1、ASM系統(tǒng)操作手冊ASM盈高入網(wǎng)規(guī)范管理系統(tǒng) INFOGO Access Standard Management System操作手冊Version 5。2.3035 版權(quán) 聲明：本文中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬盈高科技所有,并受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護。任何個人、機構(gòu)未經(jīng)盈高科技的書面授權(quán)許可，不得以任何方式復制或引用本文的任何片斷。 商標:盈高、INFOGO是盈高科技的注冊商標，未經(jīng)允許,不得引用。4目錄1。說明12.ASM設備外觀圖解13。登錄方式14.操作界面說明24。1首頁24。2模塊界面35.用戶首次配置35。1啟用旁路模式4

2、5.2啟用串聯(lián)模式45。3系統(tǒng)基本設置55.4郵件提醒55。5短信提醒設置65.6部門管理75.7注冊與認證85。7。1安全域配置85。7。1認證角色管理95.7.1用戶管理105。7。1來賓認證參數(shù)125.7。1全局參數(shù)設置135。7。1注冊參數(shù)配置145.7。1認證參數(shù)配置155.7。1用戶名密碼認證165.7。1UKey認證165。7。1手機短信認證175。7。1Email認證175。7。1LDAP服務器配置175。7.1AD域認證參數(shù)設置185。7。1身份認證記錄195。7.1動態(tài)驗證碼獲取記錄195.8配置入網(wǎng)規(guī)范195。8。1標準行業(yè)入網(wǎng)規(guī)范庫205.8。2自定義規(guī)范205.8。3

3、高級屬性245.9配置網(wǎng)絡聯(lián)動控制245。9。1EOU認證技術(shù)設置255。9.2PORTAL認證技術(shù)設置285.9.3透明網(wǎng)橋設置305.9.4策略路由設置335.9.5MVG網(wǎng)關(guān)設置365。10配置雙機熱備396。用戶日常使用406.1新設備注冊檢查406。2審核接入設備456.3設備管理456。4。1.添加可信設備466。4.2.取消可信設備466。4.3。設備安裝軟件信息476。4隔離設備476.5設備和用戶綁定486.6立刻認證安檢516。7信息導入526.8IP地址池526。9IP/MAC綁定536。10。1。添加IP/MAC綁定536.10.2.導入IP/MAC綁定546.10IP

4、/MAC全局配置556。11查看系統(tǒng)數(shù)據(jù)及報表566.12。1.設備信息查詢566。12。2.補丁管理查詢576。12.3。統(tǒng)計報表查詢586。12。4。未關(guān)機統(tǒng)計626.12上下網(wǎng)審計636.13級聯(lián)管理636。14功能地圖656.15報警中心656.16其他666.17.1。數(shù)據(jù)備份666。17.2。系統(tǒng)更新676。17。3.上傳軟件管理686。17。4.設備狀態(tài)管理686.17。5.系統(tǒng)調(diào)試日志列表696.17。6.Excel報表導出696。17。7。強制認證推送706。17.8。終端故障分析716。17。9.數(shù)據(jù)導入716.17過期設備清除記錄726.18系統(tǒng)用戶727。終端小助手功能

5、747.1安檢用戶切換747。2修改認證用戶密碼75杭州盈高科技有限公司1. 說明ASM基于最先進的第三代準入控制技術(shù)，無需改變您的網(wǎng)絡，無需安裝客戶端，具有簡便的操作性、高度智能化的修復方式及對于各種復雜網(wǎng)絡的強適應性。我們?yōu)槟朴喠艘幌盗杏行Э煽康木W(wǎng)絡合規(guī)性要求，從而實現(xiàn)“違規(guī)不入網(wǎng)，入網(wǎng)必合規(guī)”的管理規(guī)范，充分滿足等保對于網(wǎng)絡邊界及主機保護的要求為了能幫助您迅速部署ASM并體驗ASM的強大功能，請參照本手冊進行相關(guān)操作。祝您使用愉快！2. ASM設備外觀圖解eth1：管理端口（HA心跳口），具有固定地址91eth0： 非可信接口port，串聯(lián)模式使用，接內(nèi)部受控

6、網(wǎng)絡圖 2。1eth2: 旁路接口Outofband port,旁路模式使用,使用時需要您分配一個IP地址eth3: 可信接口trusted port，串聯(lián)模式使用，接外部不受控網(wǎng)絡 Console口3. 登錄方式我們提供web登錄的方式對ASM平臺進行相關(guān)的配置。l 如果您是與eth1口直連,那么請在瀏覽器地址欄中輸入http:/191。191。191.191/admin 。l 如果ASM設備采用旁路方式接入您的網(wǎng)絡,請預先為eth2口分配一個網(wǎng)絡中可以使用的IP地址（配置方法參考啟用旁路模式）,確保您能ping通eth2口,在瀏覽器地址欄中輸入 http:/ eth2口IP地址/admin

7、.登錄界面如下所示：圖 3。1ASM設備初始登錄用戶名：admin ,密碼：888888 。4. 操作界面說明4.1 首頁初次登錄，首頁界面如圖所示：圖 4。1。 Error! Bookmark not defined.ASM的模塊，包括“注冊與認證”、“入網(wǎng)規(guī)范管理”，“統(tǒng)計報表”、“報警中心”、“網(wǎng)絡聯(lián)動控制”、“內(nèi)網(wǎng)邊界管理”、“網(wǎng)絡審計疏導”、“系統(tǒng)設置"共8個模塊。如圖所示：圖 4.1。 1版本信息是您購買的ASM設備的型號及各項版本號.如圖所示：圖 4。1。 1請確保所顯示的型號與供貨合同相符。我們對引擎、行業(yè)庫及補丁庫會及時做出更新,敬請隨時關(guān)注我們的網(wǎng)站,以便使用我們

8、為您提供的最新服務。4.2 模塊界面當您點擊任何一個模塊后，會進入類似圖4。2。1所示的模塊界面：圖 4.2。 1點擊各個“選項"后可以進行更為詳細的設置。5. 用戶首次配置如果您是第一次登錄ASM系統(tǒng)(登錄方式請參考登錄方式），為了方便今后的工作，我們建議您先進行一些初始化配置。5.1 啟用旁路模式如果ASM是采用串聯(lián)方式接入您的網(wǎng)絡,請?zhí)^此步驟,直接進入啟用串聯(lián)網(wǎng)絡。當ASM采用旁路方式接入您的網(wǎng)絡時,必須為執(zhí)行接入的eth2口分配一個網(wǎng)絡中可用的IP地址.操作步驟為“系統(tǒng)設置”模塊 “網(wǎng)絡參數(shù)設置”選項，進入如下界面：圖 5.1. Error! Bookmark not de

9、fined.1、 勾選ETH2的啟用框；2、 為ETH2配置一個您網(wǎng)絡中可用的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)。3、 點擊“完成配置”。在ASM系統(tǒng)已經(jīng)通過eth2口接入您網(wǎng)絡的情況下，遠程ping eth2口的IP地址。如果無法ping通，請聯(lián)系我們的技術(shù)工程師。5.2 啟用串聯(lián)模式如果ASM系統(tǒng)是采用旁路方式接入您的網(wǎng)絡，請?zhí)^此步驟，進入系統(tǒng)基本設置。請將ASM的eth0口與您需要進行準入控制的內(nèi)部網(wǎng)絡相連，將 eth3口與您的外部網(wǎng)絡相連.具體連接方式可能需要依據(jù)您的網(wǎng)絡拓撲而定，您可以預先咨詢我們的技術(shù)工程師.操作步驟為“系統(tǒng)設置”模塊 “網(wǎng)絡參數(shù)設置”選項，進入如下界面:圖 5。2. 11

10、、 勾選ETH0、ETH1 的啟用框。2、 點擊“完成配置”。注：關(guān)于串聯(lián)接入的具體參數(shù)設置，請參透明網(wǎng)橋設置.5.3 系統(tǒng)基本設置為了讓ASM更好地融入您的網(wǎng)絡，請先將您的用戶信息寫入ASM的界面中。在您下次登錄時，將看到采用您單位相關(guān)信息的界面。操作步驟為 “系統(tǒng)設置”模塊 “系統(tǒng)基本設置”選項，進入如下界面:圖 5.3。 15.4 郵件提醒我們?yōu)槟峁┝水斝略O備入網(wǎng)時自動發(fā)送郵件進行提醒的功能。當然，如果您不需要郵件提醒，也可以跳過此步驟，不會影響設備的其他功能。操作步驟為 “系統(tǒng)設置”模塊 “郵件提醒設置”選項，進入如下界面:圖 5.5. 1l 請輸入您的郵件服務器地址，您的登錄賬戶及

11、登錄密碼。郵件將從這個郵箱發(fā)出。請?zhí)钊階SM系統(tǒng)的管理地址(如您配置好的ETH2口地址）及web登錄的端口號（默認為80端口），收到郵件的管理員可以在郵件中直接點擊這個鏈接訪問到我們的ASM系統(tǒng)。l 請?zhí)钊豚]件中所顯示的收件人地址(可以與您的登錄賬戶名不同）。請點擊Email框輸入需要接收提醒郵件的收件人地址；圖 5.5. 2再點擊“添加"按鈕將地址添加到收件人列表中.刪除收件人：您可以選中收件人列表中的某個地址,再點擊“刪除”按鈕清空收件人：您可以直接點擊“清空"按鈕刪除所有已存在的收件人。5.5 短信提醒設置當有設備等待接入審核或者IP/MAC變動或者空間不足時,我們可

12、以設置發(fā)送短信提醒管理員。操作步驟為“系統(tǒng)設置”模塊 “短信提醒設置”選項,進入如下界面:圖 5.6. 1配置好短信引擎地址,管理員手機號碼，以及需要發(fā)送短信的情形,點擊保存配置后,當有發(fā)生需要發(fā)送短信的狀況時，管理員就會收到提醒短信。5.6 部門管理根據(jù)您單位目前管理的部門,ASM上也需要設置相應的部門規(guī)劃。這樣在入網(wǎng)設備注冊時（入網(wǎng)設備注冊的詳細過程請參考新設備注冊檢查）可以就選擇歸屬的部門，方便您及時準確地對設備進行定位和管理.請確保您已經(jīng)填寫好了您的單位名稱（關(guān)于公司或單位名稱的填寫請參考系統(tǒng)基本設置），此時單位名稱會顯示在所有部門的最頂層。操作步驟為“注冊與認證”模塊 “部門管理&q

13、uot;選項，如圖所示:圖 5。8. 1您只需點擊“添加部門”按鈕進行新部門編輯即可。如圖所示：圖 5。8. 2請輸入新部門名稱。ASM支持多部門多級管理，當您第一次添加部門時，上級部門為公司名稱；當有多個部門時,您可以在“上級部門”一欄選擇其中一個作為新部門的直接上級。保存后，部門列表將顯示在界面的右方。如圖所示：圖 5。8. 3通過點擊相應的操作名稱,您可以對已有的部門進行排序、編輯和刪除的操作5.7 注冊與認證在設備接入網(wǎng)絡之前，如果您是第一次接入網(wǎng)絡,就需要先進行注冊，然后進行身份認證.只有身份認證通過的設備才能進一步的對設備進行安全檢查,確保您的設備是規(guī)范入網(wǎng)的。請選擇“注冊與認證”

14、模塊,在界面的左邊會出現(xiàn)注冊與認證部分的導航欄“認證管理"與“身份認證參數(shù)設置"， 5.7.1 安全域配置在配置用戶角色之前可以先配置好安全域，以便在角色配置時可以準確地分配檢查通過和不通過時分別可以訪問的域。配置安全域的界面如圖所示:圖 5。10。1. 15.7.1 認證角色管理用戶角色是對用戶身份的一種歸類。例如歸類于來賓角色的用戶，系統(tǒng)將不對其進行安檢。您可以自己新建一個特有的角色，新建界面如圖所示:圖 5.10。2. Error! Bookmark not defined.如上圖所示，您可以根據(jù)自己的需求，設置角色是否需要安檢，安檢周期，安檢時引用的規(guī)范以及安檢后可

15、以訪問的域。如果您啟用了檢查時安裝入網(wǎng)小助手，那么我們會在您進行安檢時安裝入網(wǎng)小助手，并且根據(jù)您輸入的名字進行命名。安裝入網(wǎng)小助手之后，每次開機時，小助手會自動為您進行安全檢查。為了達到更準確的檢查結(jié)果，您可以配置小助手的二次檢查，選擇檢查時間間隔。當?shù)谝淮伟矙z完成后,等待您配置的間隔時間小助手即進行第二次安檢.如果您不想打擾到被管理人員的正常工作，我們小助手為您提供了免打擾模式。在小助手配置中，您可以開啟免打擾模式,開啟后，客戶機的小助手不會出現(xiàn)任何提示和對話框。如果您在卸載小助手的時候想讓設備信息同時被刪除,您可以啟用“卸載小助手是否刪除該設備信息",那樣當您手動卸載小助手后，您

16、的設備信息也會被刪除.5.7.1 用戶管理用戶是對使用設備身份的管理方式。您可以建立用戶，使其歸類于某個角色，當身份認證通過后，就可以進行安檢,然后入網(wǎng).用戶管理界面如下圖所示:圖 5。10.3。 Error! Bookmark not defined.點擊“添加用戶"按鈕，進入新建用戶界面，如下圖所示:圖 5.10。3. 1輸入認證用戶名、密碼、確認密碼，并根據(jù)需求選擇用戶的角色、類型和部門后，保存用戶即可。用戶還可以和設備進行綁定，如果該用戶綁定了一臺設備,則該用戶就只能在綁定的這臺設備上進行認證，不能在其他設備上進行認證；您可以勾選需要綁定的用戶，點擊“綁定設備”按鈕，選擇綁定

17、設備方式，確定即可.我們?yōu)槟峁┝藘煞N綁定方式:綁定到用戶最后認證的設備和綁定到指定設備.如果您選擇了綁定到最后認證的設備,系統(tǒng)自動為您綁定到您最后認證的設備；如果您選擇了綁定到指定設備,那么您可以選擇您想綁定的設備。當您配置完成后，用戶管理界面的是否啟用綁定設備和綁定的設備會顯示您所設置綁定的設備。界面如圖所示:圖 5。10.3。 1如果您希望被綁定的用戶可以在所有的設備上進行認證，那么您可以勾選該用戶，通過點擊“取消綁定設備”按鈕取消該用戶的綁定即可。5.7.1 來賓認證參數(shù)如果您有來賓需要接入網(wǎng)絡，那么您可以設置您的來賓在入網(wǎng)時是否需要驗證身份,是否需要臨時上網(wǎng)碼。認證參數(shù)的設置如下圖所

18、示:圖 5.10.4. 1當您啟用來賓認證時，來賓用戶入網(wǎng)前必須要先經(jīng)過認證,認證通過后的安檢設置將根據(jù)來賓角色配置進行安全檢查。如果您選擇需要臨時上網(wǎng)碼,那么您的來賓入網(wǎng)認證時就需要向他所訪問的人申請一個臨時上網(wǎng)碼以便入網(wǎng)。臨時上網(wǎng)碼可以使用小助手申請,也可以通過檢查頁面來申請。使用小助手申請上網(wǎng)碼：在已經(jīng)安裝小助手的客戶機上右擊小助手à選擇“申請來賓上網(wǎng)碼"à系統(tǒng)分配臨時上網(wǎng)碼;界面如下圖所示:圖 5。10。4。 Error! Bookmark not defined.您也可以使用檢查頁面獲取上網(wǎng)碼：員工角色的客戶機檢查完成后,在結(jié)果界面上點擊“申請來賓上網(wǎng)碼

19、”,如下圖所示：圖 5.10。4. Error! Bookmark not defined.獲取到的臨時上網(wǎng)碼將在來賓用戶認證接入網(wǎng)絡時使用.5.7.1 全局參數(shù)設置對于身份認證，您可以選擇不認證，如果您選擇認證的話，我們的系統(tǒng)為您提供了四種認證方式：用戶名密碼認證、UKey身份認證、短信認證、Email認證。我們在全局參數(shù)設置中為您提供一系列關(guān)于認證和安檢的全局參數(shù)，您可以根據(jù)自己的需求進行設置.全局認證參數(shù)設置如下圖所示：圖 5。10.7. 1您可以根據(jù)不同的情況設置各個選項； 如果您開啟了無控件快速認證時，當新設備接入網(wǎng)絡時不需要安裝控件并且也不需要注冊,只要輸入正確的用戶名和密碼就能進

20、行安檢.該功能只在MVG、DHCP、策略路由以及透明網(wǎng)橋這幾種準入技術(shù)下才有效；如果您開啟了允許通過手機進行身份認證,當手機通過無線接入您的網(wǎng)絡時可以開啟安檢界面，通過認證接入網(wǎng)絡；如果您設置檢查后顯示安檢得分,那么在安檢完成后檢查結(jié)果頁面會顯示安全得分;如果您設置檢查后啟動自動修復，那么安檢完成后如果有檢查項不通過則會根據(jù)管理員的配置進行自動修復;如果您設置客戶端檢查頁面風格，則打開安檢頁面后，頁面會顯示設置的風格；如果您設置了認證前提示用戶選擇身份類型，當您打開安檢頁面需要先選擇身份類型才會進入身份認證頁面；如果您設置為不提示，當您打開安檢頁面不需要選擇身份類型直接跳轉(zhuǎn)到身份認證頁面；如果

21、您設置用戶身份選擇顯示為圖片，則您打開安檢頁面顯示的為默認的我是來賓和我是員工按鈕；如果您設置顯示文字，則可以在彈出的輸入框中設置我是員工和我是來賓替換為您想要顯示的文字，不能超過6個字;如果您設置管理后臺訪問方式為安全模式，則您打開管理平臺必須是以https的形式打開頁面；如果您設置管理后臺訪問方式普通模式,則您打開管理平臺頁面可以為普通的http模式打開;如果您選擇控件安裝方式為自動在線安裝,則當客戶機安裝了.net時首次接入網(wǎng)絡是不需要自己手動下載控件安裝的;如果您選擇手動下載安裝，則您首次接入網(wǎng)絡如果您設置為安檢前需要進行身份認證，并且設置需要認證的IP段,當您打開安檢頁面進行安檢時，

22、客戶機IP在需要認證的IP范圍內(nèi)則需要進行用戶身份驗證;如果您設置為安檢前不需要進行身份認證,那么您進行安檢時進入身份認證頁面不需要手動去輸入信息我們系統(tǒng)默認給您通過;如果您開啟了桌面安全管理系統(tǒng)聯(lián)動，那么我們在進行安全檢查之前會先檢查是否安裝了桌面安全管理軟件,如果沒有安裝的話，我們會根據(jù)您配置的地址去訪問安裝桌面安全管理軟件。關(guān)于自動修復功能，我們提供了一些不需要用戶交互的檢查項的自動修復.當您開啟桌面安全管理聯(lián)動時,ASM的模塊會增加一個桌面安全管理,如下圖所示：圖 5.10。7. 2 客戶端檢查頁面可更換風格，系統(tǒng)默認風格為經(jīng)典藍，其他可切換風格為國旗紅和安全綠；5.7.1 注冊參數(shù)配

23、置關(guān)于注冊時需要進行的一些操作，您可以在注冊參數(shù)中進行設置，設置界面如下圖所示:圖 5。10。8。 Error! Bookmark not defined.新接入網(wǎng)絡的設備注冊有2種方式，分別為用戶手動輸入信息進行注冊和系統(tǒng)自動進行注冊.當選擇用戶手動輸入信息進行注冊時,可選擇設備注冊后是否需要審核以及設備基本信息、所在部門、使用者、電話號碼、物理地址、接入原因和入網(wǎng)協(xié)議的必填、選擇或者隱藏的功能設置。當電話號碼選擇為必填時,客戶機注冊時必須填寫電話號碼； 當選擇系統(tǒng)自動進行注冊時，新接入網(wǎng)絡的設備無需填寫注冊信息；5.7.1 認證參數(shù)配置注冊完成之后的客戶機，必須要進行身份認證通過后才能安檢

24、，接入網(wǎng)絡.那么安檢時需要進行哪些操作呢？我們可以在認證參數(shù)配置中進行配置，界面如下圖所示：圖 5。10。9。 1認證方式的選擇,您在這邊選擇某些認證方式，客戶機在身份認證時就顯示您所選的認證方式。如果你選擇了身份認證成功后設備優(yōu)先擁有用戶認證角色的網(wǎng)絡訪問權(quán)限，那么在認證成功后，設備的網(wǎng)絡訪問權(quán)限是根據(jù)您認證的用戶的權(quán)限來限制網(wǎng)絡訪問的。否則就會根據(jù)設備的角色來限制網(wǎng)絡訪問.如果您選擇啟用用戶同一時刻只允許在一臺設備上使用，那么您在一臺設備上認證時使用的用戶名和密碼，如果在另外一臺設備上也使用了此用戶名和密碼，那么前一臺的認證將會被后一臺擠下去，斷開網(wǎng)絡。5.7.1 用戶名密碼認證為了方便您

25、進行用戶名密碼方式認證，我們?yōu)槟峁┝宋宸N認證服務器，您可以根據(jù)自己的需求進行設定，界面如下圖所示：圖 5.10。10。 1如果您選擇的是本地服務器，那么您在認證時輸入的用戶名和密碼必須是存在于我們的系統(tǒng)里的.如果您選擇的是其他兩個服務器，那么您認證時輸入的用戶名和密碼必須存在于這兩個服務器里。第三方web服務器需要通過url配置，鏈接到第三方服務器配合認證。關(guān)于LDAP服務器配置和AD域的設置我們將在下面進行詳細說明。5.7.1 UKey認證如果您需要使用UKey進行身份認證,那么您需要在這里進行配置，界面如下圖所示：圖 5.10.11. 1您可以根據(jù)自己的情況配置UKey認證的認證方式,多

26、少時間會斷網(wǎng)。當您選擇的是根證書認證時，您必須導入您的根證書到我們的ASM系統(tǒng).如果您選擇的是其他的服務器，那么您可以根據(jù)自己配置的服務器在界面上進行配置.配置完拔掉UKey的最大時間，當您拔掉UKey后，超過限制的時間，您的設備將會斷網(wǎng).5.7.1 手機短信認證如果您需要使用短信進行認證，那么您需要在這里進行短信認證參數(shù)配置，您可以根據(jù)自己的需求配置短信發(fā)送的服務器，可以增加、刪除或者編輯短信認證的原因。界面如下圖所示：圖 5。10。12. 1 當您配置好短信認證參數(shù)，您還需要去設備列表信息中查看您的設備信息中的聯(lián)系電話是否填寫正確。如果未填寫,是不能成功使用手機進行認證的。5.7.1 Em

27、ail認證在進行身份認證時，如果您使用的是Email認證，那這里的配置就至關(guān)重要了，您在這里配置好SMTP服務器地址和端口之后，只有使用這個服務器和端口的郵箱才能夠通過身份認證。Email認證參數(shù)配置頁面如下圖所示:圖 5。10。13。 Error! Bookmark not defined.5.7.1 LDAP服務器配置LDAP服務器是用戶名和密碼認證時使用的一個服務器，您可以自己建立一個LDAP服務器，然后把LDAP服務器的信息配置在我們的系統(tǒng)上,您就可以根據(jù)LDAP服務器上設置的用戶名和密碼進行身份認證了。配置界面如下圖:圖 5。10。14. 1在配置界面中，我們?yōu)槟峁┝艘恍┖唵蔚睦?/p>

28、，您可以根據(jù)自己所配置的LDAP服務器，參照我們提供的例子在界面上進行配置。輸入配置信息后，您可以點擊“測試”按鈕來查看您配置的信息是否正確.5.7.1 AD域認證參數(shù)設置AD域也是一個用戶名和密碼認證時使用服務器,配置界面如下圖：圖 5.10。15。 Error! Bookmark not defined.將您預先配置的域服務器的IP地址和域名的信息輸入，選擇是否啟用單點登錄.當您的設備是登錄在您所配置的域中時，如果您選擇啟用單點登錄，設備認證時無需輸入用戶名和密碼即可認證通過；如果您選擇關(guān)閉單點登錄，設備認證時就需要輸入用戶名和密碼來進行認證。注:若開啟了AD域單點登錄，則設備認證檢查時,

29、會自動去AD域服務器上驗證是否存在該AD域用戶；若開啟了AD域單點登錄且啟用同步域中的使用人到設備使用人時,設備檢查后,設備使用人就是域的登錄用戶；若關(guān)閉單點登錄，啟用同步域中使用人到設備使用人，設備檢查后，認證輸入的域用戶被同步到設備使用人。5.7.1 身份認證記錄 系統(tǒng)為您提供了身份認證記錄統(tǒng)計功能,當客戶機進行身份認證后，在這里會顯示設備的認證記錄.包括設備認證的用戶、認證角色、認證方式、認證時間、設備的名稱、設備的IP以及認證原因。系統(tǒng)還為您提供了一些條件查詢功能，您可以根據(jù)自己的需求在界面上輸入查詢條件，點擊“查詢”按鈕進行查詢。界面如圖所示:圖 5.10。16。 Error! Bo

30、okmark not defined.5.7.1 動態(tài)驗證碼獲取記錄當您使用手機短信認證后，在動態(tài)驗證碼獲取記錄頁面會產(chǎn)生一條驗證記錄,可以記錄客戶機使用手機認證的手機號碼和驗證碼，在使用有效期內(nèi)您可以使用這個驗證碼進行再次認證；使用期限需要您手動設置過期時間間隔。界面如圖5。10.17.1所示：圖 5。10。17。 15.8 配置入網(wǎng)規(guī)范在掌控了入網(wǎng)設備的身份后，您還需要配置符合您單位入網(wǎng)安全性的一系列規(guī)范。只有設備的身份和安全性同時在您的掌握和控制范圍之內(nèi)，才能確保您的網(wǎng)絡是可控和符合安全性要求的。請選擇“入網(wǎng)規(guī)范管理”模塊，在界面的左部上方出現(xiàn)“規(guī)范制定”欄，如圖所示：圖 5。11. 1

31、5.8.1 標準行業(yè)入網(wǎng)規(guī)范庫ASM系統(tǒng)已經(jīng)為您提供了各行業(yè)的入網(wǎng)規(guī)范標準，這是我們廣泛參考大量行業(yè)案例制定出的推薦標準。您可以直接應用該標準規(guī)范以迅速獲知您的網(wǎng)絡在標準要求下的安全狀況。如圖所示圖 5。11.1。 Error! Bookmark not defined.點擊“標準行業(yè)入網(wǎng)規(guī)范庫”后出現(xiàn)如圖所示界面：圖 5。11.1。 1這里是我們的一個實例截圖，您可以找到自身所屬的行業(yè)，直接點擊規(guī)范的名稱即可查看行業(yè)入網(wǎng)規(guī)范的配置。5.8.2 自定義規(guī)范當然，您也可以根據(jù)自身的網(wǎng)絡狀況制定完全個性化的網(wǎng)絡規(guī)范方案.如圖所示圖 5.11。2. Error! Bookmark not defin

32、ed.點擊“檢查規(guī)范列表”后,出現(xiàn)如下界面：圖 5。11.2。 Error! Bookmark not defined.點擊“新建規(guī)范"后，出現(xiàn)如下界面：圖 5.11。2. 1我們提供了多種檢查項供您選擇。當您需要啟用相應的檢查項時，請先勾選對應的“啟用"框。圖 5。11。2。 Error! Bookmark not defined.在檢查項的旁邊可以點擊“配置"鏈接進入具體的參數(shù)頁面.如果您勾選了“設為關(guān)鍵檢查項”選項框,則此項檢查未通過時設備將被即時隔離出網(wǎng)絡。（關(guān)于設備安全檢查的具體過程請參照新設備注冊檢查）請最后設置修復期限選項，如圖所示:圖 5。11.2

33、。 Error! Bookmark not defined.選擇第一個單選框,可以設定非關(guān)鍵項未通過的修復時間，默認為7天。修復時間是為了提供給入網(wǎng)設備一個適應規(guī)范的緩沖期，設備可以在這段時間內(nèi)正常訪問網(wǎng)絡以做出修復操作。當修復期限到期而設備依然未修復完成則將被隔離出網(wǎng)絡。我們不建議您選擇第二個單選框，這樣將失去對不合規(guī)設備的控制。在“幫助說明”中再次聲明了關(guān)鍵項未通過設備將直接被隔離出網(wǎng)絡，不提供修復期.請確保只有對您網(wǎng)絡造成重大威脅的檢查項才設置為關(guān)鍵檢查項。檢查項參數(shù)說明：a) 殺毒軟件檢查圖 5。11.2. 1我們提供了對目前市面上所有主流殺毒軟件的支持，您可以選擇您所要求安裝的殺毒軟

34、件名稱，殺毒軟件版本號，病毒庫版本號，及是否正在運行的多項檢查參數(shù)；當您選擇了多項殺毒軟件時,設備只要符合您所列出的其中一種殺毒軟件中所有的參數(shù)即可通過檢查。當設備未能通過殺毒軟件檢查時，為了方便入網(wǎng)用戶及時快捷地進行自動修復，我們在ASM上提供了相應的修復選項。 如果您的網(wǎng)絡中有殺毒軟件服務器或提供修復的地址，請?zhí)钊胂鄳逆溄拥刂?。（關(guān)于不對網(wǎng)絡設備及服務器進行控制的操作，請參考可信設備管理)您也可以上傳安裝包或病毒庫升級包,這樣用戶可以直接從檢查頁面上下載程序進行修復。（殺毒軟件檢查未通過后的自我修復具體請參考新設備注冊檢查）當設備的殺毒軟件版本或者病毒庫版本不符合時，為了方便入網(wǎng)用戶及時

35、快捷地進行自動修復，我們在該殺毒軟件后面提供了相應的修復配置， b) IP/MAC綁定檢查圖 5。11。2。 Error! Bookmark not defined.在檢查項中添加或?qū)隝P/MAC綁定列表，當您管理的計算機試圖改變IP或者MAC時，系統(tǒng)就判斷為此檢查項不通過。c) 補丁檢查圖 5。11.2. Error! Bookmark not defined.我們的補丁系統(tǒng)已經(jīng)為您定義好了“嚴重"、“重要"和“中等"三個級別的補丁，您可以選擇相應必須安裝的類型。為了適應您獨特的網(wǎng)絡環(huán)境，我們還提供了例外補丁配置。點擊“添加”按鈕后，您可以根據(jù)ASM中的補丁列

36、表自定義您額外需要安裝的補丁或額外不需要安裝的補丁。5.8.3 高級屬性我們?yōu)槟峁┝藱z查規(guī)范的高級屬性：共享或者私有.如果您選擇的是共享規(guī)范，那么其他操作員也可以對您建的規(guī)范進行查看和修改。如果您選擇的是私有規(guī)范，那么其他操作員對您建的規(guī)范只有查看的權(quán)限。圖 5.11。3。 15.9 配置網(wǎng)絡聯(lián)動控制當配置好以上各項后,您還需要配置網(wǎng)絡聯(lián)動控制才能真正實現(xiàn)準入控制。ASM系統(tǒng)支持與多種網(wǎng)絡設備進行聯(lián)動，完全以界面化的形式啟用及配置各種接入認證.進入“網(wǎng)絡聯(lián)動控制"模塊如下界面：圖 5.12。 1您可以根據(jù)當前網(wǎng)絡環(huán)境，任意選擇一種認證技術(shù)進行配置。當您開啟某一個準入技術(shù)時，我們的系

37、統(tǒng)將會在頁面上的技術(shù)導航欄里進行醒目的提示，如下圖：圖 5.12。 Error! Bookmark not defined.注：透明網(wǎng)橋、策略路由和VG虛擬網(wǎng)關(guān)一次只能啟用一個。5.9.1 EOU認證技術(shù)設置如果您的接入交換機是CISCO的35系列交換機，那么您可以在接入層就可以利用EOU認證技術(shù)進行非常細致安全的準入控制，可以充分利用CISCO交換機的特性來進行安全準入的操作。操作步驟：a) 基本參數(shù)設置圖 5.12.1。 11、 配置重定向URL地址:http:/eth2口IP地址.2、 配置重定向的交換機ACL名稱:AsmEouUrlAcl.3、 當您在開啟EOU認證技術(shù)后又希望放開所有

38、設備，則可“啟用緊急模式”。4、 其余配置項使用默認配置即可.5、 點擊“完成配置”。b) EOU全局參數(shù)設置圖 5.12.1. Error! Bookmark not defined.1、 配置主認證服務器地址：主ASM設備eth2口IP地址(若您有兩臺ASM設備,則配置備認證服務器地址:備ASM設備eth2口IP地址）。2、 配置隔離服務器：若您希望設備被隔離后仍然可以訪問指定的服務器，則可以在“IP地址”處填寫該服務器的IP地址,然后選擇“添加"按鈕。3、 同樣,您也可以選中希望設備被隔離后不可以訪問指定的服務器，然后選擇“刪除"按鈕或者選擇“清空”按鈕，進行刪除或清

39、空。4、 點擊“完成配置”.c) EOU交換機管理當您配置好EOU基本參數(shù)和全局參數(shù)后,才能開始配置EOU交換機管理.進入“EOU認證技術(shù)設置"欄，選擇“EOU交換機管理”，如下界面所示：圖 5.12.1. 11、 添加交換機:選擇“添加交換機”按鈕進入如下界面: 圖 5.12。1. Error! Bookmark not defined.2、 填寫完各參數(shù)配置選擇“完成配置”后出現(xiàn)如下界面:圖 5.12。1。 13、 配置交換機:選中添加的交換機后選擇“配置交換機”按鈕進入如下界面：圖 5。12。1。 Error! Bookmark not defined.4、 選中要在交換機上開

40、啟EOU認證技術(shù)的端口，然后選擇“生效EOU配置”。（至此，EOU認證技術(shù)已配置完成.）5.9.2 PORTAL認證技術(shù)設置如果您的網(wǎng)絡路由器支持PORTAL功能,例如H3C的MSR20系列或更高級別的路由器，那么您就可以使用該功能。操作步驟：a) 基本參數(shù)設置圖 5。12.2。 Error! Bookmark not defined.1、 配置重定向URL地址：http:/eth2口IP地址。2、 配置認證服務器地址:ASM設備eth2口IP地址。3、 配置免認證服務器:若你希望將指定的設備不進行portal認證，則可以在“IP地址："、“掩碼"處填寫該設備的IP地址和掩

41、碼(IP地址段可通過掩碼來控制），然后選擇“添加”按鈕。4、 同樣,您也可以選擇“刪除”或“清空”按鈕，從列表中刪除或清空免認證的設備。5、 點擊“完成配置".b) PORTAL路由器管理當您配置好PORTAL基本參數(shù)后，才能開始配置EOU交換機管理.進入“PORTAL認證技術(shù)設置"欄,選擇“PORTAL路由器管理”，如下界面所示：圖 5.12。2. Error! Bookmark not defined.1、 添加路由器：選擇“添加路由器”按鈕進入如下界面：圖 5。12.2. Error! Bookmark not defined.2、 填寫完各參數(shù)配置選擇“完成配置&q

42、uot;后出現(xiàn)如下界面：圖 5。12.2. Error! Bookmark not defined.3、 配置路由器:選中添加的路由器后選擇“配置路由器”按鈕進入如下界面：圖 5。12.2。 Error! Bookmark not defined.4、 選擇要在路由器上開啟PORTAL認證技術(shù)的端口,然后選擇“生效PORTAL配置”。（至此，PORTAL認證技術(shù)已配置完成。）5.9.3 透明網(wǎng)橋設置如果您只希望對部分的網(wǎng)絡進行保護，比如您只希望對服務器群進行保護，那么您可以采用透明網(wǎng)橋的技術(shù)，將透明網(wǎng)橋部署在服務器群的前面，由透明網(wǎng)橋來保護您的服務器資源。采用透明網(wǎng)橋認證技術(shù)，必須確定已啟用e

43、th0和eth1網(wǎng)卡 ,請參照啟用串聯(lián)網(wǎng)絡.操作步驟：a) 認證參數(shù)設置圖 5。12.3. Error! Bookmark not defined.1、 配置重定向URL地址:http:/eth2口IP地址.2、 當您在開啟透明網(wǎng)橋認證技術(shù)后又希望放開所有設備，則可“啟用緊急模式”.3、 設置安檢過后是否返回到重定向前訪問的界面或者重定向到指定的頁面.4、 配置采用二次轉(zhuǎn)向的IP地址。5、 點擊“完成配置”。b) 例外設備管理圖 5.12.3. 11、 配置隔離服務器：若您希望設備被隔離后仍然可以訪問指定的服務器，則可以在“開始IP”、“結(jié)束IP”處填寫該服務器的IP地址,然后選擇“添加&qu

44、ot;按鈕。同樣，選擇“刪除”按鈕進行刪除。2、 配置不管理網(wǎng)段：若你希望將指定的設備不進行入網(wǎng)控制，則可以在“開始IP：”、“結(jié)束IP"處填寫該設備的IP地址，然后選擇“添加"按鈕。同樣，選擇“刪除”按鈕進行刪除.c) 例外域名設置圖 5.12。3. 1設置例外域名后，設備被隔離后，仍然能訪問例外的域名；d) NAT網(wǎng)絡設置NAT技術(shù)不僅完美地解決了IP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡外部的攻擊，隱藏并保護網(wǎng)絡內(nèi)部的計算機。設置界面如下圖：圖 5.12。3. Error! Bookmark not defined.5.9.4 策略路由設置如果您想要求某些路由必

45、須經(jīng)過特定的路徑,那么就可以使用策略路由。策略路由聯(lián)動控制使用的網(wǎng)卡是eth0和eth2，采用策略路由認證技術(shù)，必須確定已啟用這三個網(wǎng)卡并且配置eth2口的IP地址。（網(wǎng)卡配置請參照啟用旁路網(wǎng)絡）操作步驟：a) 認證參數(shù)設置圖 5。12.4。 11、 配置重定向URL地址：http:/eth2口IP地址。2、 配置下一跳IP地址：該地址為與ASM系統(tǒng)eth0口直連的網(wǎng)絡聯(lián)動設備的IP地址。3、 配置好下一跳IP地址后點擊“獲取下一跳MAC地址”按鈕,若能網(wǎng)絡正常則網(wǎng)絡聯(lián)動設備的MAC地址將顯示于“下一條MAC地址"文本框中。4、 當您在開啟策略路由認證技術(shù)后又希望放開所有設備，則可“

46、啟用緊急模式".5、 配置采用二次轉(zhuǎn)向的IP地址.6、 設置安檢通過后是否返回指定的頁面，如果選擇啟用，并設置頁面路徑。7、 設置安檢過后是否返回到重定向前訪問的界面。8、 點擊“完成配置”.b) 例外設備管理圖 5.12。4。 Error! Bookmark not defined.1、 配置隔離服務器：若您希望設備被隔離后仍然可以訪問指定的服務器，則可以在“開始IP”、“結(jié)束IP”處填寫該服務器的IP地址,然后選擇“添加”按鈕。同樣，選擇“刪除”按鈕進行刪除.2、 配置不管理網(wǎng)段：若你希望將指定的設備不進行入網(wǎng)控制，則可以在“開始IP：”、“結(jié)束IP”處填寫該設備的IP地址，然后

47、選擇“添加”按鈕。同樣，選擇“刪除”按鈕進行刪除.c) 例外域名設置圖 5.12。4. Error! Bookmark not defined.設置例外域名后，設備被隔離后，仍然能訪問例外的域名；d) NAT網(wǎng)絡設置NAT技術(shù)不僅完美地解決了IP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡外部的攻擊，隱藏并保護網(wǎng)絡內(nèi)部的計算機。設置界面如下圖：圖 5.12.4. Error! Bookmark not defined.5.9.5 MVG網(wǎng)關(guān)設置MVG網(wǎng)關(guān)配置界面如下：a) 基本參數(shù)設置：圖5。12。8. Error! Bookmark not defined.1、 當您在開啟策略路由認證技術(shù)后

48、又希望放開所有設備，則可“啟用緊急模式”。2、 勾選日志等級;3、 配置重定向URL地址:http：/eth2口IP地址。4、 配置隔離服務器:若您希望設備被隔離后仍然可以訪問指定的服務器，則可以在“開始IP”、“結(jié)束IP”處填寫該服務器的IP地址，然后選擇“添加”按鈕.同樣,選擇“刪除"按鈕進行刪除.5、 點擊“完成配置”。b) MVG交換機管理:當您配置好MVG基本參數(shù)后，才能開始配置MVG交換機管理。進入“MVG虛擬網(wǎng)關(guān)設置”欄，選擇“MVG交換機管理”，如下界面所示：圖5.12.8. 1點擊“添加交換機"，可以配置您需要管理的交換機，界面如下圖所示:圖5。12。8。

49、 Error! Bookmark not defined.輸入您要管理的交換機的名稱、IP地址等，點擊“完成配置”成功添加交換機，添加完成后，交換機將顯示在管理列表中如圖 5。11。9。2所示。點擊交換機名稱或者選擇交換機點擊配置交換機按鈕，可以對交換機各個端口進行選擇管理，界面如下圖所示:圖5。12。8。 Error! Bookmark not defined.選擇需要管理的端口，點擊“保存配置”按鈕，即可管理所選的端口.您可以點擊管理mac列表來進行mac和端口的綁定，首先添加需要綁定的mac，如下圖：圖5。12.8。 Error! Bookmark not defined.添加完成后，勾

50、選是否綁定mac,如下圖所示:圖5.12。8. 1c) VLAN映射配置：配置完交換機管理后，您還需要對Vlan映射進行配置，保證接入設備認證前后屬于不同權(quán)限的Vlan，從而達到接入控制的目的。圖5.12.8。 Error! Bookmark not defined.d) 例外域名設置圖5.12。8。 1設置例外域名后,設備被隔離后，仍然能訪問例外的域名；e) 管理端口列表圖5。12.8. Error! Bookmark not defined.顯示交換機管理的端口信息f) 隔離端口列表圖5。12。8。 2顯示隔離端口的信息5.10 配置雙機熱備部署ASM系統(tǒng)后可保證入網(wǎng)人員的可信性及入網(wǎng)設備

51、的安全性，可減少網(wǎng)絡因攻擊性危險造成的安全隱患，但網(wǎng)絡本身還是會因系統(tǒng)的硬件性危險、數(shù)據(jù)流失、網(wǎng)絡單點故障而引起安全風險.借于此,ASM系統(tǒng)已為您提供了雙機熱備功能來保障數(shù)據(jù)完整性、網(wǎng)絡無單點故障、硬件冗余性。啟用雙機熱備功能步驟為“系統(tǒng)設置"模塊“雙機熱備管理”選項，進入如下界面：圖 5。13。 11、 配置檢測IP地址列表：該地址通常配置成ASM系統(tǒng)eth2口的網(wǎng)關(guān)IP地址。2、 主機和備機配置：先配置主機的心跳IP地址和管理IP地址，再配置備機的心跳IP地址和管理IP地址.3、 配置本機熱備心跳IP地址:配置成ASM系統(tǒng)eth1口的地址。4、 點擊“保存配置”啟用雙機熱備功能。

52、6. 用戶日常使用6.1 新設備注冊檢查1、 當您網(wǎng)絡中有新設備接入并通過瀏覽器訪問互聯(lián)網(wǎng)時，會出現(xiàn)如下界面：圖 6.1。 Error! Bookmark not defined.2、 根據(jù)您的身份選擇員工或者來賓，下面先介紹員工，點擊“我是員工”按鈕，出現(xiàn)如下界面：圖 6。1。 13、 勾選“我同意入網(wǎng)協(xié)議"進行入網(wǎng)登記，選擇部門，輸入使用者等信息,點擊下一步如下界面:圖 6。1. 14、選擇認證方式之后輸入認證信息后點擊“確定”，就可以進入檢查頁面，如下圖：圖 6.1。 Error! Bookmark not defined.5、若您已經(jīng)在首次配置時啟用了“設備注冊審核"

53、;,則點擊“下一步”后出現(xiàn)提示信息：圖 6.1。 Error! Bookmark not defined.注:設置接入設備審核請參照設置接入設備審核.6、點擊“確定"按鈕，出現(xiàn)如下界面：圖 6。1. Error! Bookmark not defined.7、此時需要等待管理員批準審核（請參照審核接入設備。）8、當管理員批準審核后，進行步驟3和步驟4；9、當安全檢查完成后，若新設備符合當前入網(wǎng)規(guī)范，則出現(xiàn)如下界面并可使用網(wǎng)絡：圖 6。1。 Error! Bookmark not defined.10、若新設備某些關(guān)鍵檢查項不符合當前入網(wǎng)規(guī)范，則需要修復存在的問題后才能使用網(wǎng)絡,如下界

54、面：圖 6.1。 Error! Bookmark not defined.注：安全檢查請參照配置入網(wǎng)規(guī)范。來賓賬戶的注冊認證及檢查：在打開檢查頁面時，選擇“我是來賓”，如果您設置了不啟用來賓認證,那么您的網(wǎng)絡就不允許有來賓訪問。當瀏覽器需要接入網(wǎng)絡時界面如下:圖 6.1. Error! Bookmark not defined.如果您設置了開啟來賓認證，但不需要臨時上網(wǎng)碼時，點擊“我是來賓"后,出現(xiàn)的界面如下圖所示:圖 6。1. Error! Bookmark not defined.如果您設置開啟來賓認證,并且需要臨時上網(wǎng)碼時，點擊“我是來賓"后,出現(xiàn)的界面如下圖所示：圖

55、 6。1。 Error! Bookmark not defined.此時您需要臨時上網(wǎng)碼，臨時上網(wǎng)碼的方法申請參見來賓認證參數(shù)設置中臨時上網(wǎng)碼的申請。6.2 審核接入設備 若您已經(jīng)在首次配置時啟用了“注冊后需要進行審核”,則有新設備接入網(wǎng)絡時需要管理員批準審核后才能接入網(wǎng)絡（請參照設置接入設備審核）.您也可以啟用“郵件提醒"功能，讓你及時了解設備接入情況（請參照郵件提醒)。操作步驟為“內(nèi)網(wǎng)邊界管理”模塊“設備注冊審核”選項，進入如下界面：圖 6。2. 11、 選中待審核的設備，然后選擇“批準審核”按鈕,出現(xiàn)如下提示：圖 6。2。 2根據(jù)接入設備的實際情況，您可以限制接入設備使用網(wǎng)絡的

56、時間：l 當您選擇“審核通過后允許永久使用網(wǎng)絡"后，點擊“批準審核”按鈕，此時通過審核的設備若管理員對其無其他操作的話將永久使用網(wǎng)絡。l 當您選擇“審核通過后超過截止日期將限制使用網(wǎng)絡”并為其設置截止日期，點擊“批準審核"按鈕，此時通過審核的設備將在截止日期后不能使用網(wǎng)絡需重新接入注冊，如下圖：圖 6。2. 16.3 設備管理若您希望對指定設備不進行安全檢查，則可將該設備添加為可信設備。同樣，也可以在可信設備列表中取消設備的可信。6.4.1. 添加可信設備操作步驟為“內(nèi)網(wǎng)邊界管理”模塊“設備列表信息”選項，進入如下界面:圖 6.4.1. Error! Bookmark not defined.關(guān)于設備列表信息，我們?yōu)槟峁┝藘煞N視圖的展示，一種是如上圖所示的列表視圖，另一種是平鋪視圖，界面如下:圖 6。4。1. 11、 在“設備名稱”列勾選要設為可信的設備。2、 選擇“設為可信”按鈕。3、 點擊“確定”按鈕執(zhí)行添加可信設備。6.4.2. 取消可信設備如果您想取消可信設備，您可以通過點擊“內(nèi)網(wǎng)邊界管