盈高 ASM6000入网规范管理系统 用户指南V5.2.6037.1642

返回 相似 举报
盈高 ASM6000入网规范管理系统 用户指南V5.2.6037.1642_第1页
第1页 / 共143页
盈高 ASM6000入网规范管理系统 用户指南V5.2.6037.1642_第2页
第2页 / 共143页
盈高 ASM6000入网规范管理系统 用户指南V5.2.6037.1642_第3页
第3页 / 共143页
盈高 ASM6000入网规范管理系统 用户指南V5.2.6037.1642_第4页
第4页 / 共143页
盈高 ASM6000入网规范管理系统 用户指南V5.2.6037.1642_第5页
第5页 / 共143页
盈高 ASM6000入网规范管理系统 用户指南V5.2.6037.1642_第6页
第6页 / 共143页
盈高 ASM6000入网规范管理系统 用户指南V5.2.6037.1642_第7页
第7页 / 共143页
盈高 ASM6000入网规范管理系统 用户指南V5.2.6037.1642_第8页
第8页 / 共143页
盈高 ASM6000入网规范管理系统 用户指南V5.2.6037.1642_第9页
第9页 / 共143页
盈高 ASM6000入网规范管理系统 用户指南V5.2.6037.1642_第10页
第10页 / 共143页
亲,该文档总共143页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述:
图 13-14 ASM 状态复位 图 13-13 编辑交换机命令 说明: 针对 DHCP 准入方式,通常在用户网络中存在 DHCP 服务器。并且在 ASM6000正常时, DHCP 服务器所在端口(如 0/0/1 端口)是 shutdown 状态。如果 ASM6000出现故障,此时应该 no shutdown该端口,使得终端能从 DHCP服务器获取 IP地址。故,此时的应急操作命令操作如下: configure termi 1. 802.1x/Portal 模式 如 ASM6000 工作在 801.1x/Portal 模式下时, ASM 监控平台需要添加需要操作的交换机。当 ASM 服务器出现故障时, ASM 监控平台将对该交换机做相应的应急操作。 图 13-11 802.1x/Portal 模式下的应急操作 2. DHCP/策略路由模式 如 ASM 服务器工作在 DHCP/策略路由模式下时,除添加交换机图 13-9开启 MVG 模式 如果 ASM 服务器为单机 当两台 ASM 都出现故障时, ASM 监控平台将自动登陆到 MVG 的对象交换机,将所有隔离 VLAN 端口切换到正常 VLAN。 如果 ASM 服务器为单机 当一台 ASM 出现故障时, ASM 监控平台将通过邮件报警。 当两台 ASM 都出现故障时, ASM 监控平台将自动登陆到 MVG 的对象交换机,将所有隔离图 13-7设置报警邮件账号 图 13-8测试邮箱设置成功 部署监控策略 13.413.4.1 MVG 模式 如 ASM6000 工作在 MVG 模式下,则需要将 ASM 监控平台 MVG 模式置于“开启”状态。 关闭防病毒软件或直接允许软件安装操作。 配置 ASM 监控平台 13.3ASM 监控平台安装完成后,会自动运行 AmcMonitorView.exe。 图 13-5 ASM 监控平台 配置需要监控的 ASM6000 IP,最多可以输入 2 台 ASM6000 IP 地址。 图 13-6配置 ASM6000 IP 配置报警邮箱账号,并测试邮箱是否可用。 图 13-2选择安装路径 点击“安装”,开始安装 ASM 监控平台。 步骤 3图 13-3安装 ASM 监控平台 点击“完成”,完成 ASM 监控平台安装。 步骤 4图 13-4安装完成 说明: 部分防病毒软件在该软件安装时会阻止或提示安装风险,请在安装时暂时 ASM 监控平台 13概述 13.1ASM 监控平台是一种通过监测 ASM 运行状态来辅助逃生的软件。该软件能正常运行的软硬件环境如下: 操作系统为 Windows XP 或者 Windows 2003 Server。 必须安装 Microsoft .Net2.0。 该计算机必须能与 ASM 设备网络互通。 部署 ASM 监控平台的注意事项: 如果 ASM6000 ASM 小助手可以工作在如下两种模式 ,其详细设置请参见 6.3.1.3 控件安装设置 。 正常模式 当工作在正常模式下时,小助手通过弹出 IE 页面进行认证、安检及修复。周期性认证及安检,正常情况下通过气泡提示,违规时将弹出 IE 页面提示认证及安检。 免打扰模式 当工作在免打扰模式下时,小助手不弹出任何 IE 页面或者气泡。小助手将通过图标( / / ) 显示当前认证安检状态。 ASM 小助手 12ASM6000 支持无客户端模式、控件模式、客户端模式等多种认证方式,并支持各种方式混合部署,详情请参考 6.3.1.3 控件安装设置 。若管理员指定某终端设备必须安装客户端 , 则 该终端在接入网络时,会自动下载安装 ASM 小助手。 当终端设备安装完 ASM 小助手,在任务栏将显示小助手图标 ,其含义如下表所示。 表 12-1小助手图标含义 图标 含义 安检图 11-5违规外联设置 “高级配置”中,管理员可针对违规外联监测的执行策略。 图 11-6违规外联执行策略 11.2.2 USB 使用控制 【 USB 使用控制 】可添加需要进行使用控制的 USB 设备类型,以及控制的详细策略。 图 11-3 USB 使用控制 点击上图中“添加配置项”或点击已有的配置项,可设置或修改 USB 设备类型及使用策略。 图 11-4 USB 使用策略 违规外联 11.3【违规外联】功能,检查终端是否存在违规外联功能,并对违规终端设置阻断策略。 断开网络:检查项 说明 是否可 自动修复 网络监听端口检查 检查终端是否关闭或开放了指定的端口。 是 网络连接检查 检查终端是否存在拨号或双网卡行为。 是 系统补丁检查 检查终端是否安装了指定的系统补丁。 是 系统服务检查 检查终端是否启用了被禁止启用的服务。 是 系统共享资源检查 检查终端是否存在共享的文件或文件夹。 否 系统时间检查 检查终端系统时间是否和 ASM6 安全规范 11准入 检查项 11.1ASM6000 支持多达 28 项准入检查项 。 该章节描述 ASM6000 支持的所有准入检查项的功 能,以及该检查项是否可以自动修复 。 说明: 若需 启用安检项的自动修复功能 , 请参见 6.2.1 安全规范列表 中高级属性设置。 表 11-1准入检查项 检查项 说明 是否可 自动修复 Guest 来宾账户检查 检查终端是否存在已启图 10-12操作员登录 /退出日志 10.2.3 个人信息修改 audit 可在【个人信息】视图修改 audit 账号的个人信息,并可定义允许 audit 登录的 IP范围。 图 10-13个人信息修改 audit 10.2使用 audit 登陆 ASM6000,页面左侧导航数如下图所示。 图 10-10 audit 导航树 10.2.1 操作日志列表 【操作日志列表】记录所有操作员在系统内进行操作的内容、时间以及操作所在设备的IP 地址。 图 10-11操作员日志列表 10.2.2 操作员登录 /退出日志 【操作员登录 /退出日志】记录了所有操作员账户登录及退出时间,以及登录终10.1.2.2 管理员认证设置 【管理员认证设置】定义操作员的认证类型。若采用 Radius 服务器认证,则需要设置Radius 服务器 IP、端口及密钥。 图 10-8管理员认证设置 10.1.3 个人信息 secadmin 可在【个人信息】视图修改 secadmin 账号的个人信息,并可定义允许 secadmin登录的 IP 范围。 图 10-9个人信息修改 图 10-5自动授权设置 10.1.1.3 现有系统管理员列表 【现有系统管理员列表】 列举出当前系统中存在的系统管理员。 secadmin 可依据实际情况决定启用、停用或删除操作员账户。 图 10-6现有系统管理员列表 10.1.2 管理员安全设置 10.1.2.1 管理员安全登录 设置 【管理员安全登录设置】可定义系统管理员登录的安全策略。 图 10-7管理员登录安全设置 图 10-2操作员角色列表 点击“添加角色”,可新增操作员角色,并设置该角色在系统中拥有的权限(允许查看、允许操作)。 图 10-3添加角色 10.1.1.2 待批准管理员列表 当系统管理员(如 admin)创建新的管理员账户 后( 4.4.2 新建系统管理员 ) , secadmin将在该视图确认是否审批。 图 10-4待批准管理员 在上图中,可点击“自动授权设置”,确定或取消 系统账户 管理 10ASM6000 系统默认内置三个管理员账户 ,默认密码均为 888888: thirdadmin:第三方业务账户,提供给第三方业务系统,通过 http 协议从 ASM6000获取数据。 secadmin:系统安全 管理 员,用于管理系统账户角色,各角色的权限,以及 系统管理员 账户审批。 audit:系统审计员,用于审计系统内所有操作员操作日志。 a图 9-8模板配置列表 管理员可点击 ,编辑报警模板。 图 9-9查询 /编辑报警模板 图 9-6短信报警通知 9.3.4 Syslog 报警转发 管理员可通过【 Syslog 报警转发】设置需要转存至 Syslog 服务器的报警类型、级别,并设置接收报警的 Syslog 服务器 IP 地址。 图 9-7 Syslog 报警转发 9.3.5 报警模板管理 管理员可通过 【报警模板管理】定义各类型报警的邮件或短信发送模板。当系统中产生需要发送邮件或短信通知的告警时,将采用图 9-4报警生成设置 9.3.2 邮件报警通知 管理员可通过【邮件报警通知】设置需要邮件通知的报警级别和类型,并设置接收报警的邮件地址。 图 9-5邮件报警通知 9.3.3 短信报警通知 管理员可通过【短信报警通知】设置需要短信通知的报警级别和类型,设置接收报警的电话号码以及报警的通知时间段。 9.2.2 全部报警 【全部告警】视图,展示当前系统内存在的所有报警,包括未阅读报警,和已确认阅读报警。 图 9-3全部报警 报警设置 9.39.3.1 报警生成设置 管理员可通过【报警生成设置】设置上报报警的级别和类型。 报警中心 9概述 9.1【报警中心】模块包括三个部分:报警查看、报警设置以及报警模板管理。 图 9-1报警中心导航数 报警查看 9.29.2.1 实施报警监视 【实施报警监视】视图,实时刷新当前系统存在的未读报警。管理员可设置数据刷新时间,并可确认是否已阅读该告警。 图 9-2实施报警监视 说明: 当点击查看报警内容,或者勾选该条报警,点击“确认阅读”,则该表告警将在【实时图 8-32身份认证统计 说明: 为确保页面显示的数据与系统统计数据一致,请点击页面右上角 , 然后点击页签名称上的 刷新数据。 8.7.8 安全检查趋势 【安全检查趋势】根据系统内设备总数、通过安检设备数、未通过检查设备数以及存在安全隐患的设备数的统计数据,以周 /月 /年的周期绘制出安全检查走势图,直观呈现网络的安全状况。 图 8-33安全检查趋势 8.7.6 检查项统计 【检查项统计】统计系统内所有启用的 安检 项 的检查结果,通过柱状图及表格呈现。 图 8-31检查项统计 说明: 为确保页面显示的数据与系统统计数据一致,请点击页面右上角 ,然后点击页签名称上的 刷新数据。 8.7.7 身份认证统计 【身份认证统计】统计系统内各种身份认证方式的占比。 图 8-29入网设备安全状况 8.7.5 操作系统安检 【操作系统安检】统计各种操作系统安检结果。管理员通过点击统计数字可查看各种统计结果中的具体终端信息。 图 8-30操作系统安检 说明: 为确保页面显示的数据与系统统计数据一致,请点击页面右上角 ,然后点击页签名称上的 刷新数据。 图 8-27违规次数 8.7.3 违规项数 【违规项数】以 IP 地址为对象,统计该 IP 地址在最近一次安检时的违规项数。管理员可点击数字,查看该 IP 地址在最近一次安检时的所有不通过项目。 图 8-28违规项数 8.7.4 入网设备安全状况 系统根据各项统计结果,绘制出当前入网设备安全状态示意图。 8.7.1 违规检查项 【违规检查项】汇总每个启用的安全检查项的检查结果,通过图、表的形式直观呈现各个检查项的合规设备数和违规设备数。管理员可点击数字,查 看具体的设备描述。 图 8-26违规检查项 说明: 为确保页面显示的数据与系统统计数据一致,请点击页面右上角 ,然后点击页签名称上的 刷新数据。 8.7.2 违规次数 【违规次数】以 IP 地址为对象,统计该 IP 地址在系统内安期用户清理记录】则记录了这些过期用户的最后使用记录及清理时间。 图 8-24过期用户清理记录 管理员在“过期用户清理设置”页签中,可以设置是否启用过期用户清理,以及过期用户清理时限。 图 8-25过期用户清理设置 排行统计 8.7管理员在对如下项目做统计时,需要先清除 报表 缓存,否则页面显示的数据将有可能与系统实际数据不符: 违规检查项 操作系统安检 查询项统计 用户 8.68.6.1 用户认证记录 【用户认证记录】可查询到系统内所有用户账户的使用记录,详细记录了账户认证时的时间、离线时间、设备 IP/MAC 等信息。 页面默认只显示操作当天的用户认证记录。管理员可通过设置过滤条件,使页面显示历史用户认证记录。 图 8-22用户认证记录 8.6.2 短信验证码生成记录 【 短信验证码生成记录 】可查询到系统内所有短信验证码生成记录,详细记录图 8-19安全检查评估报告 1. 添加模板 点击上图中的“添加模板”,管理员可自定义安全检查评估报告模板。 图 8-20 新增评估报告模板 2. 安全评估报告列表 图 8-21 评估报告列表 报表数据详细清单 :该项列举出系统内所有已启用检查项检查结果的统计信息。 下面以每日入网报告,展现每个方面的统计详情。 图 8-18每月入网报告 8.5.2 安全检查评估报告 系统可根据自定义模板自动输出符合要求的安全检查评估报告。 说明: 为确保评估 报告的数据与系统统计数据一致,请在生成报表之前,对如下统计项清除 报表缓存: 违规检查项 检查项统计 操作系统图 8-16 设备安全检查记录 点击上图中的 ,可查看此设备当此安全检查详情。 图 8-17 历史安全检查详情 报表 8.58.5.1 每日 /周 /月入网报告 系统提供每日、每周、每月入网报告,在报告中提供针对如下三方面的统计信息: 入网设备概况:管理员可点击单个统计项的数目,获取该项目的详细信息。 每日 /周 /日入网报告:管理员可通过移动鼠标获取各个项目的详细信息。图 8-14查看编辑设备 点击上图中的“查看详细信息”,可查看该设备的详细安检信息。 图 8-15检查结果详情 点击上图中的“查看历史检查记录”可查看该设备历次安检记录及违规项。 8.4.5 检查结果列表 【检查结果列表】汇总呈现网络内未通过检查设备、存在安全隐患设备、完全通过检查设备。 图 8-12检查结果列表 8.4.6 违规修复记录 【违规修复记录】记录了网络内终端违规修复时间。管理员可通过点击设备名称,查看该终端历史安检记录。 图 8-13违规修复记录 点击设备名称,可查看编辑设备。 8.4.2 未通过检查设备 【未通过检查设备】记录了系统内所有 没有通过安全检查的终端设备,并记录最近安全检查结果、时间和安检得分 。 图 8-10未通过检查设备 8.4.3 存在安全隐患设备 【存在安全隐患设备】记录了系统内所有 存在安全隐患的 终端设备,并记录最近安全检查结果、时间和安检得分 。管理员可点击设备名称查看该设备存在的安全隐患。 图 8-11存在安全隐患 8.4.4 违规操作记录 8.3当前【违规操作记录】支持对违规外联违规记录的统计,主要记录了违规外联设备的 IP、使用者、外联的进程、外联地址及端口以及发生时间等要素。 图 8-8违规外联记录 检查结果 8.48.4.1 尚未检查设备 【尚未检查设备】记录了系统内所有未进行安检的终端(已注册、未注册、在线、离线)。 图 8-9 尚未检查设备 图 8-5设备未管理统计 “设备未关机设置”主要可设置监测时间和监测设备类型。 图 8-6设备未关机设置 8.2.4 USB 设备使用记录 【 USB 设备使用记录】记录了网络内终端使用 USB 存储设备的插入 /拔出时间。 图 8-7 USB 设备使用记录 图 8-3过期设备清理 2. 过期设备清理设置 管理员可设置是否对已注册或未注册的过期设备进行清理,以及过期设备清理的期限。其中,如果启用过期设备清理,还可设置清理动作针对的特定部门。 图 8-4过期设备清理设置 8.2.3 设备未关机统计 管理员从【设备未关机统计】可获知近段时间设备未关机趋势,并通过详细记录获悉未关机设备 IP、使用人和所属部门。 资源 8.28.2.1 历史 IP 使用记录 【历史 IP 使用记录】记录 IP 地址在网络内的上线、下线时间,使用该 IP 地址的设备、人员,以及该设备从哪里接入到网络等信息。 图 8-2历史 IP使用记录 8.2.2 过期设备清除记录 1. 过期设备清除记录 过期设备清理,可根据月、日显示走势图,并可列列举出所有过期设备清除记录。 查询统计 8概述 8.1【查询统计】模块记录用户、设备、 IP 等多方面资源使用情况,针对各项检查结果和违规现象进行统计,形成报表。该模块主要包括如下内容: 资源 IP、过期设备、 USB 设备使用记录及设备未关机统计 违规操作记录 违规外联记录 检查结果 安全检查结果及修复记录 报表 日、周、月入网报告及安全评估报告 用户 用户认证记录、短信验证码记 插入新学习规则 该功能将系统自动学习到的 IP/MAC 关系,插入到 IP/MAC 绑定列表中。 图 7-31 IP/MAC 配置 上图中各项规则的详细说明如下: 开启 IP/MAC 绑定 开启 IP/MAC 绑定,若 设备 IP/MAC 任何一个被修改, 系统拒绝其入网 。 开启端口绑定 开启端口绑定,若设备 IP/MAC/端口任何一个被修改,系统拒绝其入网。 仅进行 MAC 地址 和端口绑定 仅开启 MAC 与端口绑定,若 MAC/端口任何一个被修改,系统拒绝其图 7-29从设备列表导入 图 7-30从文件导入 7.4.3.2 IP/MAC 配置 在此视图中,管理员可设置是否开启 IP/MAC 绑定,以及设置绑定的规则。 图 7-28 添加 IP/MAC 绑定 2. 删除 IP/MAC 绑定 在 图 7-27 中勾选需要取消的 IP/MAC 绑定条目,点击“删除 IP/MAC 绑定”,即可删除该绑定关系。 3. 绑定端口 点击 IP/MAC 绑定关系前的 ,在 图 7-28 中选择绑定端口,并制定交换机及端口。 4. 取消绑定端口 在 图 7-27 中勾选需要取消的 IP/MAC 绑定条目,点击图 7-26子网配置 7.4.3 IP/MAC 绑定 通过 【 IP/MAC 绑定】 视图,管理员可将 IP、设备 MAC 地址、交换机端口等建立映射关系,并设置 针对不符合上述映射关系终端的处理策略。 7.4.3.1 IP/MAC 列表 通过该页签,管理员可获得网络中 IP、 MAC、端口的绑定关系,并根据实际情况,添加/删除绑定关系,或者通过设备列表或文件导入绑定关系。 图 7-图 7-24查看编辑设备 7.4.2 IP 地址池 【 IP 地址池】可展示当前网络中各个子网的 IP 占用情况。系统可自动获取当前网络中存在的子网,管理员也可以手动增加子网,以方便管理子网内 IP 占用情况。 图 7-25 IP地址池 点击上图中的“ 子网配置 ”,管理员可添加需要展现的 IP 子网。 图 7-21自动发现设备 IP 资源 7.4【 IP 资源】模块可直观展现网络中 IP 资源使用情况,及 IP/MAC 绑定关系。 7.4.1 IP 使用情况 通过【 IP 使用情况】视图,管理员可清楚当前网络中 IP 最近使用记录、该 IP 是否在线、以及持续运行时长。 图 7-22 IP使用情况 点击上图中的 任意一个 设备 IP,可查看该 IP 历史使用记录 图 7-23 7.3.3 导入设备 【导入设备】一般用于批量导入终端设备,通过预先收集终端设备参数,并按照系统定义的格式模板汇总上传到系统。 图 7-19导入设备 7.3.4 设备发现模块管理 ASM6000 通过预定义的 SNMP/TELNET/SSH 参数,可自动发现网络设备,并支持将发现的设备自动绘制拓扑图。【设备发现模板管理】即为 SNMP/TELNET/SSH等参数管理视图。管理员可根据当图 7-17 添加网络设备 2. 添加终端 图 7-18 添加终端设备 导航树的自定义视图节点下,可点击浏览该自定义视图。 图 7-15 自定义视图 资源管理 7.3【资源管理】模块包含的功能有添加或导入设备,设置设备自动发现以及设备快速定位。 7.3.1 设备快速定位 【设备快速定位】功能,使管理员可以通过 IP、 MAC、部门、使用人、操作系统等字段快速定位到具体的设备 图 7-16设备快速定位 7.3.2 添加设备 【添加设备】视图,可添加单字段名称 说明 当前认证用户 当前认证使用的账户名称 用户认证时间 当前用户认证时间 图 7-13 查看编辑设备 3. 自定义视图 在任何一个设备视图或终端视图中,点击 ,可设置针对某些特定条件显示设备列表。并且,可以将此过滤条件显示的设备列表添加到自定义视图。 图 7-14 过滤条件 点击上图中的“添加到自定义视图”,设置自定义视图的名称。 此后,即可在左侧字段名称 说明 是否认证 - 交换机 IP 该终端连接的交换机 IP 交换机端口 该终端连接到该交换机的端口 所属部门 该设备所属完全 部门 结构 设备类型 类型是 PC 还是移动设备 发现时间 系统发现该设备的时间 持续运行时间 - 位置 设备注册的位置 联系电话 设备注册的电话 邮箱地址 设备注册的邮箱地址 CPU 型号 - 硬盘容量 - 内存容量 -端口数 该设备的端口数 登录方式 该设备登录方式( SNMP/TELNET/SSH) 设备类型 该设备类型(交换机、路由器、服务器、其他网络设备) 登录状态 是否已经登录或超时 发现时间 该设备被添加到系统的时间 持续运行时间 该设备持续运行时间 联系人 - 备注 - 部门名称 - 位置 - 2. 终端设备 终端设备分类包括 PC 和移动设备。 点击某个终端设备,说明: 画线结束后,需要点击保存按钮;若需要撤销该条链路,则取消编辑状态,然后选择该条链路,删除之。 4. 其他操作 通过拓扑图上的工具栏,可放大缩小拓扑图、导出图像、根据 IP 定位设备、设置拓扑图的显示方式。 图 7-10 拓扑图工具 7.2.2 设备视图 【设备视图】可呈现当前网络内所有网络设备及终端的详细信息,并可按照组织架构进行浏览和操作。 图 7-11设备视图 1.图 7-7获取路由表 图 7-8获取 ARP 表 3. 手动绘制拓扑图 点击拓扑图中的 ,选择画线,然后点击链路开始的设备,选择端口,再点击链路的对端设备,选择端口。 图 7-9画线 图 7-4操作设备 图 7-5查看基本信息 图 7-6查看子节点 7.2.1 全网拓扑 【全网拓扑】视图,呈现当前网络设备连接状态, 可通过双机网络设备,直接打开该设备的“查看编辑设备”页签,或者 通过鼠标选中,查看和操作拓扑图中的 链路和 网络设备。 图 7-2全网拓扑 1. 操作链路 将鼠标放置在链路上,将显示该链路的信息及可以进行的操作。 图 7-3操作链路 2. 操作设备 将鼠标置于网络设备上,将显示该网络设备的信息,以及可以进行的操作 全网资源 7概述 7.1【全网资源】模块管理着全网设备资源及 IP 资源,主要包括如下部分: 视图管理 网络拓扑和设备分类视图,提供直观、快捷的网络资源管理界面。 资源管理 添加 /导入、定位、自动发现网络内设备。 IP 资源 管理网络内 IP 资源,设置 IP/MAC/端口绑定关系。 图 7-1全网资源导航树 视图管理 7.2【视图管理】模块,可呈现当前网 6.5.3 第三方业务管理 当存在第三方系统需要获取 ASM 数据时,在此设置提供给第三方系统访问的账号和口令。 另外,管理员还可以通过“第三方业务使用历史记录”页签,查询第三方业务的使用记录。 图 6-54第三方业务管理 6.5.4 客户端确认码生成 当终端用户需要卸载客户端时,管理员可根据终端用户提供的申请码,在此生成下载码,供终端用户使用。 图 6-55客户端确认码(卸载码) 图 6-51设备审核 列表 在该视图,管理员可点击编辑按钮 ,查看待审核设备信息以确定是否需要审核入网。通过点击审核按钮 ,设定终端的入网方式,并设置该设备是否可信。 图 6-52 设备审核设置 说明: 可信:若设置该设备可信,则该设备在下次入网时,将无需 再次 安检 。 6.5.2 USB 设备审核 当系统中设定 USB 设备需要审核时,管理员可从此页面审核 USB 设备。 图图 6-49已注册 USB 列表 6.4.3 USB 类型列表 【 USB 类型列表】视图,列举出当前系统中已管理的移动存储设备类型,和未知的移动存储设备类型。通过该视图,管理员可设置某些类型的设备是否需要注册,或者自动注册,或者手动注册。 图 6-50 USB 类型列表 交互管理 6.5交互管理主要包括如下四个方面: 设备审核:当系统设置某些角色入网需要审核时,管理员从该处可图 6-47 尚未下载补丁列表 说明: 终端在修复时,优先通过 ASM 本地保存的补丁文件修复,若本地没有补丁文件,也可以通过访问补丁下载链接直接修复。 USB 接入管理 6.4USB 接入管理主要指移动存储介质的注册管理。 6.4.1 USB 全局参数设置 【 USB 全局参数设置】视图,定义终端用户使用移动存储设备时,是否需要注册和审核。 图 6-48 USB 注册审核设置 1. 补丁列表 补丁列表页签中列举出当前系统中记录的供终端系统升级的补丁列表,管理员可通过该页签了解每个补丁的各种信息。 2. 补丁设置 通过 补丁设置页签 ,可查询到当前补丁库版本信息和历史升级记录。另外,还可通过该页签设置补丁更新的参数。 开启补丁文件自动下载 :开启该选项, ASM 可 自动从下载地址下载补丁文件到本地,供终端设备修复使用 。 开启补丁库自动升级 : 开启该图 6-43添加安全域 在“角色与安全域”页签中,可对角色和安全域 的映射关系进行管理。管理员可在此页签指定各个角色在通过安检或未通过安检时,可以访问的网络范围。 图 6-44配置角色与安全域的映射关系 6.3.4 补丁管理 ASM6000 补丁管理主要管理当期操作系统及其他常用软件厂商公开发布的漏洞补丁。 补丁文件:单个补丁的升级包。 补丁库文件:某个时间段内所有补丁的详6.3.2.6 配置 802.1x 技术 802.1X 准入技术是采用标准 802.1x 协议进行准入控制的一种 技术 。 在 图 6-31,选择“ 802.1x”后提交,即可切换到 802.1x 技术配置页面。此时需要设置802.1x 认证服务器地址: 图 6-41 802.1x 认证设置 6.3.3 安 全域权限分配 管理员可以通过【安全域权限分配】视图,根据 IP 范围定义安全模式分为两种模式: 根据 VLAN 映射关系切换 VLAN:选定该选项后,点击提交按钮,即可在“ VLAN映射配置”页签中配置 VLAN 映射关系。 根据角色切换 VLAN:选定该选项,点击提交按钮,即可在“ VLAN 与角色映射配置”页签中配置 VLAN 与角色的映射关系。 当选择“根据角色切换 VLAN 时,需要配置统一的隔离 VLAN ID。 设置切换到正常 VLAN准入技术。 策略路由准入技术下,需要配置的项目有: 基本参数配置: 选择“个性化配置”时可配,选择“全局配置”时,继承 6.3.2.1配置全局参数 。 例外参数配置 :选择“个性化配置”时可配,选择“全局配置”时,继承 6.3.2.1配置全局参数 。 NAT 穿透配置 :选择“个性化配置”时可配,选择“全局配置”时,继承 6.3.2.1配置全局参数 。 高级配置 :定义 A:设备面板区 :可通过设备面板区,直观的了解到端口的状态。 B:设备详细信息区 :管理员可对交换机详细信息进行修改。 C:网络诊断工具 :该区域提供多种网络诊断工具。 D:网管 配置信息 :该区域可修改交换机网管参数配置。 E:安全准入业务 :通过该区域链接可确定当前交换机从属关系。 F:未读告警区:该区域显示当前交换机上存在的最近 5 条未读告警。 3. 图 6-35 交换机端口列表 勾选上图中的交换机端口,点击“保存配置”,即可将该交换机的端口置于受控状态(勾选的端口将会在【管理端口列表】视图中呈现),或者也可通过点击“切回正常 VLAN”将勾选的段鸥切换到正常的 VLAN。 点击 图 6-33 交换机列表中的 ,选择“编辑交换机”,可设置交换机详细信息和网管信息,并可启动网络诊断工具。 图 6-36 编辑交换机 图 6-32 MVG 高级配置 2. 交换机列表 通过【交换机列表】视图,管理员可 增加、删除、查看和 编辑等方式来 操作网络 内受控的交换机。 图 6-33 交换机列表 点击交换机列表中的 ,可查看该交换机端口状态以及各端口存在 MAC 地址数量 。 图 6-34 交换机面板信息 6.3.2.2 配置准入技术 在【准入控制器管理】视图中,点击 ,进入【配置准入技术】视图。 ASM6000 支持的准入技术包括 MVG、策略路由、透明网桥以及 802.1x。其运行模式包括正常模式和紧急模式。 其中当设备采用 MVG 模式时,管理员可配置当前设备采用的是全局配置,还是采用个性化配置。 正常模式:完成准入技术配置后重启,设备即运行在正常的管控模式下。 紧急模式:完成准设置例外服务器的 IP 段和域名,使得 终端 设备在任何情况下均可以访问这些服务器资源。 启用例外终端: 启用例外终端,则系统对此 IP 端内的终端 设备 不做任何 管控 。 图 6-29 例外参数设置 3. NAT 穿越配置 启动 NAT 穿越: 允许终端通过 NAT 设备接入网络。 允许移动终端 VPN 拨号认证: 允许移动终端使用 PPTPVPN 拨号接入网络。6.3.2.1 配置全局参数 点击上图中的 ,进入全局参数配置视图。 1. 基本参数配置 基本配置: 设置终端被隔离后,重定向认证时间间隔。 重定向地址: 终端在完成认证之前打开任意网页,将被系统重定向到该网页。管理员可设置重定向地址为 ASM6000 地址,也可以设置其他自定义的有效地址。 第二重定向地址: 若需要设置某些网段的终端在入网时,重定向到某特定地址,则可设图 6-26 自助服务链接 (右下角红框内) 6.3.2 准入控制器管理 【准入控制器管理】视图 ,包含当前 ASM6000 以及管辖的 ASC 控制器。 管理员通过该视图,可以设置 ASM6000 全局参数,以及所使用准入技术的参数。 图 6-27准入控制器列表 上图表单中,部分字段的含义如下: 表 6-1控制器列表字段说明 字段 说明 名称 若名称为 local,则该控图 6-25可自定义内容(红框中的内容) 6.3.1.8 自助服务定制 【自助服务定制】视图,可定制针对终端用户入网时的一些常见疑问的解答,方便终端用户在入网时查看。 管理员定义好自助服务问题及解答后,终端用户在入网界面将可以通过“自助服务”链接查看预先定义的疑问和解答。 图 6-23 PC 入网界面定制 6.3.1.7 手机入网界面定制 【手机入网界面定制】视图,可定义手机入网界面的标题、 logo、以及联系电话等内容。 图 6-24 手机入网界面 图 6-22设备审核设置 6.3.1.6 PC 入网界面定制 【 PC 入网界面定制】视图,可定义 PC 终端入网时的页面风格、提示信息以及安检过后的结果显示或提醒用户修复的文字信息。针对每项提示信息,管理员均可根据 终端用户阅读习惯及网络管理的需要自行编辑。 注册时显示设备基本信息:在终端用户注册页面,显示设备基本信息,包括操作系统, IP 地址, MAC 地址等。 计算机所在地:可点击行末 , 定义供 终端用户 选择的区域。 若对设备注册要求更多信息,管理员可点击 添加内容项。 图 6-21设备注册设置 6.3.1.5 设备审核设置 【设备审核设置】视图,定义入网终端注册时,是否需要管理员手动审核,并对审核要素进行设置: 图 6-20 添加控件安装设置 2. 设置控件安装设置的名称,并添加必要的备注信息。 3. 设置是否安装控件或小助手。 无需安装任何控件或者程序:选择该项,不支持任何安规检查项。 要求安装安全控件:选择该项,支持部分的安规检查项。 要求安装小助手程序:选择该项,支持所有的安规检查项。 4. 设置 重新认证时间间隔或 最大超时时间。 5. 设置可选参数。 创建桌面图图 6-18 来宾上网码设置 6.3.1.3 控件安装设置 【控件安装设置】视图,可设置各类角色所适用的控件安装策略。系统默认有三个控件安装设置。针对这三种控件安装设置,管理员不能删除,只能修改: 可信控件安装设置: 来宾控件安装设置 缺省控件安装设置 图 6-19系统默认控件安装设置 如果以上三种控件安装设置不能满足网络管理要求,管理员可以添加新的控件安装设置。 使用手机短信认证时,可选择设置如下参数: 验证是否是网内手机:勾选此项,则接收验证码的手机必须为设备联系电话或系统内用户账号联系电话。 将手机号码同步到设备联系电话:将接收验证码的手机号码同步到设备联系电话。 图 6-16 手机 短信认证 5. 中正指纹认证 若系统采用中正指纹认证系统,需要指定认证服务器地址。地址详情请咨询指纹认证服务器管理员 图 6-17 中正指纹认证 UKEY 证书是一个 USB 设备,存储着一个 *.cer 证书文件。采用 UKEY 证书认证时,终端 用户需要将 UKEY设备插入终端的 USB接口,然后在认证页面点击 “ 验证 UKEY”即可。 说明: 采用 UKEY 证书认证时,终端用户需要根据认证页面提示安装控件。 管理员可以指定 UKEY 证书 认证 的方式,如使用根证书进行认证 ,或是到 LDAP 服务器进行证书认证,或是将证书使用者。 动态口令超时时间:使用手机短信认证方式认证时,此处可设置动态口令有效时间。 设置终端允许保存用户账户和密码。 自定义认证页面的【用户名】和【密码】参数名称。 2. 用户名密码认证 图 6-14 用户名密码认证 配置认证服务器,指定首选认证服务器,并确定是否启用双因子认证。 步骤 1 首选认证服务器: 用户提交的用户名和密码将优先提交到首选认证服务器进行认证 6.3.1.2 身份认证设置 1. 基本参数配置 图 6-13 基本参数 设置 开启身份认证。 步骤 1设置无需身份认证的 IP 段。 步骤 2设置认证方式并定义缺省认证方式。 步骤 3ASM 支持用户名 /密码、 UKEY 证书、手机短信、指纹认证等一种或多种方式混合使用。 设置用户身份认证成功后设备拥有的角色。 步骤 4 设备可拥有用户账户所属的角色 设备可
展开阅读全文

最新标签

电脑版 |技术文库版权所有
经营许可证:粤ICP备16048919号 | 粤公网安备 44060602000677号| 本站法律顾问陈鑫辉律师(13807302170)