ASM盈高入网规范管理系统操作手册V精编Word文档格式.docx

1、5.7.1 动态验证码获取记录 195.8 配置入网规范 195.8.1 标准行业入网规范库 205.8.2 自定义规范 205.8.3 高级属性 245.9 配置网络联动控制 245.9.1 EOU认证技术设置 255.9.2 PORTAL认证技术设置 285.9.3 透明网桥设置 305.9.4 策略路由设置 335.9.5 MVG网关设置 365.10 配置双机热备 396. 用户日常使用 406.1 新设备注册检查 406.2 审核接入设备 456.3 设备管理 45 添加可信设备 46 取消可信设备 46 设备安装软件信息 476.4 隔离设备 476.5 设备和用户绑定 486.6

2、 立刻认证安检 516.7 信息导入 526.8 IP地址池 526.9 IP/MAC绑定 53 添加IP/MAC绑定 53 导入IP/MAC绑定 546.10 IP/MAC全局配置 556.11 查看系统数据及报表 56 设备信息查询 56 补丁管理查询 57 统计报表查询 58 未关机统计 626.12 上下网审计 636.13 级联管理 636.14 功能地图 656.16 其他 66 数据备份 66 系统更新 67 上传软件管理 68 设备状态管理 68 系统调试日志列表 69 Excel报表导出 69 强制认证推送 70 终端故障分析 71 数据导入 716.17 过期设备清除记录

3、726.18 系统用户 727. 终端小助手功能 747.1 安检用户切换 747.2 修改认证用户密码 751. 说明ASM基于最先进的第三代准入控制技术，无需改变您的网络，无需安装客户端，具有简便的操作性、高度智能化的修复方式及对于各种复杂网络的强适应性。我们为您制订了一系列有效可靠的网络合规性要求，从而实现“违规不入网，入网必合规”的管理规范，充分满足等保对于网络边界及主机保护的要求为了能帮助您迅速部署ASM并体验ASM的强大功能，请参照本手册进行相关操作。祝您使用愉快！2. ASM设备外观图解eth1:管理端口（HA心跳口），具有固定地址eth0: 非可信接口port，串联模式使用，接

4、内部受控网络图 2.1eth2: 旁路接口Out-of-band port，旁路模式使用，使用时需要您分配一个IP地址eth3: 可信接口trusted port，串联模式使用，接外部不受控网络 Console口3. 登录方式我们提供web登录的方式对ASM平台进行相关的配置。 如果您是与eth1口直连，那么请在浏览器地址栏中输入 。 如果ASM设备采用旁路方式接入您的网络，请预先为eth2口分配一个网络中可以使用的IP地址（配置方法参考启用旁路模式），确保您能ping通eth2口，在浏览器地址栏中输入口IP地址/admin。登录界面如下所示：图 3.1ASM设备初始登录用户名：admin ，

5、密码：888888 。4. 操作界面说明4.1 首页初次登录，首页界面如图所示：图 4.1. 1ASM的模块，包括“注册与认证”、“入网规范管理”，“统计报表”、“报警中心”、“网络联动控制”、“内网边界管理”、“网络审计疏导”、“系统设置”共8个模块。如图所示：图 4.1. 2版本信息是您购买的ASM设备的型号及各项版本号。图 4.1. 3请确保所显示的型号与供货合同相符。我们对引擎、行业库及补丁库会及时做出更新，敬请随时关注我们的网站，以便使用我们为您提供的最新服务。4.2 模块界面当您点击任何一个模块后，会进入类似图4.2.1所示的模块界面：图 4.2. 1点击各个“选项”后可以进行更为

6、详细的设置。5. 用户首次配置如果您是第一次登录ASM系统（登录方式请参考登录方式），为了方便今后的工作，我们建议您先进行一些初始化配置。5.1 启用旁路模式如果ASM是采用串联方式接入您的网络，请跳过此步骤，直接进入启用串联网络。当ASM采用旁路方式接入您的网络时，必须为执行接入的eth2口分配一个网络中可用的IP地址。操作步骤为“系统设置”模块 “网络参数设置”选项，进入如下界面：图 5.1. 11、 勾选ETH2的启用框；2、 为ETH2配置一个您网络中可用的IP地址、子网掩码、网关。3、 点击“完成配置”。在ASM系统已经通过eth2口接入您网络的情况下，远程ping eth2口的IP

7、地址。如果无法ping通，请联系我们的技术工程师。5.2 启用串联模式如果ASM系统是采用旁路方式接入您的网络，请跳过此步骤，进入系统基本设置。请将ASM的eth0口与您需要进行准入控制的内部网络相连，将 eth3口与您的外部网络相连。具体连接方式可能需要依据您的网络拓扑而定，您可以预先咨询我们的技术工程师。图 5.2. 11、 勾选ETH0、ETH1 的启用框。2、 点击“完成配置”。注：关于串联接入的具体参数设置，请参透明网桥设置。5.3 系统基本设置为了让ASM更好地融入您的网络，请先将您的用户信息写入ASM的界面中。在您下次登录时，将看到采用您单位相关信息的界面。操作步骤为 “系统设置

8、”模块 “系统基本设置”选项，进入如下界面：图 5.3. 15.4 邮件提醒我们为您提供了当新设备入网时自动发送邮件进行提醒的功能。当然，如果您不需要邮件提醒，也可以跳过此步骤，不会影响设备的其他功能。操作步骤为 “系统设置”模块 “邮件提醒设置”选项，进入如下界面：图 5.5. 1 请输入您的邮件服务器地址，您的登录账户及登录密码。邮件将从这个邮箱发出。请填入ASM系统的管理地址（如您配置好的ETH2口地址）及web登录的端口号（默认为80端口），收到邮件的管理员可以在邮件中直接点击这个链接访问到我们的ASM系统。 请填入邮件中所显示的收件人地址（可以与您的登录账户名不同）。请点击Email

9、框输入需要接收提醒邮件的收件人地址；图 5.5. 2再点击“添加”按钮将地址添加到收件人列表中。删除收件人：您可以选中收件人列表中的某个地址，再点击“删除”按钮清空收件人：您可以直接点击“清空”按钮删除所有已存在的收件人。5.5 短信提醒设置当有设备等待接入审核或者IP/MAC变动或者空间不足时，我们可以设置发送短信提醒管理员。操作步骤为“系统设置”模块 “短信提醒设置”选项，进入如下界面：图 5.6. 1配置好短信引擎地址，管理员手机号码，以及需要发送短信的情形，点击保存配置后，当有发生需要发送短信的状况时，管理员就会收到提醒短信。5.6 部门管理根据您单位目前管理的部门，ASM上也需要设置

10、相应的部门规划。这样在入网设备注册时（入网设备注册的详细过程请参考新设备注册检查）可以就选择归属的部门，方便您及时准确地对设备进行定位和管理。请确保您已经填写好了您的单位名称（关于公司或单位名称的填写请参考系统基本设置），此时单位名称会显示在所有部门的最顶层。操作步骤为“注册与认证”模块 “部门管理”选项，如图所示：图 5.8. 1您只需点击“添加部门”按钮进行新部门编辑即可。图 5.8. 2请输入新部门名称。ASM支持多部门多级管理，当您第一次添加部门时，上级部门为公司名称；当有多个部门时，您可以在“上级部门”一栏选择其中一个作为新部门的直接上级。保存后，部门列表将显示在界面的右方。图 5.

11、8. 3通过点击相应的操作名称，您可以对已有的部门进行排序、编辑和删除的操作5.7 注册与认证在设备接入网络之前，如果您是第一次接入网络，就需要先进行注册，然后进行身份认证。只有身份认证通过的设备才能进一步的对设备进行安全检查，确保您的设备是规范入网的。请选择“注册与认证”模块，在界面的左边会出现注册与认证部分的导航栏“认证管理”与“身份认证参数设置”， 15.7.1 安全域配置在配置用户角色之前可以先配置好安全域，以便在角色配置时可以准确地分配检查通过和不通过时分别可以访问的域。配置安全域的界面如图所示：图 5.10.1. 125.7.1 认证角色管理用户角色是对用户身份的一种归类。例如归类

12、于来宾角色的用户，系统将不对其进行安检。您可以自己新建一个特有的角色，新建界面如图所示：图 5.10.2. 1如上图所示，您可以根据自己的需求，设置角色是否需要安检，安检周期，安检时引用的规范以及安检后可以访问的域。如果您启用了检查时安装入网小助手，那么我们会在您进行安检时安装入网小助手，并且根据您输入的名字进行命名。安装入网小助手之后，每次开机时，小助手会自动为您进行安全检查。为了达到更准确的检查结果，您可以配置小助手的二次检查，选择检查时间间隔。当第一次安检完成后，等待您配置的间隔时间小助手即进行第二次安检。如果您不想打扰到被管理人员的正常工作，我们小助手为您提供了免打扰模式。在小助手配置

13、中，您可以开启免打扰模式，开启后，客户机的小助手不会出现任何提示和对话框。如果您在卸载小助手的时候想让设备信息同时被删除，您可以启用“卸载小助手是否删除该设备信息”，那样当您手动卸载小助手后，您的设备信息也会被删除。15.7.1 用户管理用户是对使用设备身份的管理方式。您可以建立用户，使其归类于某个角色，当身份认证通过后，就可以进行安检，然后入网。用户管理界面如下图所示：图 5.10.3. 1点击“添加用户”按钮，进入新建用户界面，如下图所示：图 5.10.3. 2输入认证用户名、密码、确认密码，并根据需求选择用户的角色、类型和部门后，保存用户即可。用户还可以和设备进行绑定，如果该用户绑定了一

14、台设备，则该用户就只能在绑定的这台设备上进行认证，不能在其他设备上进行认证；您可以勾选需要绑定的用户，点击“绑定设备”按钮，选择绑定设备方式，确定即可。我们为您提供了两种绑定方式：绑定到用户最后认证的设备和绑定到指定设备。如果您选择了绑定到最后认证的设备，系统自动为您绑定到您最后认证的设备；如果您选择了绑定到指定设备，那么您可以选择您想绑定的设备。当您配置完成后，用户管理界面的是否启用绑定设备和绑定的设备会显示您所设置绑定的设备。界面如图所示：图 5.10.3. 3如果您希望被绑定的用户可以在所有的设备上进行认证，那么您可以勾选该用户，通过点击“取消绑定设备”按钮取消该用户的绑定即可。25.7

15、.1 来宾认证参数如果您有来宾需要接入网络，那么您可以设置您的来宾在入网时是否需要验证身份，是否需要临时上网码。认证参数的设置如下图所示：图 5.10.4. 1当您启用来宾认证时，来宾用户入网前必须要先经过认证，认证通过后的安检设置将根据来宾角色配置进行安全检查。如果您选择需要临时上网码，那么您的来宾入网认证时就需要向他所访问的人申请一个临时上网码以便入网。临时上网码可以使用小助手申请，也可以通过检查页面来申请。使用小助手申请上网码：在已经安装小助手的客户机上右击小助手选择“申请来宾上网码”系统分配临时上网码；界面如下图所示：图 5.10.4. 2您也可以使用检查页面获取上网码：员工角色的客户

16、机检查完成后，在结果界面上点击“申请来宾上网码”，如下图所示：图 5.10.4. 3 获取到的临时上网码将在来宾用户认证接入网络时使用。35.7.1 全局参数设置对于身份认证，您可以选择不认证，如果您选择认证的话，我们的系统为您提供了四种认证方式：用户名密码认证、UKey身份认证、短信认证、Email认证。我们在全局参数设置中为您提供一系列关于认证和安检的全局参数，您可以根据自己的需求进行设置。全局认证参数设置如下图所示：图 5.10.7. 1您可以根据不同的情况设置各个选项； 如果您开启了无控件快速认证时，当新设备接入网络时不需要安装控件并且也不需要注册，只要输入正确的用户名和密码就能进行安

17、检。该功能只在MVG、DHCP、策略路由以及透明网桥这几种准入技术下才有效； 如果您开启了允许通过手机进行身份认证，当手机通过无线接入您的网络时可以开启安检界面，通过认证接入网络；如果您设置检查后显示安检得分，那么在安检完成后检查结果页面会显示安全得分；如果您设置检查后启动自动修复，那么安检完成后如果有检查项不通过则会根据管理员的配置进行自动修复；如果您设置客户端检查页面风格，则打开安检页面后，页面会显示设置的风格；如果您设置了认证前提示用户选择身份类型，当您打开安检页面需要先选择身份类型才会进入身份认证页面；如果您设置为不提示，当您打开安检页面不需要选择身份类型直接跳转到身份认证页面；如果您

18、设置用户身份选择显示为图片，则您打开安检页面显示的为默认的我是来宾和我是员工按钮；如果您设置显示文字，则可以在弹出的输入框中设置我是员工和我是来宾替换为您想要显示的文字，不能超过6个字；如果您设置管理后台访问方式为安全模式，则您打开管理平台必须是以https的形式打开页面；如果您设置管理后台访问方式普通模式，则您打开管理平台页面可以为普通的http模式打开；如果您选择控件安装方式为自动在线安装，则当客户机安装了.net时首次接入网络是不需要自己手动下载控件安装的；如果您选择手动下载安装，则您首次接入网络如果您设置为安检前需要进行身份认证，并且设置需要认证的IP段，当您打开安检页面进行安检时，客

19、户机IP在需要认证的IP范围内则需要进行用户身份验证；如果您设置为安检前不需要进行身份认证，那么您进行安检时进入身份认证页面不需要手动去输入信息我们系统默认给您通过；如果您开启了桌面安全管理系统联动，那么我们在进行安全检查之前会先检查是否安装了桌面安全管理软件，如果没有安装的话，我们会根据您配置的地址去访问安装桌面安全管理软件。关于自动修复功能，我们提供了一些不需要用户交互的检查项的自动修复。当您开启桌面安全管理联动时，ASM的模块会增加一个桌面安全管理，如下图所示：图 5.10.7. 2 客户端检查页面可更换风格，系统默认风格为经典蓝，其他可切换风格为国旗红和安全绿；45.7.1 注册参数配

20、置关于注册时需要进行的一些操作，您可以在注册参数中进行设置，设置界面如下图所示：图 5.10.8. 1新接入网络的设备注册有2种方式，分别为用户手动输入信息进行注册和系统自动进行注册。当选择用户手动输入信息进行注册时，可选择设备注册后是否需要审核以及设备基本信息、所在部门、使用者、电话号码、物理地址、接入原因和入网协议的必填、选择或者隐藏的功能设置。当电话号码选择为必填时，客户机注册时必须填写电话号码； 当选择系统自动进行注册时，新接入网络的设备无需填写注册信息；55.7.1 认证参数配置注册完成之后的客户机，必须要进行身份认证通过后才能安检，接入网络。那么安检时需要进行哪些操作呢？我们可以在

21、认证参数配置中进行配置，界面如下图所示：图 5.10.9. 1认证方式的选择，您在这边选择某些认证方式，客户机在身份认证时就显示您所选的认证方式。 如果你选择了身份认证成功后设备优先拥有用户认证角色的网络访问权限，那么在认证成功后，设备的网络访问权限是根据您认证的用户的权限来限制网络访问的。否则就会根据设备的角色来限制网络访问。 如果您选择启用用户同一时刻只允许在一台设备上使用，那么您在一台设备上认证时使用的用户名和密码，如果在另外一台设备上也使用了此用户名和密码，那么前一台的认证将会被后一台挤下去，断开网络。65.7.1 用户名密码认证为了方便您进行用户名密码方式认证，我们为您提供了五种认证

22、服务器，您可以根据自己的需求进行设定，界面如下图所示：图 . 1如果您选择的是本地服务器，那么您在认证时输入的用户名和密码必须是存在于我们的系统里的。如果您选择的是其他两个服务器，那么您认证时输入的用户名和密码必须存在于这两个服务器里。第三方web服务器需要通过url配置，链接到第三方服务器配合认证。关于LDAP服务器配置和AD域的设置我们将在下面进行详细说明。75.7.1 UKey认证如果您需要使用UKey进行身份认证，那么您需要在这里进行配置，界面如下图所示：您可以根据自己的情况配置UKey认证的认证方式，多少时间会断网。当您选择的是根证书认证时，您必须导入您的根证书到我们的ASM系统。如

23、果您选择的是其他的服务器，那么您可以根据自己配置的服务器在界面上进行配置。配置完拔掉UKey的最大时间，当您拔掉UKey后，超过限制的时间，您的设备将会断网。85.7.1 手机短信认证如果您需要使用短信进行认证，那么您需要在这里进行短信认证参数配置，您可以根据自己的需求配置短信发送的服务器，可以增加、删除或者编辑短信认证的原因。 当您配置好短信认证参数，您还需要去设备列表信息中查看您的设备信息中的联系电话是否填写正确。如果未填写，是不能成功使用手机进行认证的。95.7.1 Email认证在进行身份认证时，如果您使用的是Email认证，那这里的配置就至关重要了，您在这里配置好SMTP服务器地址和

24、端口之后，只有使用这个服务器和端口的邮箱才能够通过身份认证。Email认证参数配置页面如下图所示：105.7.1 LDAP服务器配置LDAP服务器是用户名和密码认证时使用的一个服务器，您可以自己建立一个LDAP服务器，然后把LDAP服务器的信息配置在我们的系统上，您就可以根据LDAP服务器上设置的用户名和密码进行身份认证了。配置界面如下图：在配置界面中，我们为您提供了一些简单的例子，您可以根据自己所配置的LDAP服务器，参照我们提供的例子在界面上进行配置。输入配置信息后，您可以点击“测试”按钮来查看您配置的信息是否正确。115.7.1 AD域认证参数设置AD域也是一个用户名和密码认证时使用服务

25、器，配置界面如下图： 将您预先配置的域服务器的IP地址和域名的信息输入，选择是否启用单点登录。当您的设备是登录在您所配置的域中时，如果您选择启用单点登录，设备认证时无需输入用户名和密码即可认证通过；如果您选择关闭单点登录，设备认证时就需要输入用户名和密码来进行认证。若开启了AD域单点登录，则设备认证检查时，会自动去AD域服务器上验证是否存在该AD域用户；若开启了AD域单点登录且启用同步域中的使用人到设备使用人时，设备检查后，设备使用人就是域的登录用户；若关闭单点登录，启用同步域中使用人到设备使用人，设备检查后，认证输入的域用户被同步到设备使用人。125.7.1 身份认证记录 系统为您提供了身份

26、认证记录统计功能，当客户机进行身份认证后，在这里会显示设备的认证记录。包括设备认证的用户、认证角色、认证方式、认证时间、设备的名称、设备的IP以及认证原因。系统还为您提供了一些条件查询功能，您可以根据自己的需求在界面上输入查询条件，点击“查询”按钮进行查询。135.7.1 动态验证码获取记录当您使用手机短信认证后，在动态验证码获取记录页面会产生一条验证记录，可以记录客户机使用手机认证的手机号码和验证码，在使用有效期内您可以使用这个验证码进行再次认证；使用期限需要您手动设置过期时间间隔。界面如图.1所示：5.8 配置入网规范在掌控了入网设备的身份后，您还需要配置符合您单位入网安全性的一系列规范。

27、只有设备的身份和安全性同时在您的掌握和控制范围之内，才能确保您的网络是可控和符合安全性要求的。请选择“入网规范管理”模块，在界面的左部上方出现“规范制定”栏，如图所示：图 5.11. 15.8.1 标准行业入网规范库ASM系统已经为您提供了各行业的入网规范标准，这是我们广泛参考大量行业案例制定出的推荐标准。您可以直接应用该标准规范以迅速获知您的网络在标准要求下的安全状况。如图所示图 5.11.1. 1点击“标准行业入网规范库”后出现如图所示界面：图 5.11.1. 2这里是我们的一个实例截图，您可以找到自身所属的行业，直接点击规范的名称即可查看行业入网规范的配置。5.8.2 自定义规范当然，您

28、也可以根据自身的网络状况制定完全个性化的网络规范方案。图 5.11.2. 1点击“检查规范列表”后，出现如下界面：图 5.11.2. 2点击“新建规范”后，出现如下界面：图 5.11.2. 3我们提供了多种检查项供您选择。当您需要启用相应的检查项时，请先勾选对应的“启用”框。图 5.11.2. 4在检查项的旁边可以点击“配置”链接进入具体的参数页面。如果您勾选了“设为关键检查项”选项框，则此项检查未通过时设备将被即时隔离出网络。（关于设备安全检查的具体过程请参照新设备注册检查）请最后设置修复期限选项，如图所示：图 5.11.2. 5选择第一个单选框，可以设定非关键项未通过的修复时间，默认为7天

29、。修复时间是为了提供给入网设备一个适应规范的缓冲期，设备可以在这段时间内正常访问网络以做出修复操作。当修复期限到期而设备依然未修复完成则将被隔离出网络。我们不建议您选择第二个单选框，这样将失去对不合规设备的控制。在“帮助说明”中再次声明了关键项未通过设备将直接被隔离出网络，不提供修复期。请确保只有对您网络造成重大威胁的检查项才设置为关键检查项。检查项参数说明：a） 杀毒软件检查图 5.11.2. 6我们提供了对目前市面上所有主流杀毒软件的支持，您可以选择您所要求安装的杀毒软件名称，杀毒软件版本号，病毒库版本号，及是否正在运行的多项检查参数；当您选择了多项杀毒软件时，设备只要符合您所列出的其中一种杀毒软件中所有