需要先经过认证，认证通过后的安检设置将依据来宾角色配置进展安全检查。假设您选择需要临时上网码，那么您的来宾入网认证时就需要向他所访问的人申请一个临时上网码以便入网。临时上网码可以使用小助手申请，也可以通过检查页面来申请。使用小助手申请上网码：在已经安装小助手的客户机上右击小助手 选择“申请来宾上网码” 系统安排临时上网码；界面如以下图所示：图 5.10.4. 8您也可以使用检查页面猎取上网码：员工角色的客户机检查完成后，在结果界面上点击“

19、申请来宾上网码”，如以下图所示：图 5.10.4. 9猎取到的临时上网码将在来宾用户认证接入网络时使用。5.7.1 全局参数设置对于身份认证，您可以选择不认证，假设您选择认证的话，我们的系统为您供给了四种认证方式：用户名密码认证、UKey 身份认证、短信认证、Email 认证。我们在全局参数设置中为您供给一系列关于认证和安检的全局参数，您可以依据自己的需求进展设置。全局认证参数设置如以下图所示：图 5.10.7. 10您可以依据不同的状况设置各个选项；假设您开启了无控件快速认证时，当设备接入网络时不需要安装控件并且也不需要注册，只要输入正确的用户名和密码就能进展安检。该功能只在MVG、DHCP

20、、策略路由以及透亮网桥这几种准入技术下才有效；假设您开启了允许通过手机进展身份认证，当手机通过无线接入您的网络时可以开启安检界面，通过认证接入网络；假设您设置检查后显示安检得分，那么在安检完成后检查结果页面会显示安全得分； 假设您设置检查后启动自动修复，那么安检完成后假设有检查项不通过则会依据治理员的配置进展自动修复；假设您设置客户端检查页面风格，则翻开安检页面后，页面会显示设置的风格；假设您设置了认证前提示用户选择身份类型，当您翻开安检页面需要先选择身份类型 才会进入身份认证页面；假设您设置为不提示，当您翻开安检页面不需要选择身份类型直接跳转到身份认证页面；假设您设置用户身份选择显示为图片，

21、则您翻开安检页面显示的为默认的我是来宾和 我是员工按钮；假设您设置显示文字，则可以在弹出的输入框中设置我是员工和我是来宾替换为您想要显示的文字，不能超过 6 个字；假设您设置治理后台访问方式为安全模式，则您翻开治理平台必需是以 s 的形式翻开页面；假设您设置治理后台访问方式一般模式，则您翻开治理平台页面可以为一般的 模式翻开；假设您选择控件安装方式为自动在线安装，则当客户机安装了时首次接入网络是不需要自己手动下载控件安装的；假设您选择手动下载安装，则您首次接入网络假设您设置为安检前需要进展身份认证，并且设置需要认证的IP 段，当您翻开安检页面进展安检时，客户机 IP 在需要认证的IP 范围内则

22、需要进展用户身份验证；假设您设置为安检前不需要进展身份认证，那么您进展安检时进入身份认证页面不需要手动去输入信息我们系统默认给您通过；假设您开启了桌面安全治理系统联动，那么我们在进展安全检查之前会先检查是否安装了桌面安全治理软件，假设没有安装的话，我们会依据您配置的地址去访问安装桌面安全治理软件。关于自动修复功能，我们供给了一些不需要用户交互的检查项的自动修复。当您开启桌面安全治理联动时，ASM 的模块会增加一个桌面安全治理，如以下图所示：图 5.10.7. 11客户端检查页面可更换风格，系统默认风格为经典蓝，其他可切换风格为国旗红和安全绿；5.7.1 注册参数配置关于注册时需要进展的一些操作

23、，您可以在注册参数中进展设置，设置界面如以下图所示：图 5.10.8. 12接入网络的设备注册有 2 种方式，分别为用户手动输入信息进展注册和系统自动进展注册。中选择用户手动输入信息进展注册时，可选择设备注册后是否需要审核以及设备基 本信息、所在部门、使用者、 号码、物理地址、接入缘由和入网协议的必填、选择或者隐蔽的功能设置。当 号码选择为必填时，客户机注册时必需填写 号码；中选择系统自动进展注册时，接入网络的设备无需填写注册信息；5.7.1 认证参数配置注册完成之后的客户机，必需要进展身份认证通过后才能安检，接入网络。那么安检时需要进展哪些操作呢我们可以在认证参数配置中进展配置，界面如以下图

24、所示：图 5.10.9. 13认证方式的选择，您在这边选择某些认证方式，客户机在身份认证时就显示您所选的认证方式。假设你选择了身份认证成功后设备优先拥有用户认证角色的网络访问权限，那么在认证成功后，设备的网络访问权限是依据您认证的用户的权限来限制网络访问的。否则就会依据设备的角色来限制网络访问。假设您选择启用用户同一时刻只允许在一台设备上使用，那么您在一台设备上认证时使用的用户名和密码，假设在另外一台设备上也使用了此用户名和密码，那么前一台的认证将会被后一台挤下去，断开网络。5.7.1 用户名密码认证为了便利您进展用户名密码方式认证，我们为您供给了五种认证效劳器，您可以依据自己的需求进展设定，

25、界面如以下图所示：图 5.10.10. 14假设您选择的是本地效劳器，那么您在认证时输入的用户名和密码必需是存在于我们的系统里的。假设您选择的是其他两个效劳器，那么您认证时输入的用户名和密码必需存在于这两个效劳器里。第三方 web 效劳器需要通过url 配置，链接到第三方效劳器协作认证。关于 LDAP 效劳器配置和AD 域的设置我们将在下面进展具体说明。5.7.1 UKey 认证假设您需要使用UKey 进展身份认证，那么您需要在这里进展配置，界面如以下图所示：图 5.10.11. 15您可以依据自己的状况配置UKey 认证的认证方式，多少时间会断网。当您选择的是根证书认证时，您必需导入您的根证

26、书到我们的 ASM 系统。假设您选择的是其他的效劳器，那么您可以依据自己配置的效劳器在界面上进展配置。配置完拔掉UKey 的最大时间，当您拔掉 UKey 后，超过限制的时间，您的设备将会断网。5.7.1 手机短信认证假设您需要使用短信进展认证，那么您需要在这里进展短信认证参数配置，您可以依据自己的需求配置短信发送的效劳器，可以增加、删除或者编辑短信认证的缘由。界面如以下图所示：图 5.10.12. 16当您配置好短信认证参数，您还需要去设备列表信息中查看您的设备信息中的联系 是否填写正确。假设未填写，是不能成功使用手机进展认证的。5.7.1 Email 认证在进展身份认证时，假设您使用的是 E

27、mail 认证，那这里的配置就至关重要了，您在这里配置好 SMTP 效劳器地址和端口之后，只有使用这个效劳器和端口的邮箱才能够通过身份认证。Email 认证参数配置页面如以下图所示：图 5.10.13. 175.7.1 LDAP 效劳器配置LDAP 效劳器是用户名和密码认证时使用的一个效劳器，您可以自己建立一个 LDAP 效劳器，然后把 LDAP 效劳器的信息配置在我们的系统上，您就可以依据 LDAP 效劳器上设置的用户名和密码进展身份认证了。配置界面如以下图：图 5.10.14. 18在配置界面中，我们为您供给了一些简洁的例子，您可以依据自己所配置的LDAP 效劳器，参照我们供给的例子在界面

28、上进展配置。输入配置信息后，您可以点击“测试”按钮来查看您配置的信息是否正确。5.7.1 AD 域认证参数设置AD 域也是一个用户名和密码认证时使用效劳器，配置界面如以下图：图 5.10.15. 19将您预先配置的域效劳器的IP 地址和域名的信息输入，选择是否启用单点登录。当您的设备是登录在您所配置的域中时，假设您选择启用单点登录，设备认证时无需输入用户名和密码即可认证通过；假设您选择关闭单点登录，设备认证时就需要输入用户名和密码来进展认证。注：假设开启了 AD 域单点登录，则设备认证检查时，会自动去 AD 域效劳器上验证是否存在该 AD 域用户；假设开启了 AD 域单点登录且启用同步域中的使

29、用人到设备使用人时，设备检查后，设备使用人就是域的登录用户；假设关闭单点登录，启用同步域中使用人到设备使用人，设备检查 后，认证输入的域用户被同步到设备使用人。5.7.1 身份认证记录系统为您供给了身份认证记录统计功能，当客户机进展身份认证后，在这里会显示设 备的认证记录。包括设备认证的用户、认证角色、认证方式、认证时间、设备的名称、设备的 IP 以及认证缘由。系统还为您供给了一些条件查询功能，您可以依据自己的需求在界面上输入查询条件，点击“查询”按钮进展查询。界面如下图：图 5.10.16. 205.7.1 动态验证码猎取记录当您使用手机短信认证后，在动态验证码猎取记录页面会产生一条验证记录

30、，可以记 录客户机使用手机认证的手机号码和验证码，在使用有效期内您可以使用这个验证码进展再次认证；使用期限需要您手动设置过期时间间隔。界面如图5.10.17.1 所示：图 5.10.17. 215.8 配置入网标准在掌控了入网设备的身份后，您还需要配置符合您单位入网安全性的一系列标准。只有设备的身份和安全性同时在您的把握和掌握范围之内，才能确保您的网络是可控和符合安全性要求的。请选择“入网标准治理”模块，在界面的左部上方消灭“标准制定”栏，如下图：图 . 145.8.1 标准行业入网标准库ASM 系统已经为您供给了各行业的入网标准标准，这是我们广泛参考大量行业案例制定出的推举标准。您可以直接应

31、用该标准标准以快速获知您的网络在标准要求下的安全状况。如下图图 5.11.1. 22点击“标准行业入网标准库”后消灭如下图界面：图 5.11.1. 23这里是我们的一个实例截图，您可以找到自身所属的行业，直接点击标准的名称即可查看行业入网标准的配置。5.8.2 自定义标准固然，您也可以依据自身的网络状况制定完全共性化的网络标准方案。如下图图 5.11.2. 24点击“检查标准列表”后，消灭如下界面：图 5.11.2. 25点击“建标准”后，消灭如下界面：图 5.11.2. 26我们供给了多种检查项供您选择。当您需要启用相应的检查项时，请先勾选对应的“启用”框。图 5.11.2. 27在检查项的

32、旁边可以点击“配置”链接进入具体的参数页面。假设您勾选了“设为关键检查项”选项框，则此项检查未通过时设备将被即时隔离出网络。关于设备安全检查的具体过程请参照设备注册检查请最终设置修复期限选项，如下图：图 5.11.2. 28选择第一个单项选择框，可以设定非关键项未通过的修复时间，默认为7 天。修复时间是为了供给应入网设备一个适应标准的缓冲期，设备可以在这段时间内正常访问网络以做出修复操作。当修复期限到期而设备照旧未修复完成则将被隔离出网络。我们不建议您选择其次个单项选择框，这样将失去对不合规设备的掌握。在“帮助说明”中再次声明白关键项未通过设备将直接被隔离出网络，不供给修复期。请确保只有对您网

33、络造成重大威逼的检查项才设置为关键检查项。检查项参数说明：a) 杀毒软件检查图 5.11.2. 29我们供给了对目前市面上全部主流杀毒软件的支持，您可以选择您所要求安装的杀毒软件名称，杀毒软件版本号，病毒库版本号，及是否正在运行的多项检查参数；当您选择了多项杀毒软件时，设备只要符合您所列出的其中一种杀毒软件中全部的参数即可通过检查。当设备未能通过杀毒软件检查时，为了便利入网用户准时快捷地进展自动修复，我们在ASM 上供给了相应的修复选项。假设您的网络中有杀毒软件效劳器或供给修复的地址，请填入相应的链接地址。关于不对网络设备及效劳器进展掌握的操作，请参考可信设备治理您也可以上传安装包或病毒库升级

34、包，这样用户可以直接从检查页面上下载程序进展修复。杀毒软件检查未通过后的自我修复具体请参考设备注册检查当设备的杀毒软件版本或者病毒库版本不符合时，为了便利入网用户准时快捷地进展自动修复，我们在该杀毒软件后面供给了相应的修复配置，b) IP/MAC 绑定检查图 5.11.2. 30在检查项中添加或导入IP/MAC 绑定列表，当您治理的计算机试图转变IP 或者MAC 时， 系统就推断为此检查项不通过。c) 补丁检查图 5.11.2. 31我们的补丁系统已经为您定义好了“严峻”、“重要”和“中等”三个级别的补丁，您可以选择相应必需安装的类型。为了适应您独特的网络环境，我们还供给了例外补丁配置。点击“

35、添加”按钮后，您可以依据ASM 中的补丁列表自定义您额外需要安装的补丁或额外不需要安装的补丁。5.8.3 高级属性我们为您供给了检查标准的高级属性：共享或者私有。假设您选择的是共享标准，那么其他操作员也可以对您建的标准进展查看和修改。假设您选择的是私有标准，那么其他操作员对您建的标准只有查看的权限。图 5.11.3. 325.9 配置网络联动掌握当配置好以上各项后，您还需要配置网络联动掌握才能真正实现准入掌握。ASM 系统支持与多种网络设备进展联动，完全以界面化的形式启用及配置各种接入认证。进入“网络联动掌握”模块如下界面：图 . 15您可以依据当前网络环境，任意选择一种认证技术进展配置。当您

36、开启某一个准入技术时，我们的系统将会在页面上的技术导航栏里进展醒目的提示，如以下图：图 . 16注：透亮网桥、策略路由和VG 虚拟网关一次只能启用一个。5.9.1 EOU 认证技术设置假设您的接入交换机是CISCO 的 35 系列交换机，那么您可以在接入层就可以利用EOU 认证技术进展格外细致安全的准入掌握，可以充分利用 CISCO 交换机的特性来进展安全准入的操作。操作步骤：a) 根本参数设置图 5.12.1. 331、 配置重定向URL 地址：，则可“启用紧急模式”。2、 其余配置项使用默认配置即可。3、 点击“完成配置”。b) EOU 全局参数设置图 5.12.1. 341、 配置主认证

37、效劳器地址：主ASM 设备eth2 口IP 地址假设您有两台ASM 设备，则配置备认证效劳器地址：备ASM 设备 eth2 口 IP 地址。2、 配置隔离效劳器：假设您期望设备被隔离后仍旧可以访问指定的效劳器，则可以在“ IP 地址”处填写该效劳器的IP 地址，然后选择“添加”按钮。3、 同样，您也可以选中期望设备被隔离后不行以访问指定的效劳器，然后选择“删除”按钮或者选择“清空”按钮，进展删除或清空。4、 点击“完成配置”。c) EOU 交换机治理当您配置好EOU 根本参数和全局参数后，才能开头配置EOU 交换机治理。进入“EOU 认证技术设置”栏，选择“EOU 交换机治理”，如下界面所示：

38、图 5.12.1. 351、 添加交换机：选择“添加交换机”按钮进入如下界面：图 5.12.1. 362、 填写完各参数配置选择“完成配置”后消灭如下界面：图 5.12.1. 373、 配置交换机：选中添加的交换机后选择“配置交换机”按钮进入如下界面：图 5.12.1. 384、 选中要在交换机上开启 EOU 认证技术的端口，然后选择“生效 EOU 配置”。至此，EOU 认证技术已配置完成。5.9.2 PORTAL 认证技术设置假设您的网络路由器支持PORTAL 功能，例如H3C 的MSR20 系列或更高级别的路由器， 那么您就可以使用该功能。操作步骤：a) 根本参数设置图 5.12.2. 391、 配置重定向 URL 地址：，则可以在“IP 地址：”、“掩码”处填写该设备的 IP 地址和掩码IP 地址段可通过掩码来掌握，然后选择“添加”按钮。2、 同样，您也可以选择“删除”或“清空”按钮，从列表中删除或清空免认证的设