盈高入网规范管理系统策略路由快速配置手册
盈高-网络准入控制解决方案
网络准入控制解决方案ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。
是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。
是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。
改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。
ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡:基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。
生成全网的拓扑图、设备状态视图、终端状态视图等。
观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。
策略实施policy implementASM6000在前期大量安全视图的基础上,提供网络接入各种认证和控制手段,并实施各项安全和管理策略,使终端满足安全基线要求,有效的规避了网络终端潜在的各种风险。
评估与管理evaluation & managementASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力,配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据,为进一步提高安全管理和等保测评等工作提供重要支持。
方案特色及优势1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。
系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式。
在认证的基础上提供完善的角色、安全域、来宾权限管理。
盈高入网规范管理系统介绍
完全支持
总拥有成本
对接入层网络设备无要求,只 要核心交换支持策略路由功能, 运维和部署相对简单 系统故障后,用户网络接入自 动“逃生”
准入系统冗余
部署条件
需要Radius、802.1x交换机、 安装客户端、配置计算机参数 等,部署条件相互牵制
如果要实现引导介面,资金成 本和技术成本很高,并且用户 体验不会有本质性的改善 接入方法复杂、无法通过技术 手段进行接入审批,很难为管 理手段提供技术支撑 交换机接口、企业级无线SSID 能防止非授权计算机访问任何 网络资源
产品特点——用户收益
全方位终端安全管理,解决CIO关注的问题
入 网 规 范 管 理 系 统
1
保护终端安全更保护业务系统的安全 确保网络安全管理制度的落实
2
3
强化内部工作人员安全意识
„ 变被动为主动,提高工作效率
4
5
一体化解决方案简化终端维护工作
„
终 端 可 控 安 全 高 效
产品资质
22
产品荣誉
盈高入网规范管理系统介绍
ASM盈高入网规范管理系统介绍
ASM产品介绍
ASM产品功能
ASM部署方式
ASM实现机制
ASM产品特点 ASM相关案例
2
产品介绍——什么是ASM
• 基于Appliance-based准入技术的入网规范管理产品
• 计算机终端接入网络的“门禁系统”
• 无需安装客户端,采用Agentless模式 • 经过优化的安全操作系统平台,电信级硬件产品 • “违规不入网、入网必合规”
支持 支持 支持 支持 不支持
不影响 支持
上行数据 支持
不影响 支持②
不影响 支持
盈高-网络准入控制解决方案
网络准入控制解决方案ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。
是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。
是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。
改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。
ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡:基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。
生成全网的拓扑图、设备状态视图、终端状态视图等。
观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。
策略实施policy implementASM6000在前期大量安全视图的基础上,提供网络接入各种认证和控制手段,并实施各项安全和管理策略,使终端满足安全基线要求,有效的规避了网络终端潜在的各种风险。
评估与管理evaluation & managementASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力,配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据,为进一步提高安全管理和等保测评等工作提供重要支持。
方案特色及优势1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。
系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式。
在认证的基础上提供完善的角色、安全域、来宾权限管理。
盈高多维终端安全管理平台产品说明书范本
MSEP 多维终端安全管理平台产品说明杭州盈高科技有限公司杭州市教工路552号杭州国际服务外包示范基地301室电话:+86571-88271902传真:+86571-56839385MSEP多维终端安全管理平台产品说明版权声明本文中的所有内容及格式的版权属于杭州盈高科技有限公司(以下简称盈高科技)所有,未经盈高科技许可,任何人不得仿制、拷贝、转译或任意引用。
版权所有不得翻印© 2007盈高科技公司商标声明本文中所谈及的产品名称仅做识别之用。
手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。
盈高®多维终端安全管理平台信息反馈目录一产品的安全策略 (3)二、多维终端安全管理平台的特色 (4)◆实时风险展示,随时了解状况 (4)◆全面安全检查,规避安全漏洞 (4)◆多种报警方式,查询形象直观 (5)◆缺陷自动修复,减少人工干预 (6)◆无任何网络改造,避免网络影响 (6)◆多种部署方式,降低部署成本 (7)◆深入系统内核,确保终端稳定和兼容性 (8)◆整体代码优化,减少终端资源消耗 (9)三、产品的安全目标和外部接口说明 (10)四、产品设计原则与架构 (12)4.1.整体方案设计原则 (12)4.2.统一的集成化融合管理平台 (13)4.3.系统架构说明 (14)五、产品的功能特点 (15)5.1.集合资产配置管理与安全加固管理于一体 (15)5.2.统一定制、强制执行的安全策略管理 (16)5.3.集中管理的主机防火墙 (16)5.4.补丁管理系统 (16)5.5.“主动式”安全策略防御体系 (17)5.6.桌面设置及运维 (17)5.7.杀毒软件版本检测 (17)5.8.全面的资产管理 (17)5.9.软件分发与安装 (18)5.10.黑白进程管理 (18)5.11.网站访问安全控制 (18)5.12.违规外联 (18)5.13.便捷的远程维护 (19)5.14.强大的外设监控功能 (19)5.15.安全检查及加固管理 (19)5.16.弱口令检查功能 (21)5.17.可信移动存储设备监控 (21)5.18.客户端资源运行管理 (22)5.19.网络流量安全管理 (23)5.20.反ARP欺骗安全管理 (23)六、产品系统特点 (25)6.1.友好的用户WEB界面,易于部署迅速实施 (25)6.2.模块化系统功能,真正提供所需服务 (25)6.3.具有较高的系统性能 (25)6.4.实时性 (26)6.5.易用性 (26)6.6.安全性 (26)6.7.支持完善、安全的用户管理与认证机制 (26)6.8.面向终端用户的完全透明性 (26)6.9.基于开源平台,无任何知识产权风险 (27)七、产品的安全功能相关的术语及定义说: (28)一产品的安全策略随着网络技术的广泛应用,各种网络环境中的安全问题正威胁着用户的正常工作,目前边界安全技术及产品已非常成熟,从2003-2006年的网络安全情况来看,尽管大多数用户采用了专门的网络通道技术、物理隔离技术、安全网段划分、安全防护设施(如防火墙、入侵检测、漏洞扫描)等方式保证自己的网络安全,但是,对类似下面的安全问题仍然无法做到真正意义上的解决:◆如何防范频繁出现的内部攻击?◆如何及时发现桌面设备的系统漏洞并最快自动分发补丁;◆如何规范、方便、有效、安全地管理移动存储设备的日常使用,如何确保没有登记的移动存储设备无法在内部网络正常使用?◆如何防范用户绕过防火墙等边界防护设施,直接联入外网带来的严重安全隐患的行为?◆如何确保需控制的岗位严格执行上班时间不允许炒股、玩游戏、聊天等管理制度?◆如何为每台终端设备加固安全策略,减少日常用户使用的安全事故?◆如何快速有效的定位网络中病毒、黑客的引入点,快速、安全的切断安全事件发生点和相关网络。
盈高-网络准入控制解决方案
网络准入控制解决方案ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。
是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。
是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。
改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。
ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡:基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。
生成全网的拓扑图、设备状态视图、终端状态视图等。
观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。
策略实施policy implementASM6000在前期大量安全视图的基础上,提供网络接入各种认证和控制手段,并实施各项安全和管理策略,使终端满足安全基线要求,有效的规避了网络终端潜在的各种风险。
评估与管理evaluation & managementASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力,配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据,为进一步提高安全管理和等保测评等工作提供重要支持。
方案特色及优势1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。
系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式。
在认证的基础上提供完善的角色、安全域、来宾权限管理。
盈高-网络准入控制解决方案
网络准入控制解决方案ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。
是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。
是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。
改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。
ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡:基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。
生成全网的拓扑图、设备状态视图、终端状态视图等。
观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。
策略实施policy implementASM6000在前期大量安全视图的基础上,提供网络接入各种认证和控制手段,并实施各项安全和管理策略,使终端满足安全基线要求,有效的规避了网络终端潜在的各种风险。
评估与管理evaluation & managementASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力,配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据,为进一步提高安全管理和等保测评等工作提供重要支持。
方案特色及优势1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。
系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式。
在认证的基础上提供完善的角色、安全域、来宾权限管理。
ASM入网规范管理系统-准入控制技术快速配置手册
ASM 盈高入网规范管理系统网络联动控制快速配置手册INFOGO A ccess S tandard M anagement SystemVer 2010.0831版权声明:本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属盈高科技所有,并受到有关产权及版权法保护。
任何个人、机构未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录第一章策略路由快速配置------------------------------------------------------------------------------------- 31.1ASM系统界面配置--------------------------------------------------------------------------------- 31.1.1网卡配置 ----------------------------------------------------------------------------------- 31.1.2策略路由参数配置----------------------------------------------------------------------- 31.2网络联动设备配置 -------------------------------------------------------------------------------- 51.2.1CISCO交换机配置 ---------------------------------------------------------------------- 51.2.2H3C交换机配置 ------------------------------------------------------------------------- 61.2.2.1 policy-based-route方法配置------------------------------------------------- 61.2.2.2 qos policy方法配置 ------------------------------------------------------------- 71.2.2.3 route policy方法配置 ---------------------------------------------------------- 71.2.2.4 traffic-redirect方法配置 ---------------------------------------------------- 81.2.3华为交换机配置-------------------------------------------------------------------------- 81.2.3.1 traffic-policy方法配置 ------------------------------------------------------- 81.2.3.2 traffic-redirect方法配置 ---------------------------------------------------- 91.2.3.3 route policy方法配置 ---------------------------------------------------------- 9 第二章VG虚拟网关快速配置 ------------------------------------------------------------------------------ 102.1ASM系统界面配置----------------------------------------------------------------------------- 102.1.1网卡配置 ------------------------------------------------------------------------------------- 102.1.2 VG虚拟网关参数设置 -------------------------------------------------------------------- 102.2网络联动设备配置 ---------------------------------------------------------------------------- 13 第三章EOU认证技术快速配置----------------------------------------------------------------------------- 143.1ASM系统界面配置----------------------------------------------------------------------------- 143.1.1 网卡配置 ---------------------------------------------------------------------------------- 143.1.2 EOU参数配置 --------------------------------------------------------------------------- 143.2网络联动设备配置 ---------------------------------------------------------------------------- 17 第四章PORTAL认证技术快速配置 ----------------------------------------------------------------------- 194.1ASM系统界面配置----------------------------------------------------------------------------- 194.1.1网卡配置 ------------------------------------------------------------------------------------- 194.1.2 PORTAL参数设置-------------------------------------------------------------------------- 194.2网络联动设备配置 ---------------------------------------------------------------------------- 21 第五章透明网桥快速配置------------------------------------------------------------------------------------ 225.1ASM系统界面配置----------------------------------------------------------------------------- 225.1.1网卡配置 ------------------------------------------------------------------------------------- 225.1.2透明网桥参数配置------------------------------------------------------------------------- 22第一章策略路由快速配置1.1ASM系统界面配置1.1.1网卡配置启用ETH0和ETH2两块网卡并配置IP地址:ETH0与联动网络设备相连,配置的IP 地址作为策略路由的下一跳地址;ETH2配置的IP地址需要全网或者控制的网段能够访问。
ASM盈高入网规范管理系统操作手册V精编
ASM盈高入网规范管理系统INFOGO A ccess S tandard M anagement System操作手册版权声明:本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属盈高科技所有,并受到有关产权及版权法保护。
任何个人、机构未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录1.说明 -----------------------------------------------------------2.ASM设备外观图解------------------------------------------------3.登录方式--------------------------------------------------------4.操作界面说明----------------------------------------------------4.1首页------------------------------------------------------4.2模块界面--------------------------------------------------5.用户首次配置----------------------------------------------------5.1启用旁路模式----------------------------------------------5.2启用串联模式----------------------------------------------5.3系统基本设置---------------------------- 错误!未定义书签。
5.4邮件提醒--------------------------------------------------5.5短信提醒设置----------------------------------------------5.6部门管理--------------------------------------------------5.7注册与认证------------------------------------------------5.7.1安全域配置---------------------------------------------5.7.1认证角色管理-------------------------------------------5.7.1用户管理-----------------------------------------------5.7.1来宾认证参数-------------------------------------------5.7.1全局参数设置-------------------------------------------5.7.1注册参数配置----------------------------------------- 145.7.1认证参数配置-------------------------------------------5.7.1用户名密码认证-----------------------------------------5.7.1UKey认证----------------------------------------------5.7.1手机短信认证-------------------------------------------5.7.1Email认证---------------------------------------------5.7.1LDAP服务器配置----------------------------------------5.7.1AD域认证参数设置--------------------------------------5.7.1身份认证记录-------------------------------------------5.7.1动态验证码获取记录-------------------------------------5.8配置入网规范----------------------------------------------5.8.1标准行业入网规范库-------------------------------------5.8.2自定义规范---------------------------------------------5.8.3高级属性-----------------------------------------------5.9配置网络联动控制------------------------------------------5.9.1EOU认证技术设置---------------------------------------5.9.2PORTAL认证技术设置------------------------------------5.9.3透明网桥设置-------------------------------------------5.9.4策略路由设置-------------------------------------------5.9.5MVG网关设置-------------------------------------------5.10配置双机热备----------------------------------------------6.用户日常使用----------------------------------------------------6.1新设备注册检查--------------------------------------------6.2审核接入设备----------------------------------------------6.3设备管理--------------------------------------------------添加可信设备-------------------------------------------取消可信设备-------------------------------------------设备安装软件信息---------------------------------------6.4隔离设备--------------------------------------------------6.5设备和用户绑定--------------------------------------------6.6立刻认证安检----------------------------------------------6.7信息导入--------------------------------------------------6.8IP地址池------------------------------------------------- 36.9IP/MAC绑定------------------------------------------------添加IP/MAC绑定----------------------------------------导入IP/MAC绑定---------------------- 错误!未指定书签。
盈高-网络准入控制解决方案
网络准入控制解决方案ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。
是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。
是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。
改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。
ASM6000采用了盈高科技独创的“SOPE"安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡:基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。
生成全网的拓扑图、设备状态视图、终端状态视图等。
观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口.策略实施policy implementASM6000在前期大量安全视图的基础上,提供网络接入各种认证和控制手段,并实施各项安全和管理策略,使终端满足安全基线要求,有效的规避了网络终端潜在的各种风险。
评估与管理evaluation & managementASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力,配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据,为进一步提高安全管理和等保测评等工作提供重要支持.方案特色及优势1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案.系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式.在认证的基础上提供完善的角色、安全域、来宾权限管理。
ASM盈高入网规范管理系统--产品说明书
盈高入网规范管理系统INFOGO A ccess S tandard M anagement System产品说明书Version:5.2版权声明:本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属盈高科技所有,并受到有关产权及版权法保护。
任何个人、机构未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录1建设入网规范管理系统的必要性 (4)1.1解决内网安全所面临的严重问题 (4)1.1.1安全管理规范落实的问题 (4)1.1.2接入用户及设备的实名制 (4)1.1.3人机对应管理机制落实的问题 (4)1.1.4快速发现设备隐患及智能修复的问题 (5)1.1.5安全检查规则库不能更新升级的问题 (5)1.1.6网络结构复杂、新老设备兼容的问题 (5)1.1.7内网分角色分区域访问控制的问题 (6)1.1.8日益增多的移动办公与特殊情况处理的问题 (6)1.1.9用户来宾的访问控制与管理问题 (6)1.1.10单点防御及分散管理的问题 (6)1.1.11实名入网安检日志审计问题 (7)1.1.12保证网络边界完整的问题 (7)1.2法令法规上的明确要求 (7)2如何选择入网规范管理系统? (9)2.1具有很好的网络环境适应性,不需要大幅调整网络结构 (9)2.2选择成熟的、先进的网络准入控制方案 (9)2.3能够支持快速部署的,最好不安装客户端 (10)2.4具有高可靠性,一定要有很好的逃生方案 (11)2.5能够提供不断更新的安全检查引擎和规则库升级,具有较好的可扩展性 (11)2.6具备从认证、安检、修复、访问控制“一条龙”体系 (11)2.7需要经验丰富、具有风险管理的专业技术服务团队支撑 (12)3适合您的盈高入网规范管理系统 (13)3.1产品体系架构 (13)3.2产品主要解决问题说明 (14)3.2.1采用双实名制,解决入网人员与设备的合法性问题 (14)3.2.2多样化的身份认证方式,解决人员实名认证问题 (14)3.2.3综合入网控制、检查引擎及规范执行审计,有效解决网络安全规范无法落实的问题 (14)3.2.4提供用户与设备对应责任管理,建立“人机对应”负责制 (14)3.2.5制定各个行业有特色的安全检查规范库,解决安全检查单一的问题 (15)3.2.6“一键式”智能安全修复技术,大大降低管理员工作量 (15)3.2.7保持定期更新的安全检查引擎及规则库,给用户带去不仅仅是产品,更是持续的服务 (15)3.2.8集成多种入网强制技术,兼容各家网络设备,具有良好的网络适应性 . 163.2.9基于角色的动态授权,更好解决内网区域布控和访问控制问题 (16)3.2.10灵活的特殊例外设备处理,确保项目建设快速推进 (16)3.2.11来宾管理,解决来宾上网的同时保护用户内网资源 (16)3.2.12端点与网络集中管理相结合,一改“单点防御、分散管理”的局面 (17)3.2.13实名制日志审计报表,可以对网络各项规范执行情况了如指掌 (17)3.2.14及时的报警响应,让管理员随时掌握网络边界安全动态 (17)3.3ASM应用场景 (17)3.3.1局域网接入安全防护 (18)3.3.2关键区域数据保护 (18)3.3.3用户总部入口安全防护 (18)3.3.4用户分支出口安全防护 (18)4总结 (19)1建设入网规范管理系统的必要性1.1 解决内网安全所面临的严重问题1.1.1安全管理规范落实的问题目前各个政府单位及各行各业都建立了较为完整的网络安全管理规范,但很多时候落实情况不尽如人意,究其原因是缺乏行之有效的管理手段。
ASM盈高入网规范管理系统操作手册
ASM盈高入网规范管理系统INFOGO A ccess S tandard M anagement System操作手册Version版权声明:本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属盈高科技所有,并受到有关产权及版权法保护。
任何个人、机构未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
商标:盈高、INFOGO是盈高科技的注册商标,未经允许,不得引用。
目录1.说明 ------------------------------------------- 错误!未定义书签。
2.ASM设备外观图解-------------------------------- 错误!未定义书签。
3.登录方式---------------------------------------- 错误!未定义书签。
4.操作界面说明------------------------------------ 错误!未定义书签。
首页----------------------------------------------错误!未定义书签。
模块界面------------------------------------------错误!未定义书签。
5.用户首次配置------------------------------------ 错误!未定义书签。
启用旁路模式--------------------------------------错误!未定义书签。
启用串联模式--------------------------------------错误!未定义书签。
系统基本设置--------------------------------------错误!未定义书签。
邮件提醒------------------------------------------错误!未定义书签。
盈高-网络准入控制解决方案
盈高-网络准入控制解决方案网络准入控制解决方案ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。
是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。
是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。
改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。
ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡:基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。
生成全网的拓扑图、设备状态视图、终端状态视图等。
观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。
策略实施policy implementASM6000在前期大量安全视图的基础上,提供网络接入各种认证和控制手段,并实施各项安全和管理策略,使终端满足安全基线要求,有效的规避了网络终端潜在的各种风险。
评估与管理evaluation & managementASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力,配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据,为进一步提高安全管理和等保测评等工作提供重要支持。
方案特色及优势1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。
系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式。
盈高准入配置手册
盈高准入配置手册盈高准入配置手册是一个非常有用的工具,它提供了一种逐步指导盈高用户如何配置符合要求的设备。
这个手册可以帮助用户准确地配置设备,确保设备和系统的稳定性,并提供更加精确的数据分析。
第一步是了解盈高准入配置手册的目的和优点。
盈高准入配置手册是一个详细的指南,它告诉我们如何按照盈高的规格要求配置设备,以保证设备的稳定性和性能。
合适的配置可以确保我们准确地收集数据并在正确的时间将数据传到云端。
在使用盈高的系统时,这个手册可以让用户更高效的使用系统,增强了监控的精度和数据分析能力。
第二步是下载盈高的准入配置手册。
在盈高官网上,用户可以轻松地下载盈高准入配置手册。
在下载后,用户应该认真学习这个手册的内容,以便在配置设备时更加周到。
第三步是按照手册的要求逐步配置设备。
每个设备都有其独特的特点和要求,手册中提供了详细的配置指南,用户应该按照手册的要求逐步配置设备,确保设备能够正常运行并正确地收集数据。
第四步是测试设备。
在设备配置完成后,用户应该对设备进行测试。
测试设备是非常重要的,它可以让用户确保设备的稳定性和可靠性。
测试设备的过程中,用户应该检查设备是否能够正常工作、数据是否准确传输、系统是否能够正确地识别设备等等。
第五步是运行系统。
配置和测试设备完成后,用户可以开始运行系统。
在系统运行过程中,用户应该密切关注设备的运行状况和数据。
如果设备出现问题,用户应该及时做出相应的处理,以防止数据传输中断或数据丢失。
总体来说,盈高准入配置手册的内容丰富、指导性强,对于使用盈高系统的用户来说,它是一个非常有用的指南。
自我学习和应用这个手册可以帮助用户更好的配置设备,提高数据分析的精度,保证设备和系统的稳定性,让用户能更好的应用盈高的系统服务。
盈高-网络准入控制解决方案
网络准入控制解决方案ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。
是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。
是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。
改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。
ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡:基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。
生成全网的拓扑图、设备状态视图、终端状态视图等。
观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。
策略实施policy implementASM6000在前期大量安全视图的基础上,提供网络接入各种认证和控制手段,并实施各项安全和管理策略,使终端满足安全基线要求,有效的规避了网络终端潜在的各种风险。
评估与管理evaluation & managementASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力,配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据,为进一步提高安全管理和等保测评等工作提供重要支持。
方案特色及优势1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备,提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。
系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式。
在认证的基础上提供完善的角色、安全域、来宾权限管理。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
盈高入网规范管理系统
策略路由
快速配置手册INFOGO A ccess S tandard M anagement System
未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录
1.ASM系统界面配置 (1)
1.1网卡参数配置 (1)
1.2产品界面个性化定制 (1)
2.组织架构与人员信息创建 (2)
2.1角色创建 (2)
2.2组织架构管理 (2)
2.3用户管理 (3)
3.准入技术选择 (3)
3.1准入模式选择 (3)
3.2例外参数添加 (4)
3.3NAT穿越配置 (5)
4.网络相关配置 (6)
4.1设备部署示意图 (6)
4.2交换机策略路由命令 (7)
4.3防火墙端口开放 (8)
5.入网流程配置 (9)
5.1开启身份认证 (9)
5.2控件安装设置 (10)
5.3开启注册审核 (10)
5.4安全检查设置 (12)
6.交换机联动管理 (12)
7.告警信息配置 (13)
1.ASM系统界面配置
1.1网卡参数配置
启用 ETH0 和 ETH2 两块网卡并配置 IP 地址:ETH0 与联动网络设备相连,配置的 IP地址作为策略路由的下一跳地址;ETH2 配置的 IP 地址需要全网或者控制的网段能够访问。
界面操作步骤:点击“系统设置”---“IP地址设置”,如下图:
图1. 网卡参数配置
1.2产品界面个性化定制
设置准入设备基本信息:单位名称、界面名称显示等。
点击“系统设置”---“产品个性化定制”,如下图:
图2. 网卡参数配置
2.组织架构与人员信息创建
2.1角色创建
创建“角色”,盈高ASM将根据角色将人员、部门与角色一一对应起来,便于后续准入策略的下发、网络访问权限的控制等灵活控制。
ASM可实现对于不同角色的人员进行不同的准入策略与网络访问权限控制。
点击“用户管理”---“角色列表”---“添加角色”,如下图:
图3. 添加角色
2.2组织架构管理
创建各单位的部门组织架构。
点击“用户管理”---“组织架构树”---“添加新组织架构”,创建部门,如下图:
图4. 创建部门
ASM支持组织架构以excel方式批量导入,模板中所使用字体均全部使用宋体,如下图:
图5. 批量导入部门
2.3用户管理
创建本地用户名、密码,用户单位人员入网的身份认证。
ASM支持批量用户导入。
点击“用户管理”---“导入用户”,下载模板,填入相应的信息,如下图:
图6. 批量导入用户
图7. 批量导入用户模板
注意:在导入用户模板中,所填入的部门,必须与之前新建的组织架构中的“一级部门”,否则将在组织架构树中新增一个“一级部门”;且导入模板中字体必须为宋体。
3.准入技术选择
3.1准入模式选择
根据实际网络的需要,本次实施我们均选用策略路由准入技术。
点击“安全规范”---“准入控制器管理”,如下图:
图8. 准入控制器管理
点击“安全规范”---“准入控制器管理”,选择策略路由准入技术,如下图:
图9. 准入技术选择
注:
1、如果图9中选择的是全局配置,则在图8中请点击全局参数配置进行基本参
数配置、例外参数、NAT穿越配置。
2、图9中紧急模式为设备应急逃生模式,在未正式开启准入之前,建议开启紧
急模式。
3、准入技术一旦选择之后,请勿随意更改(每一种模式与交换机配置、设备接
线方式均有关系)!
3.2例外参数添加
将网络打印机、网络IP电话、ATM设备、视频监控设备、服务器等一些特殊终端IP地址添加到例外终端列表当中。
将安全修复服务器添加到例外服务器列表中。
点击“安全规范”---“准入控制器管理”---“全局参数配置”---“例外参数设置”,如下图:
图10. 例外参数设置
3.3NAT穿越配置
ASM默认阻止NAT无线路由器的方式接入,对于需要特殊容许的,需要将wlan 口的IP地址加入到NAT穿越列表中。
点击“安全规范”---“准入控制器管理”---“全局参数配置”---“NAT穿越设置”,如下图:
图11. 例外参数设置
4.网络相关配置
4.1设备部署示意图
图12. 策略路由部署接线图
考虑到甘肃省电力公司的网络结构,均存在双核心的现象,因此盈高科技ASM 对此拥有专门的解决方案----双策略路由技术。
在每一个核心交换机上均接一根策略路由控制线,进行准入控制。
图12. 双策略路由口部署方式
4.2交换机策略路由命令
策略路由原理:
通过ACL访问控制列表,将匹配的数据流,通过策略路由方式,强制指向盈高ASM 的ETH0口,进行准入控制。
因此,需要配置的是ACL、策略路由、vlan 或者接口调用该策略路由。
配置案例:
下图列举了几种常见厂商交换机的策略路由方式,仅供参考。
图13. H3C QOS策略路由配置方式
图14. H3C policy-based-route策略路由配置方式
图15. H3C policy-based-route策略路由配置方式
图16. cisco route-map 策略路由配置方式
4.3防火墙端口开放
为保证盈高ASM服务器与各终端的ASM小助手进行正常通行,需要在网络当中的防火墙上开发以下指定端口。
5.入网流程配置
5.1开启身份认证
要求接入网络的人员进行身份认证。
点击“安全规范”----“入网流程管理”---“身份认证设置”,如下图:
图17.入网流程管理界面
图18. 身份认证
5.2控件安装设置
要求接入终端均安装盈高准入客户端ASM小助手程序。
点击“安全规范”---“入网流程管理”---“控件安装设置”,如下图:
图19. 控件安装设置
图20. 编辑控件安装设置
5.3开启注册审核
针对相关角色的人员,终端第一次要求接入网络时,终端需要进行注册登记、并经过管理员审核。
点击“安全规范”---“入网流程管理”---“设备注册设置和设备审核设置”,如下图:
图21. 设备注册登记设置
图22. 设备审核设置
5.4安全检查设置
创建安全检查规范库,对接入终端进行安全检查。
点击“安全规范”---“安全规范列表”---“添加安全规范”,创建安全规范,如下图:
图22. 安全规范库创建
注:1、根据单位安全规范要求,要求接入终端必须安装指定杀毒软件、指定桌面客户端软件,要求接入终端账户不容许存在弱口令、密码策略必须符合要求等。
2、内网终端不能私自连接外网,因此需要在ASM上面开启防止违规外联的
策略。
3、对于杀毒软件、指定客户端未安装的终端,设置相应的修复路径,并开
启“自动修复功能”,方便终端用户进行修复,完善终端安全。
6.交换机联动管理
为实现对各接入终端的快速、精准定位,可通过SNMP、TELNET、SSH任意一种方式对交换机进行管理,ASM能够呈现交换机图形化面板信息。
点击“全网资源”---“添加设备”---“添加网络设备”,如下图:
图23. 交换机添加管理
图24. 交换机图形化面板展示
7.告警信息配置
为方便管理员能够快速对其网络安全现状与设备运行状态进行掌握,ASM可提供相应的日志报警信息,配置如下:
图25. 报警信息配置。