ASM盈高入网规范管理系统操作手册V文档格式.doc

ASM盈高入网规范管理系统操作手册V文档格式.doc

《ASM盈高入网规范管理系统操作手册V文档格式.doc》由会员分享，可在线阅读，更多相关《ASM盈高入网规范管理系统操作手册V文档格式.doc（78页珍藏版）》请在冰豆网上搜索。

5.3 系统基本设置 5

5.4 邮件提醒 5

5.5 短信提醒设置 6

5.6 部门管理 7

5.7 注册与认证 8

5.7.1 安全域配置 8

5.7.1 认证角色管理 9

5.7.1 用户管理 10

5.7.1 来宾认证参数 12

5.7.1 全局参数设置 13

5.7.1 注册参数配置 14

5.7.1 认证参数配置 15

5.7.1 用户名密码认证 16

5.7.1 UKey认证 16

5.7.1 手机短信认证 17

5.7.1 Email认证 17

5.7.1 LDAP服务器配置 17

5.7.1 AD域认证参数设置 18

5.7.1 身份认证记录 19

5.7.1 动态验证码获取记录 19

5.8 配置入网规范 19

5.8.1 标准行业入网规范库 20

5.8.2 自定义规范 20

5.8.3 高级属性 24

5.9 配置网络联动控制 24

5.9.1 EOU认证技术设置 25

5.9.2 PORTAL认证技术设置 28

5.9.3 透明网桥设置 30

5.9.4 策略路由设置 33

5.9.5 MVG网关设置 36

5.10 配置双机热备 39

6. 用户日常使用 40

6.1 新设备注册检查 40

6.2 审核接入设备 45

6.3 设备管理 45

6.4.1. 添加可信设备 46

6.4.2. 取消可信设备 46

6.4.3. 设备安装软件信息 47

6.4 隔离设备 47

6.5 设备和用户绑定 48

6.6 立刻认证安检 51

6.7 信息导入 52

6.8 IP地址池 52

6.9 IP/MAC绑定 53

6.10.1. 添加IP/MAC绑定 53

6.10.2. 导入IP/MAC绑定 54

6.10 IP/MAC全局配置 55

6.11 查看系统数据及报表 56

6.12.1. 设备信息查询 56

6.12.2. 补丁管理查询 57

6.12.3. 统计报表查询 58

6.12.4. 未关机统计 62

6.12 上下网审计 63

6.13 级联管理 63

6.14 功能地图 65

6.15 报警中心 65

6.16 其他 66

6.17.1. 数据备份 66

6.17.2. 系统更新 67

6.17.3. 上传软件管理 68

6.17.4. 设备状态管理 68

6.17.5. 系统调试日志列表 69

6.17.6. Excel报表导出 69

6.17.7. 强制认证推送 70

6.17.8. 终端故障分析 71

6.17.9. 数据导入 71

6.17 过期设备清除记录 72

6.18 系统用户 72

7. 终端小助手功能 74

7.1 安检用户切换 74

7.2 修改认证用户密码 75

杭州盈高科技有限公司

1.说明

ASM基于最先进的第三代准入控制技术，无需改变您的网络，无需安装客户端，具有简便的操作性、高度智能化的修复方式及对于各种复杂网络的强适应性。

我们为您制订了一系列有效可靠的网络合规性要求，从而实现“违规不入网，入网必合规”的管理规范，充分满足《等保》对于网络边界及主机保护的要求

为了能帮助您迅速部署ASM并体验ASM的强大功能，请参照本手册进行相关操作。

祝您使用愉快！

2.ASM设备外观图解

eth1:

管理端口（HA心跳口），具有固定地址191.191.191.191

eth0:

非可信接口port，串联模式使用，接内部受控网络

图2.1

eth2:

旁路接口Out-of-bandport，旁路模式使用，使用时需要您分配一个IP地址

eth3:

可信接口trustedport，串联模式使用，接外部不受控网络

Console口

3.登录方式

我们提供web登录的方式对ASM平台进行相关的配置。

l如果您是与eth1口直连，那么请在浏览器地址栏中输入http:

//191.191.191.191/admin。

l如果ASM设备采用旁路方式接入您的网络，请预先为eth2口分配一个网络中可以使用的IP地址（配置方法参考启用旁路模式），确保您能ping通eth2口，在浏览器地址栏中输入http:

//eth2口IP地址/admin。

登录界面如下所示：

图3.1

ASM设备初始登录用户名：

admin，密码：

888888。

4.操作界面说明

4.1首页

初次登录，首页界面如图所示：

图4.1.1

ASM的模块，包括“注册与认证”、“入网规范管理”，“统计报表”、“报警中心”、“网络联动控制”、“内网边界管理”、“网络审计疏导”、“系统设置”共8个模块。

如图所示：

图4.1.2

版本信息是您购买的ASM设备的型号及各项版本号。

图4.1.3

请确保所显示的型号与供货合同相符。

我们对引擎、行业库及补丁库会及时做出更新，敬请随时关注我们的网站，以便使用我们为您提供的最新服务。

4.2模块界面

当您点击任何一个模块后，会进入类似图4.2.1所示的模块界面：

图4.2.1

点击各个“选项”后可以进行更为详细的设置。

5.用户首次配置

如果您是第一次登录ASM系统（登录方式请参考登录方式），为了方便今后的工作，我们建议您先进行一些初始化配置。

5.1启用旁路模式

如果ASM是采用串联方式接入您的网络，请跳过此步骤，直接进入启用串联网络。

当ASM采用旁路方式接入您的网络时，必须为执行接入的eth2口分配一个网络中可用的IP地址。

操作步骤为“系统设置”模块→“网络参数设置”选项，进入如下界面：

图5.1.1

1、勾选ETH2的启用框；

2、为ETH2配置一个您网络中可用的IP地址、子网掩码、网关。

3、点击“完成配置”。

在ASM系统已经通过eth2口接入您网络的情况下，远程pingeth2口的IP地址。

如果无法ping通，请联系我们的技术工程师。

5.2启用串联模式

如果ASM系统是采用旁路方式接入您的网络，请跳过此步骤，进入系统基本设置。

请将ASM的eth0口与您需要进行准入控制的内部网络相连，将eth3口与您的外部网络相连。

具体连接方式可能需要依据您的网络拓扑而定，您可以预先咨询我们的技术工程师。

图5.2.1

1、勾选ETH0、ETH1的启用框。

2、点击“完成配置”。

注：

关于串联接入的具体参数设置，请参透明网桥设置。

5.3系统基本设置

为了让ASM更好地融入您的网络，请先将您的用户信息写入ASM的界面中。

在您下次登录时，将看到采用您单位相关信息的界面。

操作步骤为“系统设置”模块→“系统基本设置”选项，进入如下界面：

图5.3.1

5.4邮件提醒

我们为您提供了当新设备入网时自动发送邮件进行提醒的功能。

当然，如果您不需要邮件提醒，也可以跳过此步骤，不会影响设备的其他功能。

操作步骤为“系统设置”模块→“邮件提醒设置”选项，进入如下界面：

图5.5.1

l请输入您的邮件服务器地址，您的登录账户及登录密码。

邮件将从这个邮箱发出。

请填入ASM系统的管理地址（如您配置好的ETH2口地址）及web登录的端口号（默认为80端口），收到邮件的管理员可以在邮件中直接点击这个链接访问到我们的ASM系统。

l请填入邮件中所显示的收件人地址（可以与您的登录账户名不同）。

请点击Email框输入需要接收提醒邮件的收件人地址；

图5.5.2

再点击“添加”按钮将地址添加到收件人列表中。

删除收件人：

您可以选中收件人列表中的某个地址，再点击“删除”按钮

清空收件人：

您可以直接点击“清空”按钮删除所有已存在的收件人。

5.5短信提醒设置

当有设备等待接入审核或者IP/MAC变动或者空间不足时，我们可以设置发送短信提醒管理员。

操作步骤为“系统设置”模块→“短信提醒设置”选项，进入如下界面：

图5.6.1

配置好短信引擎地址，管理员手机号码，以及需要发送短信的情形，点击保存配置后，当有发生需要发送短信的状况时，管理员就会收到提醒短信。

5.6部门管理

根据您单位目前管理的部门，ASM上也需要设置相应的部门规划。

这样在入网设备注册时（入网设备注册的详细过程请参考新设备注册检查）可以就选择归属的部门，方便您及时准确地对设备进行定位和管理。

请确保您已经填写好了您的单位名称（关于公司或单位名称的填写请参考系统基本设置），此时单位名称会显示在所有部门的最顶层。

操作步骤为“注册与认证”模块→“部门管理”选项，如图所示：

图5.8.1

您只需点击“添加部门”按钮进行新部门编辑即可。

图5.8.2

请输入新部门名称。

ASM支持多部门多级管理，当您第一次添加部门时，上级部门为公司名称；

当有多个部门时，您可以在“上级部门”一栏选择其中一个作为新部门的直接上级。

保存后，部门列表将显示在界面的右方。

图5.8.3

通过点击相应的操作名称，您可以对已有的部门进行排序、编辑和删除的操作

5.7注册与认证

在设备接入网络之前，如果您是第一次接入网络，就需要先进行注册，然后进行身份认证。

只有身份认证通过的设备才能进一步的对设备进行安全检查，确保您的设备是规范入网的。

请选择“注册与认证”模块，在界面的左边会出现注册与认证部分的导航栏“认证管理”与“身份认证参数设置”，

5.7.1安全域配置

在配置用户角色之前可以先配置好安全域，以便在角色配置时可以准确地分配检查通过和不通过时分别可以访问的域。

配置安全域的界面如图所示：

图5.10.1.1

5.7.1认证角色管理

用户角色是对用户身份的一种归类。

例如归类于来宾角色的用户，系统将不对其进行安检。

您可以自己新建一个特有的角色，新建界面如图所示：

图5.10.2.1

如上图所示，您可以根据自己的需求，设置角色是否需要安检，安检周期，安检时引用的规范以及安检后可以访问的域。

如果您启用了检查时安装入网小助手，那么我们会在您进行安检时安装入网小助手，并且根据您输入的名字进行命名。

安装入网小助手之后，每次开机时，小助手会自动为您进行安全检查。

为了达到更准确的检查结果，您可以配置小助手的二次检查，选择检查时间间隔。

当第一次安检完成后，等待您配置的间隔时间小助手即进行第二次安检。

如果您不想打扰到被管理人员的正常工作，我们小助手为您提供了免打扰模式。

在小助手配置中，您可以开启免打扰模式，开启后，客户机的