北信源桌面终端标准化管理系统基于8021x协议的准入控
北信源网络接入控制系统工作原理与功能对比
北信源⽹络接⼊控制系统⼯作原理与功能对⽐北信源⽹络接⼊控制系统⼯作原理与功能北京北信源软件股份有限公司⽬录1.整体说明 (3)2.核⼼技术 (3)2.1. 重定向技术 (3)2.2. 策略路由准⼊控制技术 (4)2.3. 旁路⼲扰准⼊控制技术 (6)2.4. 透明⽹桥准⼊控制技术 (7)2.5. 虚拟⽹关准⼊控制技术 (7)2.6. 局域⽹控制技术 (8)2.7. ⾝份认证技术 (8)2.8. 安检修复技术 (9)2.9. 桌⾯系统联动 (9)3.产品功能对⽐ (9)1.整体说明准⼊⽹关对接⼊设备进⾏访问控制,对于未注册⽤户进⾏WEB重定向进⾏注册;注册后的⽤户进⾏认证或安检后可以访问⽹络;管理员可以配置采取何种准⼊控制⽅式,如策略路由,旁路监听,透明⽹桥,虚拟⽹关等;同时可以选择使⽤不同的认证类型,如本地认证,Radius认证,AD域认证等,⽽认证途径采取⽹关强制重定向;准⼊⽹关整体上对准⼊的控制可分为两类,⼀类是⽹关⾃⼰控制数据的流通,另⼀类则是通过配置交换机,让交换机来控制数据包的流通。
⽬前准⼊⽹关实现的策略路由和旁路监听,透明⽹桥等准⼊控制均属于前者,也就是⽹关⾃⼰通过放⾏或丢弃、阻断数据包,来达到准⼊控制,对于数据包的阻断是基于tcp 实现的;⽽虚拟⽹关则是通过控制交换机VLAN来达到准⼊控制;2.核⼼技术为了适应不同业务环境下的统⼀⼊⽹控制,北信源⽹络接⼊控制系统采⽤多种核⼼技术设计,⽀持多种准⼊控制模式,实现从多⾓度多维度的终端⼊⽹安全控制。
2.1.重定向技术接⼊控制的⽬的是为了阻⽌不可信终端随意接⼊⽹络,对于不可信终端的判定需要⼀个过程,如何在判定过程中进⾏良好的提⽰,这就对产品的⼈机界⾯设计提出了较⾼的要求。
业界通常的做法是针对http性质的业务访问进⾏重定向,以往针对http的业务区分主要基于业务端⼝(主要为80端⼝),对于⾮80业务端⼝的http业务不能有效区分。
针对以上情况,北信源⽹络接⼊控制系统对http业务进⾏了深度识别,除80端⼝的http业务可以进⾏有效重定向之外,针对⾮80端⼝的http业务也能进⾏有效的识别和重定向。
北信源终端安全管理系统802.1x准入流程
北信源终端安全管理系统802.1x准入流程1.802.1x的认证过程可以描述如下(1) 客户端(PC)向接入设备(交换机)发送一个EAPoL-Start 报文,开始802.1x认证接入;(2) 接入设备(交换机)向客户端(PC)发送EAP-Request/Identity报文,要求客户端(PC)将用户名送上来;(3) 客户端(PC)回应一个EAP-Response/Identity给接入设备(交换机)的请求,其中包括用户名;(4) 接入设备(交换机)将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,通过路由器发送给认证服务器;(5) 认证服务器产生一个Challenge,通过接入设备(交换机)将RADIUS Access-Challenge报文发送给客户端(PC),其中包含有EAP-Request/MD5-Challenge;(6) 接入设备(交换机)通过EAP-Request/MD5-Challenge发送给客户端(PC),要求客户端(PC)进行认证(7) 客户端(PC)收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备(交换机)(8) 接入设备(交换机)将Challenge,Challenged Password 和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备(交换机)。
如果成功,携带协商参数,以及用户的相关业务属性给用户授权。
如果认证失败,则流程到此结束;(10) 如果认证通过,用户通过标准的DHCP协议(可以是DHCP Relay) ,通过接入设备(交换机)获取规划的IP地址;(11) 如果认证通过,用户正常上网。
北信源法院系统终端安全管理系统解决方案2015
北信源法院系统终端安全管理系统解决方案北京北信源软件股份有限公司2015年3月目录1. 前言 (4)1.1. 概述 (4)1.2. 应对策略 (5)2. 终端安全防护理念 (6)2.1. 安全理念 (6)2.2. 安全体系 (7)3. 终端安全管理解决方案 (8)3.1. 终端安全管理建设目标 (8)3.2. 终端安全管理方案设计原则 (8)3.3. 终端安全管理方案设计思路 (9)3.4. 终端安全管理解决方案实现 (11)3.4.1. 网络接入管理设计实现 (11)3.4.1.1. 网络接入管理概述 (11)3.4.1.2. 网络接入管理方案及思路 (11)3.4.2. 补丁及软件自动分发管理设计实现 (16)3.4.2.1. 补丁及软件自动分发管理概述 (16)3.4.2.2. 补丁及软件自动分发管理方案及思路 (16)3.4.3. 移动存储介质管理设计实现 (20)3.4.3.1. 移动存储介质管理概述 (20)3.4.3.2. 移动存储介质管理方案及思路 (20)3.4.4. 桌面终端管理设计实现 (23)3.4.4.1. 桌面终端管理概述 (23)3.4.4.2. 桌面终端管理方案及思路 (24)3.4.5. 终端安全审计设计实现 (35)3.4.5.1. 终端安全审计概述 (35)3.4.5.2. 终端安全审计方案及思路 (36)4. 方案总结 (41)1.前言1.1.概述随着法院信息化的飞速发展,业务和应用逐渐完全依赖于计算机网络和计算机终端。
为进一步提高法院信息系统内部的安全管理与技术控制水平,必须建立一套完整的终端安全管理体系,提高终端的安全管理水平。
由于法院信息系统内部缺乏必要管理手段,导致网络管理人员对终端管理的难度很大,难以发现有问题的电脑,从而计算机感染病毒,计算机被安装木马,部分员工使用非法软件,非法连接互联网等情况时有发生,无法对这些电脑进行定位,这些问题一旦发生,往往故障排查的时间非常长。
北信源终端安全管理系统802.1x准入流程
北信源终端安全管理系统802.1x准入流程北信源终端安全管理系统802.1x准入流程1.802.1x的认证过程可以描述如下(1) 客户端(PC)向接入设备(交换机)发送一个EAPoL-Start 报文,开始802.1x认证接入;(2) 接入设备(交换机)向客户端(PC)发送EAP-Request/Identity 报文,要求客户端(PC)将用户名送上来;(3) 客户端(PC)回应一个EAP-Response/Identity给接入设备(交换机)的请求,其中包括用户名;(4) 接入设备(交换机)将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,通过路由器发送给认证服务器;(5) 认证服务器产生一个Challenge,通过接入设备(交换机)将RADIUS Access-Challenge报文发送给客户端(PC),其中包含有EAP-Request/MD5-Challenge;(6) 接入设备(交换机)通过EAP-Request/MD5-Challenge发送给客户端(PC),要求客户端(PC)进行认证(7) 客户端(PC)收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备(交换机)(8) 接入设备(交换机)将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备(交换机)。
如果成功,携带协商参数,以及用户的相关业务属性给用户授权。
如果认证失败,则流程到此结束;(10) 如果认证通过,用户通过标准的DHCP协议(可以是DHCP Relay) ,通过接入设备(交换机)获取规划的IP地址;(11) 如果认证通过,用户正常上网。
802.1X和准入控制简介
•
Cisco NAC (Network Admission Control )
Cisco Network Admission Control Hosts Attempting Network Access AntiVirus Client Cisco Security Agent Cisco Network Access Device Cisco Policy/ AAA Server AV Vendor Policy Server
NAC Program Overview
• • Cisco® is driving the architectures, specifications, and guidelines of NAC Initial NAC co-sponsors include the major antivirus vendors: Network Associates, Symantec, and Trend Micro Cisco Security Agent and NAC co-sponsor AV solutions will use Cisco Trust Agent for intelligent admission control Initial NAC capability to be delivered in Q2 CY04 in Cisco routers Future NAC extensions: • More Cisco network devices • More endpoint security software and endpoint platforms (OSs) • More industry co-sponsors • Solution “opened”, timing and extent TBD
常见准入控制技术分析
常见准入控制技术分析网络准入控制NAC(Network Access control)的简称,准入控制是指对网络的边界进行保护,对接入网络的终端和终端的使用人进行合规性检查,准入控制让接入你网络的每一个人,每个终端都具有合法性,合规性,是可信的,主要是认证+授权,无计费(更加后台radius的不同和客户的不同可支持将不同的条件作为合规检查的条件)。
网络准入控制技术通常包括:根据分类网络准入控制技术主要包含以下三大类:一、基于网络设备的准入控制技术802.1X准入控制技术:IEEE 802.1X是IEEE制定关于用户接入网络的认证标准,二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;常用到EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;由于是IEEE标准所以被许多交换机厂家广泛支持,而且在国内许多的准入控制软件厂商中也得到广泛应用。
但很遗憾的是很多软件厂商做得很差,客户端维护麻烦,还需要修改网卡属性。
而且802.1X虽然是IEEE标准,但是各个交换机厂商在采用认证加密的算法可能不一样,很多国内厂商的客户端和radius都无法兼容市场上所有的厂商的802.1X认证。
802.1X主要采用VLAN 动态切换的方式授权客户端,近几年部分厂商开始支持通过下发ACL方式授权客户端。
802.1X目前的不足指出在于:由于是二层协议,同时802.1x在交换机上基本是端口插线加电即启动认证,所以在大多场合不支持,如VPN、WLAN、专线等环境,无法穿透3层网络环境。
而且在HUB的情况下.VLAN无法切换。
更有很多厂商无法解决HUB环境认证的问题。
CISCO EOU 准入控制技术:EAP OVER UDP ,是思科公司私有的准入控制技术;CISCO 3550 以上设备支持,传说此技术是CISCO 为了解决HUB环境下多设备认证而提出的,当然不可能是仅限于此目的;EOU技术工作在3层,采用UDP 封装,客户端开放UDP 21862 端口,由于是3层所以在很多地方比二层协议更灵活,如在灾备,设备例外,认证放行等特性上都较为灵活。
北信源桌面终端标准化系统内网端口使用说明
双向
双向
22105
区域扫描器和客户端通信使用,包括策略下发,文件、补丁分发,客户端上报信息等,均要通过该端口实现
TCP
双向
22106
捕获数据的侦听端口。网络拓扑功能和Snmp扫描功能通过该端口实现
TCP
双向
22108
使用点对点控制中的数据包分析支持工具时使用,数据包分析使用需先与被控端建立通讯后,接受相关的数据包
TCP
双向
2388
区域管理器数据接收端口,一般接收注册率、操作系统信息等相关数据,当该区域管理器为级联管理器的下级管理器或中间管理器时,该端口负责接收数据,并且,向上级区域管理器转发数据
TCP
双向(一级管理器只流入)
2399
区域管理器数据接收端口,一般接收报警等相关数据,当该区域管理器为级联管理器的下级管理器或中间管理器时,该端口负责接收数据,并且,向上级区域管理器转发数据
桌面终端标准化管数据方向
80
标准的http协议端口,Web管理界面使用,几乎所有的网页浏览通过此端口
TCP
双向
88
区域管理器使用
TCP
双向
161
SNMP扫描使用
TCP
双向
188
当88端口被占用时,区域管理器启用188端口
TCP
双向
288
报告区域管理器存活端口
TCP
TCP
双向(一级管理器只流入)
8889
报警中心和区域管理器通信通过该端口实现
TCP
双向
8900
使用点对点控制中,屏幕支持工具使用
TCP
双向
8901
使用点对点控制中,屏幕支持中的文件传输功能使用。
北信源网络接入控制系统管理系统白皮书v3.0
北信源网络接入控制管理系统产品白皮书北信源软件股份声明本手册的所有容,其属于北信源软件股份(以下简称北信源公司)所有,未经北信源许可,任何人不得仿制、拷贝、转译或任意引用。
本手册没有任何形式的担保、立场倾向或其他暗示。
商标声明本手册中所谈及的产品名称仅做识别之用,而这些名称可能属于其他公司的注册商标或是,其他提到的商标,均属各该商标注册人所有,恕不逐一列明。
产品声明本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,由此可能产生的差异为正常现象,相关问题请咨询北信源公司技术服务人员。
免责声明若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,北信源公司及其员工均不承担任何责任。
目录1.系统概述 (4)2.系统架构 (4)3.系统组成 (6)3.1.策略服务器 (6)3.2.认证客户端 (6)3.3.Radius认证服务器 (7)3.4.Radius认证系统 (7)3.5.硬件接入网关(可选配) (8)4.系统特性 (8)4.1.全面的安全检查 (8)4.2.技术的先进性 (8)4.3.功能的可扩展性 (8)4.4.系统可整合性 (9)4.5.无缝扩展与升级 (9)5.系统功能 (9)5.1.准入身份认证 (9)5.2.完整性检查功能 (10)5.3.安全修复功能 (10)5.4.管理与报表 (11)5.5.终端安全策略设置 (12)6.典型应用 (13)6.1.802.1x环境应用 (13)6.2.非802.1x环境应用 (14)6.3.VPN环境应用 (15)6.4.域环境应用 (15)1.系统概述北信源网络接入控制管理系统能够强制提升企业网络终端的接入安全,保证企业网络保护机制不被间断,使网络安全得到更有效提升。
与此同时,还可以对于远程接入企业部网络的计算机进行身份、唯一性及安全认证。
通过网络安全准入控制不仅能够将终端设备接入控制扩展到超出简单远程访问及路由器、专有协议和已管理设备的限定之外,还能够覆盖到企业网络的每一个角落,甚至是当使用者的移动设备离开企业网络时,仍能有效的提供终端设备接入控制的执行。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
北信源桌面终端标准化治理系统的准进操纵方案一、〔基于局域网的扩展认证协议〕数据通过设备连接的交换机端口;认证通过以后,正常的数据能够顺利地通过以太网端口。
网络访咨询技术的核心局部是PAE〔端口访咨询实体〕。
在访咨询操纵流程中,端口访咨询实体包含3局部:认证者--对接进的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证效劳器--依据认证者的信息,对请求访咨询网络资源的用户/设备进行实际认证功能的设备。
二、基于以太网端口认证的802.1x协议有如下特点:IEEE802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,能够有效落低建网本钞票;借用了在RAS系统中常用的EAP〔扩展认证协议〕,能够提供良好的扩展性和习惯性,实现对传统PPP认证架构的兼容;802.1x的认证体系结构中采纳了"可控端口"和"不可控端口"的逻辑功能,从而能够实现业务与认证的不离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与操纵,报文直截了当承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;能够使用现有的后台认证系统落低部署的本钞票,并有丰富的支持;能够映射不同的用户认证等级到不同的VLAN;能够使交换端口和无线LAN具有平安的认证接进功能。
三、a.一台安装IAS或者ACS的RADIUS认证效劳器;b.一台安装VRVEDP效劳器;c.一个应用可网管交换机的网络环境;效劳器配置如下:进进添加/删除程序中的添加/删除Windows组件,选择网络效劳中的Internet 验证效劳2.安装IAS后,进进IAS配置界面3.右键点击RADIUS客户端,选择新建RADIUS客户端。
客户端地址为验证交换机的治理地址,点击下一步。
4.选择RADIUSStandard,共享机密为交换机中所配置的key。
点击完成。
注:接进层交换机,就需要执行100次步骤3与步骤4的动作,把100个交换机的地址与共享密码填写进往。
是至关重要的第一步,一定要检查填写的共享密码与交换机的共享密码相同〔这是思科交换机命令输进共享密码的命令:radius-serverhost效劳器地址〕。
5.右键点击远程访咨询策略,单击新建远程访咨询策略。
注:1.建立远程访咨询策略为了使进行跟交换机进行联动,那个策略的建立为以后的用户成功认证打下坚实的根底。
2.那个策略一个公共策略,在一个网络中可能有几百个用户名密码进行认证,那个要按照步骤进行配置,不要填写用户名匹配,不然会只有一个匹配的用户能够认证通过。
3.公司支持多种加密认证方式,在IAS中我们建议使用MD5加密算法来进行认证。
6.为策略取一个名字,点击下一步7.选择以太网,点击下一步8.选择用户,点击下一步9.使用MD5质询,点击下一步,并完成。
10.在右面板中右键点击所新建的策略,选择属性。
11.点击添加,选择Day-And-Time-Restrictions12.选择添加,选择答应,单击确定。
〞Ethernet〞,并选择授予访咨询权限14.右键点击连接请求策略,选择新建连接请求策略。
注:1.连接请求策略是与修复VLAN有关系的配置,假如在实施中没有设置修复VLAN,这一步骤能够不进行配置。
2.连接请求策略中添加user-name与用户名匹配,公司客户端软件临时只支持与repair那个用户名联动。
假如不使用repair用户名匹配,客户端没有通过安检时也会跳进修复VLAN,然而在客户端可不能提示差不多进进修复VLAN。
3.IAS中设置修复VLAN设置方法有几种,建议使用文档中的操作方式。
15.选择自定义策略,并为该策略取个名字16.策略状况选择添加Day-And-Time-Restrictions,配置方法同上。
〞Ethernet〞,并选择授予访咨询权限18.点击添加,并选择user-name,点击添加19.那个地方repair是指repair子用户名〔即需要跳转的子用户名字〕,点击确定并应用20.单击编辑配置文件,选择高级-------添加选择添加[64]Tunnel-Type:VLAN[65]Tunnel-Medium-Type:802[81]Tunnel-Pvt-Group-ID:VLANID〔修复VLAN的vlan号〕。
22.添加远程登录用户。
在本地用户和组中新建一个用户。
注:在建立认证账户之前,首先检查“用可复原的加密来存储密码〞是否启用。
23.右键点击新建的用户,进进属性,选择隶属于,删除默认的USERS组24.点击拨进,设置为答应访咨询25.IAS配置完成。
效劳器关于802.1x策略的配置及解释:123456798密码认证方式:1、“单用户名密码认证〞:所接进的客户端会以该策略中指定的用户名和密码认证,不需要用户手工输进用户名和密码2、“多用户密码认证〞:所接进的客户端需要手工输进在Radius中建立的认证用户名和密码进行认证3、“域用户名认证〞:所接进的客户端假如是域环境,使用此功能能够在用户登陆域时自动认证。
4、认证程序在托盘显示认证状态的图标,绿色为认证成功,黄色为未认证状态,红色那么为认证失败。
并能够规定认证失败特定次数后就不再认证,自动进进GUESTVLAN5、密码验证类型:分为MD5验证和受保卫的EAP(PEAP)两种模式。
6、安检失败处理方式:配合补丁与杀毒软件策略和进程效劳注册表策略使用,当客户端违反以上策略并选择了依据802.1X策略处理时,那么可对其执行以下3种处操作:不处理〔〕;进进正常工作VLAN;进进修复VLAN。
7、假如客户端环境为DHCP动态网络,那么勾选DHCP动态IP环境认证;并当认证失败后,那个地方能够填进另外一个用户名密码再认证一次〔配合单用户认证方式使用〕;当碰到网络意外断开的情况,勾选网络恢复连接后主动发起认证,客户端在恢复网络时就会主动发起认证;支持华为认证效劳器的IP绑定功能:配合华为公司产品中的IP 与端口绑定的功能。
8、认证数据包传输模式:分为组播和播送两种模式,默认为组播,在不支持组播的交换上使用播送模式。
9、超级认证帐户:即认证成功后就会进进正常工作VLAN ,不受安检策略限制。
黑名单认证帐户:即使用那个帐户认证的客户端始终都不能认证通过。
策略中心->接进认证策略->补丁与杀毒软件认证设置讲明:杀毒软件平安检测“杀毒软件平安检测〞:对接进网络的计算机进行杀毒软件的平安检测,检查其健康度是否符合网络要求标准,检测内容包括计算机是否安装开启了杀毒软件。
2.“未运行杀毒软件时提示〞:当检测到计算机没有运行杀毒软件的时候给计算机一个提示信息。
3.“未运行杀毒软件执行〔URL 地址〕〞:当检测到计算机没有运行杀毒软件的时候给计算机定向到指定的URL 地址,例如某个能够下载或者运行杀毒软件的地址。
4.“对上述URL 执行〞1 2 3 4 5 6 7 89101).选择“翻开/下载URL地址〞:当检测到计算机没有运行杀毒软件的时候直截了当翻开或者下载上边填写的URL地址。
2).选择“下载URL地址指定文件并安装〞:当检测到计算机没有运行杀毒软件的时候下载URL地址指定文件并安装,一般为杀毒软件。
5.“未运行杀毒软件时〞:当检测到计算机没有运行杀毒软件的时候执行以下操作1).“限制网络访咨询〞:计算机在网内只能与平安效劳器列表中的IP地址通讯,禁止与其他计算机通讯。
2).“〞:当未运行杀毒软件时,客户端将注销正常登录并进进修复vlan。
6.系统补丁平安检测1).启用“系统补丁平安检测〞:对接进网络的计算机进行系统补丁的平安检测,检查其健康度是否符合网络要求标准,检测内容包括计算机是否安装了指定系统补丁。
2).“漏安装列表中指定的补丁时提示〞:当检测到计算机没有安装列表中指定的补丁的时候给计算机一个提示信息。
3).“漏安装列表中指定的补丁是翻开〔URL地址〕〞:当检测到计算机没有安装列不中指定的补丁的时候给计算机定向到指定的URL地址,例如某个能够下载到指定补丁的地址。
7.“漏安装列表中补丁时〞:当检测到计算机没有安装列表中的补丁时执行以下操作:1).“限制网络访咨询〞:计算机在网内只能与平安效劳器列表中的IP地址通讯,禁止与其他计算机通讯2).“〞:当未安装指定平安补丁时,客户端将注销正常登录并进进修复vlan。
8.“检测补丁列表〞:通过补丁号添加补丁检测列表,当计算机接进网络的时候会检测计算机是否安装了此列表中列出的补丁9.“限制网络访咨询后,答应平安效劳器连通列表〞:填写EDPserver、补丁效劳器等平安服务器,当计算机被限制网络访咨询后只能与那个列表中的IP地址通讯10.“DHCP与静态IP切换〞:在安检失败进进访客隔离区后,假如当时的IP为静态IP,那么将其转换为DHCP方式,直到安检成功后返回正常工作区时再将DHCP方式复原为往常设置的静态IP(选择了"注销802.1认证"后,该选项才生效)。
策略中心->接进认证策略->进程效劳注册表认证12 345671、添加认证模块(见1.1)2、“以上列表认证模块认证失败时提示〞:当接进网络的计算机在进行认证时,认证失败那么在计算机显示此信息3、“以上列表认证模块认证失败时翻开〔URL地址〕〞:当接进网络的计算机在进行认证时,认证失败那么将计算机定向到此URL地址4、“对上述URL执行〞〔1〕选择“翻开/下载URL地址〞:当检测到计算机认证失败的时候直截了当翻开或者下载上边填写的URL地址〔2〕选择“下载URL地址指定文件并安装〞:当检测到计算机认证失败的时候下载上边URL地址指定文件并安装5、“以上列表认证模块认证失败时〞:当认证失败时执行以下操作〔1〕“限制网络访咨询〞:计算机在网内只能与平安效劳器列表中的IP地址通讯,禁止与其他计算机通讯〔2〕“〞:注销本次认证,使计算机重新进行认证6、“DHCP与静态IP切换〞:在安检失败进进访客隔离区后,假如当时的IP为静态IP,那么将其转换为DHCP 方式,直到安检成功后返回正常工作区时再将DHCP 方式复原为静态IP(选择了"注销802.1认证"后,该选项才生效)。
7、“限制网络访咨询后,答应平安效劳器连通列表〞:填写EDPserver 、补丁效劳器等平安服务器,当计算机被限制网络访咨询后只能与那个列表中的IP 地址通讯〞。
2.1、文件存在认证选择“编辑认证模块〞进进编辑认证模块页面,填写一个新的认证模块名字,单击“新建模板〞,例如新建认证模块名为“ceshi 〞。
〔1〕在“文件名〞处填写要认证的文件名和路径例如:C:\vrvclient\vrv.exe ,表示当计算机接进网络后要对此计算机进行平安检测,监测计算机是否存在“文件存在认证列表〞中的文件。