金盾软件NACP101产品用户手册准入控制.docx

金盾软件NACP101产品用户手册准入控制.docx

《金盾软件NACP101产品用户手册准入控制.docx》由会员分享，可在线阅读，更多相关《金盾软件NACP101产品用户手册准入控制.docx（39页珍藏版）》请在冰豆网上搜索。

金盾软件NACP101产品用户手册准入控制

金盾软件NACP10.1产品用户手册

山东华软金盾软件股份有限公司

2017年4月27日

一、前言

（一）简介

金盾NACP网络接入控制与身份认证系统—简称NACP，是集首页、视图、用户、策略、审批、图表、系统于一身的安全管理系统。

（二）文档目的

金盾NACP系统详细配置手册主要用于指导管理员如何对用户进行策略下发，查看审计等操作。

（三）读者对象

本文档适用于金盾NACP系统管理人员、赋予单独模块管理角色的管理员。

二、登录系统

（一）登录管控平台

通过打开IE浏览器，输入.0.2/admin，会出现首页页面，如下图所示：

图2.1-1首页

点击NACP模块图标，打开系统登录页面，如下图所示：

图2.1-2登录

内置控制台登陆帐户和密码：

超级用户：

system密码：

12345678

管理员：

administrator密码：

12345678

操作员：

operator密码：

12345678

审计员：

auditor密码：

12345678

注：

强烈建议您及时定期修改密码

当登录NACP系统后，进入NACP首页界面，在这个界面中包含了菜单栏、当前管理帐户等。

如图所示：

图2.1-3NACP首页

菜单栏：

终端安全系统的所有主功能菜单。

主界面：

位于整个页面的右侧，显示每个子功能对应的界面。

当前管理帐户：

位于整个页面的右上方，显示当前登录系统的账户信息。

（二）管控平台配置

选择【系统】-【系统设置】-【管控平台】，打开管控平台界面，如下图所示：

图2.2-1管控平台

设置管控平台帐户密码复杂度：

密码长度和必须包含的内容设置。

允许登录控制台地址：

配置范围内的IP才能登录控制台。

限制非法登录次数和锁屏时长：

超出了限制的非法登录次数就会锁屏，不能进行登录；达到锁屏时长后才能进行重新登录。

（三）帐户配置

点击【系统】-【系统设置】-【帐户】，打开帐户配置界面，如下图所示：

图2.3-1帐户

点击按钮，进入新建帐户页面，如下图所示：

图2.3-2新建帐户

根据实际情况填写真实姓名、帐户名称，输入帐户密码、确认密码，选择帐户权限，点击“保存”，新帐户创建成功。

自定义权限：

选中某个帐户点击“自定义权限”，弹出自定义权限页面，如下图所示：

图2.3-3自定义权限

此功能是给新建的帐户分配功能权限和部门管理权限，需要注意的是：

不能对内置帐户进行自定义设置。

策略读写和只读：

是对帐户读写权限进行设置，需要注意的是：

不能对内置帐户进行策略控制设置

关联用户：

选中某个用户，点击“关联用户”，弹出关联用户界面，如下图所示：

图2.3-4关联用户

删除帐户：

删除选中的帐户。

导出/打印：

把控制台帐户数据导出为Excel表格或者直接打印。

查询：

根据真实姓名、帐户名称等进行快速查询。

（四）管理员密码修改

点击右上角后面的，选择打开修改密码窗口，在此输入原密码，然后输入新密码，输入确认密码，点击即可修改管理员帐户密码。

如下图所示：

图2.4-1修改密码菜单

图2.4-2修改密码

三、模块功能操作

（一）部门配置

点击【系统】-【系统设置】，在右侧点击就会进入部门配置窗口，如下图所示：

图3.1-1部门列表

点击“新建”按钮，弹出添加新部门页面，根据实际情况输入部门名称，选择上级部门，输入所属IP段、部门负责人、部门电话等信息，点击“保存”，如下图所示：

图3.1-2添加部门

点击“编辑”，进入修改部门页面，可以修改部门名称、上级部门、所属IP段、部门负责人、部门电话等信息，如下图所示：

图3.1-3编辑部门

删除部门：

删除一个已有的部门。

导出/打印：

把部门数据导出为Excel表格或者直接打印。

（二）用户管理

1、新用户审核配置管理

点击【系统】-【审批设置】，打开相应界面，如下图所示：

图3.2.1-1审批设置

新用户默认策略配置：

新用户默认策略：

新接入网络的计算机默认的策略。

生命周期：

设置用户生命周期，过期后禁止用户登录系统。

新终端用户注册审核配置：

自动审批通过终端用户注册申请：

申请后自动通过注册申请。

自动拒绝终端用户注册申请：

申请后自动拒绝注册申请。

操作员手动审批：

可设置时间限制，超过时间限制后自动审批。

点击保存，确认设置的策略生效。

移动用户注册审核配置：

自动审批通过终端用户注册申请：

申请后自动通过注册申请。

自动拒绝终端用户注册申请：

申请后自动拒绝注册申请。

操作员手动审批：

可设置时间限制，超过时间限制后自动审批。

点击保存，确认设置的策略生效。

新来宾用户注册审核配置：

开启手机短信验证功能

自动审批通过终端用户注册申请：

申请后自动通过注册申请。

自动拒绝终端用户注册申请：

申请后自动拒绝注册申请。

操作员手动审批：

可设置时间限制，超过时间限制后自动审批。

点击保存，确认设置的策略生效

2、新用户入网审批

浏览器地址栏输入服务器地址加上user（例如192.168.0.2/user），进入用户注册页面。

如下图所示：

图3.2.2-1用户注册

输入用户名称、真实姓名、用户密码、选取部门名称，点击【立即注册】按钮，跳转到如下页面：

图3.2.2-2提交注册成功

提交的信息会显示到控制台上，点击【审批】，显示内部用户入网审批页面。

如下图所示：

图3.2.2-3新用户入网审批

批准：

选中某条用户注册申请记录，点击批准，如下图所示：

图3.2.2-4新用户入网审批

选择用户身份、安全策略后，点击“保存”，用户注册审批通过，审批通过的用户信息显示在用户列表中。

拒绝：

选中某条用户注册申请记录，点击拒绝，弹出拒绝页面，如下图所示：

图3.2.2-5新用户入网审批---拒绝

输入拒绝原因，点击“保存”，该新用户入网审批不通过。

删除：

删除新用户入网审批页面存在的数据。

导出/打印：

把新用户入网审批页面的数据导出为Excel表格或者直接打印。

查询：

根据用户名、部门名称、IP地址进行快速查询。

显示所有：

去除筛选条件，显示新用户入网审批里面的所有未处理数据。

高级查询：

根据用户在高级查询页面输入的具体条件筛选、显示新用户入网审批数据。

3、用户基本信息

点击【用户】，然后点击用户信息，进入用户页面，可查看当前系统中所有部门基本信息和人员基本信息，如下图所示：

图3.2.3-1用户列表

点击左侧部门列表中的某个部门，右侧对应显示相应部门的用户信息，如下图所示：

图3.2.3-2部门对应用户列表

点击【新建】，用于新建用户信息，填写相应信息，点击【保存】，如下图所示：

图3.2.3-3新建用户

新建用户完成后会显示到用户列表中，如下图所示：

图3.2.3-4新建后用户显示

新建用户如果在客户端登录后，状态列会变为会根据入网状态显示不同的颜色，如下图所示：

图3.2.3-5用户状态

选中需要删除用户，点击【删除用户】，删除选择用户信息；

选中需要删除设备，点击【删除设备】，删除与用户绑定在一起的设备信息；

选中需要修改策略用户，点击【批量修改策略】，批量修改用户使用策略；

点击【导入】，选择提前准备好的用户信息文档，导入用户信息；

点击【导出/打印】，把用户基本信息里面的用户数据导出为Excel表格或者直接打印；

查询：

根据真实姓名、用户名称和登录IP进行快速查询

高级查询：

根据用户在高级查询页面输入的具体条件筛选、显示用户数据

鼠标放到操作列的设置按钮上，会出现操作菜单，如下图所示：

图3.2.3-6操作菜单

编辑：

修改用户的基本信息，真实姓名、用户密码、所属部门、安全策略和备注信息

个性化策略：

用于配置只给该用户设置和使用的策略

测评详情：

查看某个用户安全测评时的测评结果

卸载插件：

卸载对应计算机上的客户端插件

设备信息：

显示计算机的基本信息，包括计算机昵称、计算机名称、IP地址、MAC地址、活动状态、开机时间、最后登录用户、最后活动时间

4、用户策略设置

点击【用户】，进入用户信息页面，选择一个用户，点击图3.3.3-6所示的菜单中的个性化策略，弹出个性化策略继承自界面，选择继承自的策略，点击按钮，如下图所示：

图3.2.4-1个性化策略

也可以对多个用户进行批量修改，选择多个用户，点击，点击已经建立好的策略，最后保存就可以了，如下图所示：

图3.2.4-2批量修改策略

修改保存后，选择的用户的安全策略会显示为修改后的策略。

（三）策略

1、策略配置库

（1）ARP欺骗

点击【系统】-【策略配置库】，输入ARP名称，绑定网关IP和MAC，点击【保存】，如下图所示：

图3.3.1.1-1添加应用程序

点击保存后新建的应用程序就会在列表中显示，如下图所示：

图3.3.1.1-2应用程序列表

编辑：

可以编辑已经存在的已经存在ARP欺骗记录。

删除：

可以手动删除ARP记录。

查询：

可以根据ARP名称、IP地址、MAC地址、备注，查询已经添加的应用程序。

显示所有：

去掉查询筛选结果，显示所有的应用程序

（2）合法进程

点击【系统】-【策略配置库】，点击【合法进程】，点击【分类配置】，首先建立合法进程的分类。

如下图所示：

图3.3.1.2-1分类配置

点击【合法进程】，点击【添加】，输入进程名称，以及名称的安装路径，描述。

最后点击保存。

如下图所示：

图3.3.1.2-2添加

点击【保存】，新添加的USB存储介质就会在列表中显示，如下图所示：

图3.3.1.2-3创建成功

新建：

可以添加新的合法进程。

编辑：

可以编辑已经存在的合法进程。

显示所有：

去掉查询筛选结果，显示所有的USB存储介质。

（3）安装程序

点击【系统】-【策略配置库】，点击【安装程序】，【新建】，输入程序名称，以及程序安装包路径，描述，点击保存进行上传到服务器，如下图所示：

图3.3.1.3-1新建

点击保存后，会在右边显示已经建立的规则，如下图所示：

图3.3.1.3-2新建成功

（4）操作系统补丁

安装一体化工具后，点击启动补丁打包工具，弹出补丁打包工具的对话框，打包补丁库，上传补丁库后，如下图所示：

图3.3.1.4-1补丁打包工具

生成补丁包后，点击【上传补丁】，点击【显示所有】，就会显示所需要检查的补丁库，如下图所示：

图3.3.1.4-2上传成功

（5）USBKey列表

点击【系统】-【策略配置库】，点击“USBKey列表”，右侧界面中点击【新建】，在弹出的界面中输入USBKey昵称，点击“启动工具”然后点击“检索UK”，USBKey设备序列号会自动获取到，并显示到相应的文本框中，点击【保存】按钮，如下图所示：

图3.3.1.5-1新建USBKey

保存成功后，新添加的USBKey信息显示到USBKey列表中，如下图所示：

图3.3.1.5-2USBKey列表

（6）其它库

其它的策略配置库和以上5个类似，不再赘述。

2、终端通信网段配置

（7）终端访问控制网段

配置终端用户访问控制网段，添加到此网段的计算机终端通信管理中的策略才会生效，支持添加网段，编辑网段，删除网段功能。

依次点击【系统】-【系统设置】-【客户端】，下拉找到“终端访问控制网段”，进入终端访问控制网段设置界面，如下图所示：

图3.3.2.1-1终端访问控制网段

点击“新建”，弹出新建窗口，输入开始IP和结束IP，点击保存，如下图所示：

图3.3.2