盈高ASM(入网规范管理系统)v2.1
ASM入网规范管理系统_准入控制技术快速配置手册
ASM盈高入网规范管理系统网络联动控制快速配置手册INFOGO A ccess S tandard M anagement SystemVer 2010.0831版权声明:本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属盈高科技所有,并受到有关产权及版权法保护。
任何个人、机构未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
商标:盈高、INFOGO是盈高科技的注册商标,未经允许,不得引用。
目录第一章策略路由快速配置 ---------------------------------------------------------------------------- 31.1ASM系统界面配置------------------------------------------------------------------------- 31.1.1网卡配置 --------------------------------------------------------------------------- 31.1.2策略路由参数配置---------------------------------------------------------------- 31.2网络联动设备配置 ------------------------------------------------------------------------ 51.2.1CISCO交换机配置 --------------------------------------------------------------- 51.2.2H3C交换机配置 ------------------------------------------------------------------ 61.2.2.1 policy-based-route方法配置 -------------------------------------------- 61.2.2.2 qos policy方法配置 ------------------------------------------------------- 71.2.2.3 route policy方法配置 ---------------------------------------------------- 71.2.2.4 traffic-redirect方法配置----------------------------------------------- 81.2.3华为交换机配置------------------------------------------------------------------- 81.2.3.1 traffic-policy方法配置-------------------------------------------------- 81.2.3.2 traffic-redirect方法配置----------------------------------------------- 91.2.3.3 route policy方法配置 ---------------------------------------------------- 9第二章VG虚拟网关快速配置---------------------------------------------------------------------- 102.1ASM系统界面配置 -------------------------------------------------------------------- 102.1.1网卡配置---------------------------------------------------------------------------- 102.1.2 VG虚拟网关参数设置------------------------------------------------------------- 102.2网络联动设备配置 ------------------------------------------------------------------- 13 第三章EOU认证技术快速配置 -------------------------------------------------------------------- 143.1ASM系统界面配置 -------------------------------------------------------------------- 143.1.1 网卡配置 ------------------------------------------------------------------------- 143.1.2 EOU参数配置------------------------------------------------------------------- 143.2网络联动设备配置 ------------------------------------------------------------------- 17 第四章PORTAL认证技术快速配置 --------------------------------------------------------------- 194.1ASM系统界面配置 -------------------------------------------------------------------- 194.1.1网卡配置---------------------------------------------------------------------------- 194.1.2 PORTAL参数设置 ----------------------------------------------------------------- 194.2网络联动设备配置 ------------------------------------------------------------------- 21 第五章透明网桥快速配置 -------------------------------------------------------------------------- 225.1ASM系统界面配置 -------------------------------------------------------------------- 225.1.1网卡配置---------------------------------------------------------------------------- 225.1.2透明网桥参数配置----------------------------------------------------------------- 22第一章策略路由快速配置1.1ASM系统界面配置1.1.1网卡配置启用ETH0和ETH2两块网卡并配置IP地址:ETH0与联动网络设备相连,配置的IP 地址作为策略路由的下一跳地址;ETH2配置的IP地址需要全网或者控制的网段能够访问。
盈高入网规范管理系统策略路由快速配置手册
盈高入网规范管理系统策略路由快速配置手册INFOGO A ccess S tandard M anagement System未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录1.ASM系统界面配置 (1)1.1网卡参数配置 (1)1.2产品界面个性化定制 (1)2.组织架构与人员信息创建 (2)2.1角色创建 (2)2.2组织架构管理 (2)2.3用户管理 (3)3.准入技术选择 (3)3.1准入模式选择 (3)3.2例外参数添加 (4)3.3NAT穿越配置 (5)4.网络相关配置 (6)4.1设备部署示意图 (6)4.2交换机策略路由命令 (7)4.3防火墙端口开放 (8)5.入网流程配置 (9)5.1开启身份认证 (9)5.2控件安装设置 (10)5.3开启注册审核 (10)5.4安全检查设置 (12)6.交换机联动管理 (12)7.告警信息配置 (13)1.ASM系统界面配置1.1网卡参数配置启用 ETH0 和 ETH2 两块网卡并配置 IP 地址:ETH0 与联动网络设备相连,配置的 IP地址作为策略路由的下一跳地址;ETH2 配置的 IP 地址需要全网或者控制的网段能够访问。
界面操作步骤:点击“系统设置”---“IP地址设置”,如下图:图1. 网卡参数配置1.2产品界面个性化定制设置准入设备基本信息:单位名称、界面名称显示等。
点击“系统设置”---“产品个性化定制”,如下图:图2. 网卡参数配置2.组织架构与人员信息创建2.1角色创建创建“角色”,盈高ASM将根据角色将人员、部门与角色一一对应起来,便于后续准入策略的下发、网络访问权限的控制等灵活控制。
ASM可实现对于不同角色的人员进行不同的准入策略与网络访问权限控制。
点击“用户管理”---“角色列表”---“添加角色”,如下图:图3. 添加角色2.2组织架构管理创建各单位的部门组织架构。
点击“用户管理”---“组织架构树”---“添加新组织架构”,创建部门,如下图:图4. 创建部门ASM支持组织架构以excel方式批量导入,模板中所使用字体均全部使用宋体,如下图:图5. 批量导入部门2.3用户管理创建本地用户名、密码,用户单位人员入网的身份认证。
ASM6000产品介绍2839 V1.2
手动安全检查
一键式快速终端修复
自动汇总设备资产
管理员单体修复
手动记录台账
人员设备授权访问
随意网络接入
检查修复后访问网络
防护DHCP干扰欺骗
终端安全失控
非法小路由干扰
安全域访问控制
阻止非法外联
数据随意访问
U盘使用控制
内网外联
U盘随意使用
控制非工作程序使用 安全加固减少宕机
使用非工作应用 安全问题致宕机
终端安 全策略 不全 私接网 络设备 非法人 员使用
40% 35% 30% 25% 20% 15% 10% 5% 0%
内网隐患是当下 信息安全问题之首
安全事故原因
内网困境
解决之道
应用价值
成功案例
ASM
入网规范管理系统
终端授权
安全检查
权限管理
人员认证
使用监控
安全修复
高易用性
高安全性
高兼容性
内网困境
解决之道
应用价值 成功案例
面临的问题
1. 内网路由器、无线繁多,认证困难 2.U盘管理困难,移动介质有泄密风险
3. 杀毒软件、补丁安装不全
4. 内网用户非法外联行为严重、管控不严
ASM
• 加强了网络中的管理力度和效率 实名准入 • 做到了杀毒软件和补丁的100%的安 装率
安全策略
• 减少了移动介质泄密的风险
盈高科技ASM6000准入系统 产品介绍
XXX年XX月XX日 XXX部门 XXX
内网困境 解决之道
应用价值
成功案例
1.终端设备不明 2.使用人员不明 3.终端安全不明
4.用户操作不明
用户非 法操作
非授权 终端进 入
ASM盈高入网规范管理系统--产品说明书
盈高入网规范管理系统INFOGO A ccess S tandard M anagement System产品说明书Version:5.2版权声明:本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属盈高科技所有,并受到有关产权及版权法保护。
任何个人、机构未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录1建设入网规范管理系统的必要性 (4)1.1解决内网安全所面临的严重问题 (4)1.1.1安全管理规范落实的问题 (4)1.1.2接入用户及设备的实名制 (4)1.1.3人机对应管理机制落实的问题 (4)1.1.4快速发现设备隐患及智能修复的问题 (5)1.1.5安全检查规则库不能更新升级的问题 (5)1.1.6网络结构复杂、新老设备兼容的问题 (5)1.1.7内网分角色分区域访问控制的问题 (6)1.1.8日益增多的移动办公与特殊情况处理的问题 (6)1.1.9用户来宾的访问控制与管理问题 (6)1.1.10单点防御及分散管理的问题 (6)1.1.11实名入网安检日志审计问题 (7)1.1.12保证网络边界完整的问题 (7)1.2法令法规上的明确要求 (7)2如何选择入网规范管理系统? (9)2.1具有很好的网络环境适应性,不需要大幅调整网络结构 (9)2.2选择成熟的、先进的网络准入控制方案 (9)2.3能够支持快速部署的,最好不安装客户端 (10)2.4具有高可靠性,一定要有很好的逃生方案 (11)2.5能够提供不断更新的安全检查引擎和规则库升级,具有较好的可扩展性 (11)2.6具备从认证、安检、修复、访问控制“一条龙”体系 (11)2.7需要经验丰富、具有风险管理的专业技术服务团队支撑 (12)3适合您的盈高入网规范管理系统 (13)3.1产品体系架构 (13)3.2产品主要解决问题说明 (14)3.2.1采用双实名制,解决入网人员与设备的合法性问题 (14)3.2.2多样化的身份认证方式,解决人员实名认证问题 (14)3.2.3综合入网控制、检查引擎及规范执行审计,有效解决网络安全规范无法落实的问题 (14)3.2.4提供用户与设备对应责任管理,建立“人机对应”负责制 (14)3.2.5制定各个行业有特色的安全检查规范库,解决安全检查单一的问题 (15)3.2.6“一键式”智能安全修复技术,大大降低管理员工作量 (15)3.2.7保持定期更新的安全检查引擎及规则库,给用户带去不仅仅是产品,更是持续的服务 (15)3.2.8集成多种入网强制技术,兼容各家网络设备,具有良好的网络适应性 . 163.2.9基于角色的动态授权,更好解决内网区域布控和访问控制问题 (16)3.2.10灵活的特殊例外设备处理,确保项目建设快速推进 (16)3.2.11来宾管理,解决来宾上网的同时保护用户内网资源 (16)3.2.12端点与网络集中管理相结合,一改“单点防御、分散管理”的局面 (17)3.2.13实名制日志审计报表,可以对网络各项规范执行情况了如指掌 (17)3.2.14及时的报警响应,让管理员随时掌握网络边界安全动态 (17)3.3ASM应用场景 (17)3.3.1局域网接入安全防护 (18)3.3.2关键区域数据保护 (18)3.3.3用户总部入口安全防护 (18)3.3.4用户分支出口安全防护 (18)4总结 (19)1建设入网规范管理系统的必要性1.1 解决内网安全所面临的严重问题1.1.1安全管理规范落实的问题目前各个政府单位及各行各业都建立了较为完整的网络安全管理规范,但很多时候落实情况不尽如人意,究其原因是缺乏行之有效的管理手段。
盈高入网规范管理系统介绍
完全支持
总拥有成本
对接入维和部署相对简单 系统故障后,用户网络接入自 动“逃生”
准入系统冗余
部署条件
需要Radius、802.1x交换机、 安装客户端、配置计算机参数 等,部署条件相互牵制
如果要实现引导介面,资金成 本和技术成本很高,并且用户 体验不会有本质性的改善 接入方法复杂、无法通过技术 手段进行接入审批,很难为管 理手段提供技术支撑 交换机接口、企业级无线SSID 能防止非授权计算机访问任何 网络资源
用户体验
来宾接入
计算机接入控制能力
L2-OOB-VG:虚拟网关
18
ASM优势点
强制 性高 适应 性强 1
强制终端准入和安检修复的需求 阻断未授权终端入网的需求
2
ASM
3
不装常驻客户端的需求 兼容多品牌设备不改变网络结构的 定制化策略管理的需求 一键式智能化修复的需求
策略 智能
管理 细化 4
对软硬件管理和统计报表的需求 对网络接入层可视化管理的需求
接入层交换机以Trunk方式接 入汇聚层、客户端自动部署 有引导介面,并可以根据策略 自动修复,引导用户安全接入 网络 来宾可以通过系统提交入网申 请,审批后入网,很好的为管 理手段提供技术支撑 交换机接口、HUB、不可网管 交换机 能防止非授权计算机访问任何 网络资源
核心交换机支持策略路由技术, 客户端自动部署 有引导介面,并可以根据策略 自动修复,引导用户安全接入 网络 来宾可以通过系统提交入网申 请,审批后入网,很好的为管 理手段提供技术支撑 企业级无线、家用无线路由器、 HUB、交换机、不可网管交换 机 不能防止计算机与本网段计算 机的通信
23
ASM案例分析 某商业银行
需求:接入内网终端 的身份合法性、健康 性以及访问的权限做 控制和管理。
网络准入控制系统功能简介
网络准入控制系统(ASM入网规范管理系统)特点概述ASM(Admission Standard Management入网规范管理系统),是盈高科技自主知识产权的集成化终端安全管理平台,是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。
秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。
改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。
ASM入网规范的功能特点主要有以下几点:1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。
系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB- KEY等多种认证方式。
在认证的基础上提供完善的角色、安全域、来宾权限管理。
使用户从设备和人员两方面进行网络边界的划定。
2、广泛的网络适应ASM6000全面兼容各种终端和网络设备,广泛适应异构系统、BYOD、BYON的应用。
采用先进的设备特征采集技术,能够自动识别多种设备,有效的对设备进行标示和固定。
自动识别的设备包括:各种交换机、路由器、PC、IPHONE、IPAD、安卓系统等。
3、安检策略丰富完善ASM6000具备丰富的核心规范库,提供了数十种基础安全规范。
根据盈高科技多年来在入网规范领域的经验总结,系统还提供了符合行业特征的安全规范,包括:电子政务外网、电子政务内网、军队、军工制造、能源电力、电信、移动、医疗卫生、生产制造企业等。
这就使用户能够快速进行安全规范应用。
4、安全定位灵活多样ASM6000提供了一个全网安全管理和展示的平台,能够对全网拓扑和设备状态进行展示。
可以进一步向下细化定位,直至每台终端设备。
也可以通过终端设备向上检索,找到其连接的网络设备。
终端管理不再是孤立的被看待,而是作为网络的一个部分,整体的进行管理。
ASM
准入流程
准入的功能在于验证内网设备的身份和安全性。
规范落实
接入控制,资产收集
部分典型用户
•金融业 电力行业
•乐清电厂 •天荒坪抽水蓄能发电有限公司 •长兴电厂 •大唐湘潭发电有限责任公司 •温州电厂 •舟山市电力局 •鄞州供电局 •奉化供电局 •宁海供电局 •临海供电局 •临安供电局 •平湖供电局 •海盐供电局 •龙游供电局 •余姚供电局 •义乌供电局 •东阳供电局 •浦江供电局 •萧山供电局 •富阳供电局 •临安供电局 •… •浙江省进出口银行 •中国银监会浙江省监管局 •绍兴银行 •华夏银行杭州分行 •华夏银行绍兴分行 •广发银行(杭州分行) •中信实业银行(杭州分行) •天津市商业银行 •贵州省农信 •山西长治农信 •…
谢谢观赏
1、目前内网安全现状
2、与传统防火墙的区别
3、盈高ASM准入控制系统优势
与传统防火墙等安全产品的不同点?
传统防火墙
外网安全产品
准ห้องสมุดไป่ตู้控制管理系统
内网安全产品
1、目前内网安全现状
2、与传统防火墙的区别
3、盈高ASM准入控制系统优势
ASM盈高入网管理规范系统
盈高ASM入网规范管理系统是一套基于最先进的第三代准入控制技术的纯硬 件准入控制系统,秉承“不改变网络、不装客户端”的特性,为您解决网络
准入控制的合规性要求,达到“违规不入网、入网必合规”的管理规范。
ASM盈高入网规范管理系统
朱振鸿
1、目前内网安全现状
2、与传统防火墙的区别
3、盈高ASM准入控制系统优势
盈高ASM功能说明
产品支持对入网终端进行安全性评分,所有评分上报服务器进行审计,让管理员与用户快速、直观了解系统所存在的安全风险或漏洞。
安全修复
ASM支持对终端安检漏洞提供后台自动修复、前端一键式交互修复、引导至修复区修复等多种修复方式,极大的减轻了管理员工作量。
MAC防篡改
ASM提供ip-mac地址防篡改功能,能够智能探测入网的ip-mac信息,防止非法终端在伪造成可信设备的ip或mac地址后入网。
规范性检查
系统能够对是否安装规定程序、是否为域用户、计算机名是否规范、是否开启远程桌面等项做合规性检查,以帮助管理规范的落实。
未关机设备统计
系统提供未关机计算机统计管理功能,能够对经常未关机的用户进行及时的纠正,不仅可以帮助单位节省能耗,更可以防止火灾隐患的发生。
软件资产统计
产品可以自动收集分析终端计算机安装的软件信息,并可以通过多种条件进行查询和统计,把管理员从机械、枯燥的工作中解放出来。
防病毒联动管理
ASM可以与14种以上主流防病毒软件联动工作,不仅能实时监测防病毒软件的运行状况,还可以及时处理病毒日志信息,防止由于病毒日志信息的误报而影响工作业绩。
系统补丁管理
ASM提供简单、实用的系统补丁流程化管理,为用户提供快速、简洁的补丁扫面、补丁下载、补丁安装等工作,并可以通过对全网终端补丁状况分析统计,自动生成系详细、直观的补丁安装报告。
安全报警产品ຫໍສະໝຸດ 供对新入网设备、待审核设备、设备伪造入网等多项报警,并支持邮件、手机短信等多种告警方式。
审计报表
产品提供违规检查项、违规次数、违规设备、身份认证记录等统计排行情况,并能够按照每日、每周、每月的入网统计报告并以邮件形式通知管理员。
高安全性
产品提供一旦准入技术失效后平台立即切换到fail-open模式,可以避免产品单点故障。