盈高入网规范管理系统介绍

合集下载

ASM入网规范管理系统_准入控制技术快速配置手册

任何个人、机构未经盈高科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

商标：盈高、INFOGO是盈高科技的注册商标，未经允许，不得引用。

目录第一章策略路由快速配置 ---------------------------------------------------------------------------- 31.1ASM系统界面配置------------------------------------------------------------------------- 31.1.1网卡配置 --------------------------------------------------------------------------- 31.1.2策略路由参数配置---------------------------------------------------------------- 31.2网络联动设备配置 ------------------------------------------------------------------------ 51.2.1CISCO交换机配置 --------------------------------------------------------------- 51.2.2H3C交换机配置 ------------------------------------------------------------------ 61.2.2.1 policy-based-route方法配置 -------------------------------------------- 61.2.2.2 qos policy方法配置 ------------------------------------------------------- 71.2.2.3 route policy方法配置 ---------------------------------------------------- 71.2.2.4 traffic-redirect方法配置----------------------------------------------- 81.2.3华为交换机配置------------------------------------------------------------------- 81.2.3.1 traffic-policy方法配置-------------------------------------------------- 81.2.3.2 traffic-redirect方法配置----------------------------------------------- 91.2.3.3 route policy方法配置 ---------------------------------------------------- 9第二章VG虚拟网关快速配置---------------------------------------------------------------------- 102.1ASM系统界面配置 -------------------------------------------------------------------- 102.1.1网卡配置---------------------------------------------------------------------------- 102.1.2 VG虚拟网关参数设置------------------------------------------------------------- 102.2网络联动设备配置 ------------------------------------------------------------------- 13 第三章EOU认证技术快速配置 -------------------------------------------------------------------- 143.1ASM系统界面配置 -------------------------------------------------------------------- 143.1.1 网卡配置 ------------------------------------------------------------------------- 143.1.2 EOU参数配置------------------------------------------------------------------- 143.2网络联动设备配置 ------------------------------------------------------------------- 17 第四章PORTAL认证技术快速配置 --------------------------------------------------------------- 194.1ASM系统界面配置 -------------------------------------------------------------------- 194.1.1网卡配置---------------------------------------------------------------------------- 194.1.2 PORTAL参数设置 ----------------------------------------------------------------- 194.2网络联动设备配置 ------------------------------------------------------------------- 21 第五章透明网桥快速配置 -------------------------------------------------------------------------- 225.1ASM系统界面配置 -------------------------------------------------------------------- 225.1.1网卡配置---------------------------------------------------------------------------- 225.1.2透明网桥参数配置----------------------------------------------------------------- 22第一章策略路由快速配置1.1ASM系统界面配置1.1.1网卡配置启用ETH0和ETH2两块网卡并配置IP地址：ETH0与联动网络设备相连，配置的IP 地址作为策略路由的下一跳地址；ETH2配置的IP地址需要全网或者控制的网段能够访问。

盈高入网规范管理系统介绍

完全支持
总拥有成本
对接入层网络设备无要求，只要核心交换支持策略路由功能，运维和部署相对简单系统故障后，用户网络接入自动“逃生”
准入系统冗余
部署条件
需要Radius、802.1x交换机、安装客户端、配置计算机参数等，部署条件相互牵制
如果要实现引导介面，资金成本和技术成本很高，并且用户体验不会有本质性的改善接入方法复杂、无法通过技术手段进行接入审批，很难为管理手段提供技术支撑交换机接口、企业级无线SSID 能防止非授权计算机访问任何网络资源
产品特点——用户收益
全方位终端安全管理，解决CIO关注的问题
入网规范管理系统
1
保护终端安全更保护业务系统的安全确保网络安全管理制度的落实
2
3
强化内部工作人员安全意识
„ 变被动为主动，提高工作效率
4
5
一体化解决方案简化终端维护工作
„
终端可控安全高效
产品资质
22
产品荣誉
盈高入网规范管理系统介绍
ASM盈高入网规范管理系统介绍
ASM产品介绍
ASM产品功能
ASM部署方式
ASM实现机制
ASM产品特点 ASM相关案例
2
产品介绍——什么是ASM
• 基于Appliance-based准入技术的入网规范管理产品
• 计算机终端接入网络的“门禁系统”
• 无需安装客户端，采用Agentless模式 • 经过优化的安全操作系统平台，电信级硬件产品 • “违规不入网、入网必合规”
支持支持支持支持不支持
不影响支持
上行数据支持
不影响支持②
不影响支持

ASM盈高入网规范管理系统操作手册V5.2.

ASM盈高入网规管理系统I N F O G O A c c e s s S t a n d a r d M a n a g e m e n t S y s t e m操作手册声明：本文中出现的任文字表达、文档格式、插图、照片、法、过程等容，除另有特别注明，均属盈高科技所有，并受到有关产权及法保护。

任个人、机构未经盈高科技的书面授权可，不得以任式复制或引用本文的任片断。

目录1.说明12.ASM设备外观图解13.登录式14.操作界面说明14.1首页14.2模块界面25.用户首次配置25.1启用旁路模式25.2启用串联模式25.3系统根本设置35.4提醒35.5短信提醒设置35.6部门管理35.7注册与认证4平安域配置4认证角色管理4用户管理5来宾认证参数5全局参数设置5注册参数配置6认证参数配置7用户名密码认证7认证7手机短信认证7认证8效劳器配置8域认证参数设置8身份认证记录8动态验证码获取记录95.8配置入网规9标准行业入网规库9自定义规9高级属性115.9配置网络联动控制11认证技术设置11认证技术设置12透明网桥设置13策略路由设置14网关设置165.10配置双机热备186.用户日常使用186.1新设备注册检查186.2审核接入设备196.3设备管理196.4.1.添加可信设备206.4.2.取消可信设备206.4.3.设备安装软件信息206.4隔离设备206.5设备和用户绑定216.6立刻认证安检216.7信息导入226.8IP地址池226.9IP/MAC绑定226.10.1.添加IP/MAC绑定226.10.2.导入IP/MAC绑定236.10IP/MAC全局配置236.11查看系统数据及报表236.12.1.设备信息查询236.12.2.补丁管理查询236.12.3.统计报表查询246.12.4.未关机统计256.12上下网审计266.13级联管理266.14功能地图266.15报警中心266.16其他276.17.1.数据备份276.17.2.系统更新276.17.3.上传软件管理276.17.4.设备状态管理276.17.5.系统调试日志列表286.17.6.E*cel报表导出286.17.7.强制认证推送286.17.8.终端故障分析286.17.9.数据导入286.17过期设备去除记录296.18系统用户297.终端小助手功能297.1安检用户切换29 7.2修改认证用户密码301.说明ASM基于最先进的第三代准入控制技术，无需改变您的网络，无需安装客户端，具有简便的操作性、高度智能化的修复式及对于各种复杂网络的强适应性。

盈高入网规范管理系统策略路由快速配置手册

盈高入网规范管理系统策略路由快速配置手册INFOGO A ccess S tandard M anagement System未经盈高科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录1.ASM系统界面配置 (1)1.1网卡参数配置 (1)1.2产品界面个性化定制 (1)2.组织架构与人员信息创建 (2)2.1角色创建 (2)2.2组织架构管理 (2)2.3用户管理 (3)3.准入技术选择 (3)3.1准入模式选择 (3)3.2例外参数添加 (4)3.3NAT穿越配置 (5)4.网络相关配置 (6)4.1设备部署示意图 (6)4.2交换机策略路由命令 (7)4.3防火墙端口开放 (8)5.入网流程配置 (9)5.1开启身份认证 (9)5.2控件安装设置 (10)5.3开启注册审核 (10)5.4安全检查设置 (12)6.交换机联动管理 (12)7.告警信息配置 (13)1.ASM系统界面配置1.1网卡参数配置启用 ETH0 和 ETH2 两块网卡并配置 IP 地址：ETH0 与联动网络设备相连，配置的 IP地址作为策略路由的下一跳地址；ETH2 配置的 IP 地址需要全网或者控制的网段能够访问。

界面操作步骤：点击“系统设置”---“IP地址设置”,如下图：图1. 网卡参数配置1.2产品界面个性化定制设置准入设备基本信息：单位名称、界面名称显示等。

点击“系统设置”---“产品个性化定制”，如下图：图2. 网卡参数配置2.组织架构与人员信息创建2.1角色创建创建“角色”，盈高ASM将根据角色将人员、部门与角色一一对应起来，便于后续准入策略的下发、网络访问权限的控制等灵活控制。

ASM可实现对于不同角色的人员进行不同的准入策略与网络访问权限控制。

点击“用户管理”---“角色列表”---“添加角色”，如下图：图3. 添加角色2.2组织架构管理创建各单位的部门组织架构。

点击“用户管理”---“组织架构树”---“添加新组织架构”，创建部门，如下图：图4. 创建部门ASM支持组织架构以excel方式批量导入，模板中所使用字体均全部使用宋体，如下图：图5. 批量导入部门2.3用户管理创建本地用户名、密码，用户单位人员入网的身份认证。

准入控制ASM盈高入网规范管理系统

非法设备连入内网
外来人员终端(来宾,上级检查,第三方维护人员) 内部员工私人电脑或内外网终端混用非法设备联入内网的黑客行为等.
内部合法电脑存在风险和漏洞,安全性偏低,感染率高
未安装杀毒软件或病毒库未更新重要性的补丁未打终端其他安全设置问题(guest用户,密码等) 无法提供很好的全网终端修复手段
严Hale Waihona Puke 违规设备立即隔离多种修复手段支持
安全域划分
角色绑定安全域
入网时间控制
基于规则匹配模式的的安全检查引擎，支持安全规则的不断更新，确保安全检查的健壮性
拥有丰富的系统缺省检查规则库，并支持自定义和系统规则库的升级，便于应对层出不穷的安全隐患
独创的Agentless安全检查模式，既可以方便部署又可以满足安全要求
根据状态评估结果采取措施，隔离设备，并使其符合策略
访问控制与策略管理
轻松创建能快速应用于用户组和角色的全面、精确的策略
如果没有它...
难以将用户与设备关联起来，执行何种策略，防止设备欺骗。
从无限使用网络到受限使用，必然会带来抵触情绪。
仅知道某一设备不符合安全策略是不够的—必须有人修复它。
回顾与讨论
盈高ASM入网规范管理系统介绍
什么是 ASM
ASM的体系架
构
ASM的主要功
能
ASM的技术特
色
ASM是盈高精心打造的一款专业的网络安全准入控制产品 ASM是Access Standard Management的缩写重点突出“违规不入网、入网必合规” 经过优化的安全操作系统平台，电信级硬件产品是经过国内领先的大规模无客户端模式

ASM

准入流程
准入的功能在于验证内网设备的身份和安全性。

规范落实

接入控制，资产收集

部分典型用户
•金融业电力行业
•乐清电厂 •天荒坪抽水蓄能发电有限公司 •长兴电厂 •大唐湘潭发电有限责任公司 •温州电厂 •舟山市电力局 •鄞州供电局 •奉化供电局 •宁海供电局 •临海供电局 •临安供电局 •平湖供电局 •海盐供电局 •龙游供电局 •余姚供电局 •义乌供电局 •东阳供电局 •浦江供电局 •萧山供电局 •富阳供电局 •临安供电局 •… •浙江省进出口银行 •中国银监会浙江省监管局 •绍兴银行 •华夏银行杭州分行 •华夏银行绍兴分行 •广发银行（杭州分行） •中信实业银行（杭州分行） •天津市商业银行 •贵州省农信 •山西长治农信 •…

谢谢观赏

1、目前内网安全现状
2、与传统防火墙的区别
3、盈高ASM准入控制系统优势

与传统防火墙等安全产品的不同点？
传统防火墙
外网安全产品
准ห้องสมุดไป่ตู้控制管理系统
内网安全产品

1、目前内网安全现状
2、与传统防火墙的区别
3、盈高ASM准入控制系统优势

ASM盈高入网管理规范系统
盈高ASM入网规范管理系统是一套基于最先进的第三代准入控制技术的纯硬件准入控制系统，秉承“不改变网络、不装客户端”的特性，为您解决网络
准入控制的合规性要求，达到“违规不入网、入网必合规”的管理规范。

ASM盈高入网规范管理系统
朱振鸿

1、目前内网安全现状
2、与传统防火墙的区别
3、盈高ASM准入控制系统优势

ASM入网规范管理系统_用户快速配置手册V1[1].0

任何个人、机构未经盈高科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录用户首次配置 (3)1.1启用旁路模式 (3)1.2启用串联模式 (3)1.3用户信息配置 (4)1.4部门设置 (7)1.5客户机认证参数设置 (8)用户首次配置如果您是第一次登录ASM系统，为了方便今后的工作，我们建议您先进行一些初始化配置。

1.1 启用旁路模式如果ASM是采用串联方式接入您的网络，请跳过此步骤，直接进入启用串联网络。

当ASM采用旁路方式接入您的网络时，必须为执行接入的eth2口分配一个网络中可用的ip地址。

操作步骤为“系统设置”模块→“网络参数设置”选项，进入如下界面：图 1.1. 11、勾选ETH2的启用框；2、为ETH2配置一个您网络中可用的ip地址、子网掩码、网关。

3、点击“完成配置”。

在ASM系统已经通过eth2口接入您网络的情况下，远程ping eth2口的ip地址。

如果无法ping通，请联系我们的技术工程师。

1.2 启用串联模式如果ASM系统是采用旁路方式接入您的网络，请跳过此步骤，进入用户信息提示配置。

请将ASM的eth0口与您需要进行准入控制的内部网络相连，将eth3口与您的外部网络相连。

具体连接方式可能需要依据您的网络拓扑而定，您可以预先咨询我们的技术工程师。

操作步骤为“系统设置”模块→“网络参数设置”选项，进入如下界面：图 1.2. 11、勾选ETH0、ETH1 的启用框。

2、点击“完成配置”。

注：关于串联接入的具体参数设置，请参考操作手册中的透明网桥配置。

1.3 用户信息配置为了让ASM更好地融入您的网络，请先将您的用户信息写入ASM的界面中。

ASM入网规范管理系统-准入控制技术快速配置手册

任何个人、机构未经盈高科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录第一章策略路由快速配置------------------------------------------------------------------------------------- 31.1ASM系统界面配置--------------------------------------------------------------------------------- 31.1.1网卡配置 ----------------------------------------------------------------------------------- 31.1.2策略路由参数配置----------------------------------------------------------------------- 31.2网络联动设备配置 -------------------------------------------------------------------------------- 51.2.1CISCO交换机配置 ---------------------------------------------------------------------- 51.2.2H3C交换机配置 ------------------------------------------------------------------------- 61.2.2.1 policy-based-route方法配置------------------------------------------------- 61.2.2.2 qos policy方法配置 ------------------------------------------------------------- 71.2.2.3 route policy方法配置 ---------------------------------------------------------- 71.2.2.4 traffic-redirect方法配置 ---------------------------------------------------- 81.2.3华为交换机配置-------------------------------------------------------------------------- 81.2.3.1 traffic-policy方法配置 ------------------------------------------------------- 81.2.3.2 traffic-redirect方法配置 ---------------------------------------------------- 91.2.3.3 route policy方法配置 ---------------------------------------------------------- 9 第二章VG虚拟网关快速配置 ------------------------------------------------------------------------------ 102.1ASM系统界面配置----------------------------------------------------------------------------- 102.1.1网卡配置 ------------------------------------------------------------------------------------- 102.1.2 VG虚拟网关参数设置 -------------------------------------------------------------------- 102.2网络联动设备配置 ---------------------------------------------------------------------------- 13 第三章EOU认证技术快速配置----------------------------------------------------------------------------- 143.1ASM系统界面配置----------------------------------------------------------------------------- 143.1.1 网卡配置 ---------------------------------------------------------------------------------- 143.1.2 EOU参数配置 --------------------------------------------------------------------------- 143.2网络联动设备配置 ---------------------------------------------------------------------------- 17 第四章PORTAL认证技术快速配置 ----------------------------------------------------------------------- 194.1ASM系统界面配置----------------------------------------------------------------------------- 194.1.1网卡配置 ------------------------------------------------------------------------------------- 194.1.2 PORTAL参数设置-------------------------------------------------------------------------- 194.2网络联动设备配置 ---------------------------------------------------------------------------- 21 第五章透明网桥快速配置------------------------------------------------------------------------------------ 225.1ASM系统界面配置----------------------------------------------------------------------------- 225.1.1网卡配置 ------------------------------------------------------------------------------------- 225.1.2透明网桥参数配置------------------------------------------------------------------------- 22第一章策略路由快速配置1.1ASM系统界面配置1.1.1网卡配置启用ETH0和ETH2两块网卡并配置IP地址：ETH0与联动网络设备相连，配置的IP 地址作为策略路由的下一跳地址；ETH2配置的IP地址需要全网或者控制的网段能够访问。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

•降低带宽消耗
采用P2P技术进行补丁分发补丁包就近下载补丁包压缩传输支持断点续传
智能补丁检查更新
制定补丁策略
管理平台
部署方式——逻辑示意图
实现机制—支持多种Enforcement强制技术
DNS Proxy Multivendor Virtual 策略路由 Gateway PBR Bridge
策略路由
支持支持支持支持不支持上行数据支持
802.1X
不支持① 支持支持不支持支持不影响支持②
Cisco EOU
支持支持支持支持支持不影响支持
Portal
支持支持支持不支持不支持不影响支持
DHCP 强制
支持支持支持在分配IP 之前支持支持不影响支持
主动加固修复
二、安全策略检查——变被动响应为主动防御
终端安全接入
› 安全：禁止不安全终端进入网络 › 合规：强制实施安全策略 › 受控：自动化漏洞修复，主动保障终端安全受控
•业界最完善丰富的安全策略，屏蔽不安全设备和人员接入，根本上保证内网终端“健康” • 动态策略管理，基于网络环境和需求选择策略模板，可订制、可扩展 •灵活策略配置，基于用户角色的策略控制 •强制实施企业安全策略，提供全面主动式防御 - 保证网络安全策略统一执行，主动发现终端漏洞，消除终端安全缺口带来的已知和未知威胁 •满足IT法规遵从性 - 提供合规性模版，客户可以通过使用模版来满足政府合规性的要求 •自动化修复终端漏洞 - 发现违规项，能够及时通知和协助终端用户实施修复，主动消除已知和未知威胁
3
强化内部工作人员安全意识
… 变被动为主动，提高工作效率
4
5
一体化解决方案简化终端维护工作
…
终端可控安全高效
效果分析： 1. 客户端补丁没有打
2.
3.
4.
5.
全，病毒库过期，将进入修复区进行修复，确保及时更新补丁及病毒库统一管理客户端的软件资产，确保局里不存在版权纠纷有效防范盗用MAC 地址，非法接入的风险通过ASM系统，落实了局里的一整套用户接入网络的流程使得国网桌面客户端安装率达到100%
串联
支持支持支持支持不支持影响支持
边界安全
数据流量影响单点故障网络设备要求
可网管交换机
支持策略路由
均支持 802.1X
CISCO 品牌
H3C 品牌
较高
无
汇聚交换机
Trust/802.1Q
Trunk
SNMP/CLI
ASM-LanCtrl
Trunk Trunk
接入交换机
Vlan 10 Vlan 10 Vlan 20 Vlan 20
H3C Portal /Portal+
CISCO EOU
ASM
VPN
DHCP强制
802.1X
Firewall
ASM支持多种Enforcement强制技术，最大限度的适应企业的网络实际环境
实现机制——准入技术扩展功能比较
准入技术重定向身份验证安全检查权限分配虚拟网关
支持支持支持不支持支持不影响支持
三、全面安全策略管理
ASM入网规范管理系统提供强大的安全策略全局视图，屏蔽不安全终端和人员接入网络，主动保障内网的安全稳定运行。根据行业的需要进行动态编辑，允许自行创建安全规则，针对不同点控制点采取不同策略，可扩展、可定制。
策略解决问题
策略类别
系统检查类
补丁检查类
网络检查类应用检查类
系统检查类： •检查共享目录 •检查软件黑白名单 •检查注册表子键 •检查屏保设置 •检查防病毒软件 •检查Guest账户补丁检查类：操作系统补丁 ……
系统服务检查
……..
进程运行检查
桌面管理系统客户端检查 “一键式”智能傻瓜修复方式报警响应+统计报表 CA认证系统 AD域 4A系统第三方接口
Radius
网络资源
SOC管理平台
LADP
Syslog
一、安全接入控制，保护核心业务系统
阻止非授权不安全终端接入，保护业务系统 > > 电信级硬件安全接入控制设备＋安全状态检查，阻止非授权、不安全终端接入强制安全策略遵从，主动发现终端存在的安全威胁，加强内网自我防御能力基于用户角色的授权访问，保护核心业务系统无需安装客户端,同时支持策略路由、 Eou、Portal、透明网桥等接入控制
•入网设备共约2500台，分布在下属的
•采用策略路由方式进行准入控制 •结合ukey实现人员与设备的双认证 •国内第一个大规模无客户端模式部署的项目
需求：接入内网终端的身份合法性、健康性以及访问的权限做控制和管理。
自主的补丁分析和修复
采用多种强制技术确保适合企业实际情况
对企业的网路改动最小
丰富并且不断更新的安全检查规则库
企业可定制的自我其它修复
产品特点——用户收益
全方位终端安全管理，解决CIO关注的问题
入网规范管理系统
1
保护终端安全更保护业务系统的安全
2
确保网络安全管理制度的落实
接入交换机接入交换机
产品特点——技术特色
最适合用户网路环境的N的安全检查规则库
完备的自我修复环境支持，提供一体化的友好修复支撑
基于Appliancebased的NAC产品
支持Agentless 方式进行部署
高效的安全检查引擎
主动防御，事半功倍被动救火，事倍功半
关闭Guest帐户
……
四、ASM智能化补丁管理
• 智能化补丁管理自动修复系统漏洞，从根本上杜绝了病毒利用漏洞的可能，有效保护企业内网安全 • 有别于传统的WSUS方式
补丁服务器
•智能补丁专业团队进行测试补丁补丁系统主动推送终端补丁自动检查

盈高入网规范管理系统介绍
ASM盈高入网规范管理系统介绍
ASM产品介绍
ASM产品功能
ASM部署方式
ASM实现机制
ASM产品特点
产品介绍——什么是ASM
• 基于Appliance-based准入技术的入网规范管理产品
• 计算机终端接入网络的“门禁系统”
• 无需安装客户端，采用Agentless模式 • 经过优化的安全操作系统平台，电信级硬件产品 • “违规不入网、入网必合规”
身份认证
授权访问
>
>
安全健康检查
行为监控
基于终端安全状态检查，ASM提供高可靠接入控制决策：允许、阻断、隔离和限制主动阻止非法终端对网络非授权访问，全面保障接入终端安全、合规、受控根据业务资源权限划分多认证后域：互联网、内部网、服务器区、财务服务器区等提供基于用户角色的细粒度访问权限控制，保护企业核心系统安全多种身份认证方式，满足不同应用场景：用户名/ 口令、AD域、LDAP、USB-Key和手机短信认证等
•防止信息泄密，降低病毒扩散途径
•规范内部软件安装
•防止病毒修改注册表 •统一屏保策略 •强化病毒防御体系
•主动弥补漏洞和缺陷
……
自动化安全策略修复
自动化修复
安装、运行防病毒软件更新病毒特征库更新共享目录权限安装必须的安全软件
自动修复提示
自动检查
VS.
检查并安装系统关键安全补丁
检查并修复系统安全设置更新屏保设置
产品功能——能做什么
• 根据多年的终端安全建设经验，我们提出了包括“身份认证―安全检查—修复加固—授权访问”的整体解决思路。
策略检查敏感资源
核心资源
阻止隔离修复非授权用户不安全用户
授权访问
一般资源
盈高入网规范管理系统（ASM）
用户管理+安全角色管理
终端安全性检查
防病毒软件检查双实名制身份认证系统补丁管理软件安装检查网络访问授权管理