ASM盈高入网规范管理系统操作手册V文档格式.doc

1、5.3系统基本设置55.4邮件提醒55.5短信提醒设置65.6部门管理75.7注册与认证85.7.1安全域配置85.7.1认证角色管理95.7.1用户管理105.7.1来宾认证参数125.7.1全局参数设置135.7.1注册参数配置145.7.1认证参数配置155.7.1用户名密码认证165.7.1UKey认证165.7.1手机短信认证175.7.1Email认证175.7.1LDAP服务器配置175.7.1AD域认证参数设置185.7.1身份认证记录195.7.1动态验证码获取记录195.8配置入网规范195.8.1标准行业入网规范库205.8.2自定义规范205.8.3高级属性245.9配

2、置网络联动控制245.9.1EOU认证技术设置255.9.2PORTAL认证技术设置285.9.3透明网桥设置305.9.4策略路由设置335.9.5MVG网关设置365.10配置双机热备396.用户日常使用406.1新设备注册检查406.2审核接入设备456.3设备管理456.4.1.添加可信设备466.4.2.取消可信设备466.4.3.设备安装软件信息476.4隔离设备476.5设备和用户绑定486.6立刻认证安检516.7信息导入526.8IP地址池526.9IP/MAC绑定536.10.1.添加IP/MAC绑定536.10.2.导入IP/MAC绑定546.10IP/MAC全局配置55

3、6.11查看系统数据及报表566.12.1.设备信息查询566.12.2.补丁管理查询576.12.3.统计报表查询586.12.4.未关机统计626.12上下网审计636.13级联管理636.14功能地图656.15报警中心656.16其他666.17.1.数据备份666.17.2.系统更新676.17.3.上传软件管理686.17.4.设备状态管理686.17.5.系统调试日志列表696.17.6.Excel报表导出696.17.7.强制认证推送706.17.8.终端故障分析716.17.9.数据导入716.17过期设备清除记录726.18系统用户727.终端小助手功能747.1安检用户切

4、换747.2修改认证用户密码75杭州盈高科技有限公司1. 说明ASM基于最先进的第三代准入控制技术，无需改变您的网络，无需安装客户端，具有简便的操作性、高度智能化的修复方式及对于各种复杂网络的强适应性。我们为您制订了一系列有效可靠的网络合规性要求，从而实现“违规不入网，入网必合规”的管理规范，充分满足等保对于网络边界及主机保护的要求为了能帮助您迅速部署ASM并体验ASM的强大功能，请参照本手册进行相关操作。祝您使用愉快！2. ASM设备外观图解eth1:管理端口（HA心跳口），具有固定地址191.191.191.191eth0: 非可信接口port，串联模式使用，接内部受控网络图 2.1eth

5、2: 旁路接口Out-of-band port，旁路模式使用，使用时需要您分配一个IP地址eth3: 可信接口trusted port，串联模式使用，接外部不受控网络 Console口3. 登录方式我们提供web登录的方式对ASM平台进行相关的配置。l 如果您是与eth1口直连，那么请在浏览器地址栏中输入http:/191.191.191.191/admin 。l 如果ASM设备采用旁路方式接入您的网络，请预先为eth2口分配一个网络中可以使用的IP地址（配置方法参考启用旁路模式），确保您能ping通eth2口，在浏览器地址栏中输入 http:/ eth2口IP地址/admin。登录界面如下所

6、示：图 3.1ASM设备初始登录用户名：admin ，密码：888888 。4. 操作界面说明4.1 首页初次登录，首页界面如图所示：图 4.1. 1ASM的模块，包括“注册与认证”、“入网规范管理”，“统计报表”、“报警中心”、“网络联动控制”、“内网边界管理”、“网络审计疏导”、“系统设置”共8个模块。如图所示：图 4.1. 2版本信息是您购买的ASM设备的型号及各项版本号。图 4.1. 3请确保所显示的型号与供货合同相符。我们对引擎、行业库及补丁库会及时做出更新，敬请随时关注我们的网站，以便使用我们为您提供的最新服务。4.2 模块界面当您点击任何一个模块后，会进入类似图4.2.1所示的模

7、块界面：图 4.2. 1点击各个“选项”后可以进行更为详细的设置。5. 用户首次配置如果您是第一次登录ASM系统（登录方式请参考登录方式），为了方便今后的工作，我们建议您先进行一些初始化配置。5.1 启用旁路模式如果ASM是采用串联方式接入您的网络，请跳过此步骤，直接进入启用串联网络。当ASM采用旁路方式接入您的网络时，必须为执行接入的eth2口分配一个网络中可用的IP地址。操作步骤为“系统设置”模块 “网络参数设置”选项，进入如下界面：图 5.1. 11、 勾选ETH2的启用框；2、 为ETH2配置一个您网络中可用的IP地址、子网掩码、网关。3、 点击“完成配置”。在ASM系统已经通过eth

8、2口接入您网络的情况下，远程ping eth2口的IP地址。如果无法ping通，请联系我们的技术工程师。5.2 启用串联模式如果ASM系统是采用旁路方式接入您的网络，请跳过此步骤，进入系统基本设置。请将ASM的eth0口与您需要进行准入控制的内部网络相连，将 eth3口与您的外部网络相连。具体连接方式可能需要依据您的网络拓扑而定，您可以预先咨询我们的技术工程师。图 5.2. 11、 勾选ETH0、ETH1 的启用框。2、 点击“完成配置”。注：关于串联接入的具体参数设置，请参透明网桥设置。5.3 系统基本设置为了让ASM更好地融入您的网络，请先将您的用户信息写入ASM的界面中。在您下次登录时，

9、将看到采用您单位相关信息的界面。操作步骤为 “系统设置”模块 “系统基本设置”选项，进入如下界面：图 5.3. 15.4 邮件提醒我们为您提供了当新设备入网时自动发送邮件进行提醒的功能。当然，如果您不需要邮件提醒，也可以跳过此步骤，不会影响设备的其他功能。操作步骤为 “系统设置”模块 “邮件提醒设置”选项，进入如下界面：图 5.5. 1l 请输入您的邮件服务器地址，您的登录账户及登录密码。邮件将从这个邮箱发出。请填入ASM系统的管理地址（如您配置好的ETH2口地址）及web登录的端口号（默认为80端口），收到邮件的管理员可以在邮件中直接点击这个链接访问到我们的ASM系统。l 请填入邮件中所显示

10、的收件人地址（可以与您的登录账户名不同）。请点击Email框输入需要接收提醒邮件的收件人地址；图 5.5. 2再点击“添加”按钮将地址添加到收件人列表中。删除收件人：您可以选中收件人列表中的某个地址，再点击“删除”按钮清空收件人：您可以直接点击“清空”按钮删除所有已存在的收件人。5.5 短信提醒设置当有设备等待接入审核或者IP/MAC变动或者空间不足时，我们可以设置发送短信提醒管理员。操作步骤为“系统设置”模块 “短信提醒设置”选项，进入如下界面：图 5.6. 1配置好短信引擎地址，管理员手机号码，以及需要发送短信的情形，点击保存配置后，当有发生需要发送短信的状况时，管理员就会收到提醒短信。5

11、.6 部门管理根据您单位目前管理的部门，ASM上也需要设置相应的部门规划。这样在入网设备注册时（入网设备注册的详细过程请参考新设备注册检查）可以就选择归属的部门，方便您及时准确地对设备进行定位和管理。请确保您已经填写好了您的单位名称（关于公司或单位名称的填写请参考系统基本设置），此时单位名称会显示在所有部门的最顶层。操作步骤为“注册与认证”模块 “部门管理”选项，如图所示：图 5.8. 1您只需点击“添加部门”按钮进行新部门编辑即可。图 5.8. 2请输入新部门名称。ASM支持多部门多级管理，当您第一次添加部门时，上级部门为公司名称；当有多个部门时，您可以在“上级部门”一栏选择其中一个作为新部

12、门的直接上级。保存后，部门列表将显示在界面的右方。图 5.8. 3通过点击相应的操作名称，您可以对已有的部门进行排序、编辑和删除的操作5.7 注册与认证在设备接入网络之前，如果您是第一次接入网络，就需要先进行注册，然后进行身份认证。只有身份认证通过的设备才能进一步的对设备进行安全检查，确保您的设备是规范入网的。请选择“注册与认证”模块，在界面的左边会出现注册与认证部分的导航栏“认证管理”与“身份认证参数设置”， 5.7.1 安全域配置在配置用户角色之前可以先配置好安全域，以便在角色配置时可以准确地分配检查通过和不通过时分别可以访问的域。配置安全域的界面如图所示：图 5.10.1. 15.7.1

13、 认证角色管理用户角色是对用户身份的一种归类。例如归类于来宾角色的用户，系统将不对其进行安检。您可以自己新建一个特有的角色，新建界面如图所示：图 5.10.2. 1如上图所示，您可以根据自己的需求，设置角色是否需要安检，安检周期，安检时引用的规范以及安检后可以访问的域。如果您启用了检查时安装入网小助手，那么我们会在您进行安检时安装入网小助手，并且根据您输入的名字进行命名。安装入网小助手之后，每次开机时，小助手会自动为您进行安全检查。为了达到更准确的检查结果，您可以配置小助手的二次检查，选择检查时间间隔。当第一次安检完成后，等待您配置的间隔时间小助手即进行第二次安检。如果您不想打扰到被管理人员的正常工作，我们小助手为您提供了免打扰模式。在小助手配置中，您可以开启免打扰模式，开启后，客户机的