准入控制ASM盈高入网规范管理系统

合集下载

ASM入网规范管理系统_准入控制技术快速配置手册

任何个人、机构未经盈高科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

商标：盈高、INFOGO是盈高科技的注册商标，未经允许，不得引用。

目录第一章策略路由快速配置 ---------------------------------------------------------------------------- 31.1ASM系统界面配置------------------------------------------------------------------------- 31.1.1网卡配置 --------------------------------------------------------------------------- 31.1.2策略路由参数配置---------------------------------------------------------------- 31.2网络联动设备配置 ------------------------------------------------------------------------ 51.2.1CISCO交换机配置 --------------------------------------------------------------- 51.2.2H3C交换机配置 ------------------------------------------------------------------ 61.2.2.1 policy-based-route方法配置 -------------------------------------------- 61.2.2.2 qos policy方法配置 ------------------------------------------------------- 71.2.2.3 route policy方法配置 ---------------------------------------------------- 71.2.2.4 traffic-redirect方法配置----------------------------------------------- 81.2.3华为交换机配置------------------------------------------------------------------- 81.2.3.1 traffic-policy方法配置-------------------------------------------------- 81.2.3.2 traffic-redirect方法配置----------------------------------------------- 91.2.3.3 route policy方法配置 ---------------------------------------------------- 9第二章VG虚拟网关快速配置---------------------------------------------------------------------- 102.1ASM系统界面配置 -------------------------------------------------------------------- 102.1.1网卡配置---------------------------------------------------------------------------- 102.1.2 VG虚拟网关参数设置------------------------------------------------------------- 102.2网络联动设备配置 ------------------------------------------------------------------- 13 第三章EOU认证技术快速配置 -------------------------------------------------------------------- 143.1ASM系统界面配置 -------------------------------------------------------------------- 143.1.1 网卡配置 ------------------------------------------------------------------------- 143.1.2 EOU参数配置------------------------------------------------------------------- 143.2网络联动设备配置 ------------------------------------------------------------------- 17 第四章PORTAL认证技术快速配置 --------------------------------------------------------------- 194.1ASM系统界面配置 -------------------------------------------------------------------- 194.1.1网卡配置---------------------------------------------------------------------------- 194.1.2 PORTAL参数设置 ----------------------------------------------------------------- 194.2网络联动设备配置 ------------------------------------------------------------------- 21 第五章透明网桥快速配置 -------------------------------------------------------------------------- 225.1ASM系统界面配置 -------------------------------------------------------------------- 225.1.1网卡配置---------------------------------------------------------------------------- 225.1.2透明网桥参数配置----------------------------------------------------------------- 22第一章策略路由快速配置1.1ASM系统界面配置1.1.1网卡配置启用ETH0和ETH2两块网卡并配置IP地址：ETH0与联动网络设备相连，配置的IP 地址作为策略路由的下一跳地址；ETH2配置的IP地址需要全网或者控制的网段能够访问。

ASM盈高入网规范管理系统操作手册

任何个人、机构未经盈高科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

商标：盈高、INFOGO是盈高科技的注册商标，未经允许，不得引用。

目录1.说明 ------------------------------------------- 错误!未定义书签。

2.ASM设备外观图解-------------------------------- 错误!未定义书签。

3.登录方式---------------------------------------- 错误!未定义书签。

4.操作界面说明------------------------------------ 错误!未定义书签。

首页----------------------------------------------错误!未定义书签。

模块界面------------------------------------------错误!未定义书签。

5.用户首次配置------------------------------------ 错误!未定义书签。

启用旁路模式--------------------------------------错误!未定义书签。

启用串联模式--------------------------------------错误!未定义书签。

系统基本设置--------------------------------------错误!未定义书签。

邮件提醒------------------------------------------错误!未定义书签。

盈高入网规范管理系统介绍

完全支持
总拥有成本
对接入层网络设备无要求，只要核心交换支持策略路由功能，运维和部署相对简单系统故障后，用户网络接入自动“逃生”
准入系统冗余
部署条件
需要Radius、802.1x交换机、安装客户端、配置计算机参数等，部署条件相互牵制
如果要实现引导介面，资金成本和技术成本很高，并且用户体验不会有本质性的改善接入方法复杂、无法通过技术手段进行接入审批，很难为管理手段提供技术支撑交换机接口、企业级无线SSID 能防止非授权计算机访问任何网络资源
产品特点——用户收益
全方位终端安全管理，解决CIO关注的问题
入网规范管理系统
1
保护终端安全更保护业务系统的安全确保网络安全管理制度的落实
2
3
强化内部工作人员安全意识
„ 变被动为主动，提高工作效率
4
5
一体化解决方案简化终端维护工作
„
终端可控安全高效
产品资质
22
产品荣誉
盈高入网规范管理系统介绍
ASM盈高入网规范管理系统介绍
ASM产品介绍
ASM产品功能
ASM部署方式
ASM实现机制
ASM产品特点 ASM相关案例
2
产品介绍——什么是ASM
• 基于Appliance-based准入技术的入网规范管理产品
• 计算机终端接入网络的“门禁系统”
• 无需安装客户端，采用Agentless模式 • 经过优化的安全操作系统平台，电信级硬件产品 • “违规不入网、入网必合规”
支持支持支持支持不支持
不影响支持
上行数据支持
不影响支持②
不影响支持

盈高-网络准入控制解决方案

网络准入控制解决方案ASM6000入网规范管理系统，是盈高科技自主知识产权的新一代集成化终端安全管理平台。

是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。

是在总结了ASM4000系统及用户需求的基础上，秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。

改变了业界传统的将准入控制系统作为一个单独功能产品的做法，率先提出准入平台的概念。

ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题，“SOPE”是一个向上滚动的模型体系，通过不断的循环能够让终端安全与业务达到完美平衡：基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息，包括：交换设备、入网终端、ip资源等。

生成全网的拓扑图、设备状态视图、终端状态视图等。

观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告，同时对入网计算机能够精确地定位到边界交换机端口。

策略实施policy implementASM6000在前期大量安全视图的基础上，提供网络接入各种认证和控制手段，并实施各项安全和管理策略，使终端满足安全基线要求，有效的规避了网络终端潜在的各种风险。

评估与管理evaluation & managementASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力，配合宏观的统计数据，可以作为各种安全手段和安全规则进行持续改进的依据，为进一步提高安全管理和等保测评等工作提供重要支持。

方案特色及优势1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备，提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。

系统能够支持内置身份认证，外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式。

在认证的基础上提供完善的角色、安全域、来宾权限管理。

网络准入控制系统功能简介

网络准入控制系统（ASM入网规范管理系统）特点概述ASM（Admission Standard Management入网规范管理系统），是盈高科技自主知识产权的集成化终端安全管理平台，是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。

秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。

改变了业界传统的将准入控制系统作为一个单独功能产品的做法，率先提出准入平台的概念。

ASM入网规范的功能特点主要有以下几点：1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备，提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。

系统能够支持内置身份认证，外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB- KEY等多种认证方式。

在认证的基础上提供完善的角色、安全域、来宾权限管理。

使用户从设备和人员两方面进行网络边界的划定。

2、广泛的网络适应ASM6000全面兼容各种终端和网络设备，广泛适应异构系统、BYOD、BYON的应用。

采用先进的设备特征采集技术，能够自动识别多种设备，有效的对设备进行标示和固定。

自动识别的设备包括：各种交换机、路由器、PC、IPHONE、IPAD、安卓系统等。

3、安检策略丰富完善ASM6000具备丰富的核心规范库，提供了数十种基础安全规范。

根据盈高科技多年来在入网规范领域的经验总结，系统还提供了符合行业特征的安全规范，包括：电子政务外网、电子政务内网、军队、军工制造、能源电力、电信、移动、医疗卫生、生产制造企业等。

这就使用户能够快速进行安全规范应用。

4、安全定位灵活多样ASM6000提供了一个全网安全管理和展示的平台，能够对全网拓扑和设备状态进行展示。

可以进一步向下细化定位，直至每台终端设备。

也可以通过终端设备向上检索，找到其连接的网络设备。

终端管理不再是孤立的被看待，而是作为网络的一个部分，整体的进行管理。

盈高-网络准入控制解决方案

网络准入控制解决方案ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。

是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。

是在总结了ASM4000系统及用户需求的基础上，秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。

改变了业界传统的将准入控制系统作为一个单独功能产品的做法，率先提出准入平台的概念。

ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题，“SOPE”是一个向上滚动的模型体系，通过不断的循环能够让终端安全与业务达到完美平衡：基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息，包括:交换设备、入网终端、ip资源等。

生成全网的拓扑图、设备状态视图、终端状态视图等。

观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告，同时对入网计算机能够精确地定位到边界交换机端口。

策略实施policy implementASM6000在前期大量安全视图的基础上,提供网络接入各种认证和控制手段，并实施各项安全和管理策略，使终端满足安全基线要求，有效的规避了网络终端潜在的各种风险。

评估与管理evaluation & managementASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力，配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据，为进一步提高安全管理和等保测评等工作提供重要支持.方案特色及优势1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备，提供了从桥接、PBR(Policy-Based—Routing）、MVG的各种实现方案.系统能够支持内置身份认证，外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式。

在认证的基础上提供完善的角色、安全域、来宾权限管理。

盈高入网规范管理系统ASM产品说明V

盈高入网规范管理系统ASM6000平台产品说明V1.1 INFOGO A ccess S tandard M anagement System声明：本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，未经盈高科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

商标：盈高、INFOGO是盈高科技的注册商标，未经允许，不得引用。

目录1产品概述 (1)1.1“亚安全”带来的挑战 (1)1.2安全准入的技术选择 (2)1.2.1良好的网络及终端适应性 (2)1.2.2先进的网络准入控制框架 (2)1.2.3系统可靠性高 (3)1.2.4专业的服务团队 (3)1.3系统简介 (4)1.4技术架构 (4)2产品主要功能 (6)2.1边界控制管理 (6)2.2人员认证管理 (6)2.3设备规范管理 (8)2.4操作行为管理 (11)2.5视角报表管理 (12)2.6分布部署管理 (13)3产品技术特点 (14)3.1安全高效的系统平台 (14)3.2弹性系统设计 (14)3.3设备采集智能化 (15)3.4卫星式安全定位 (15)3.5丰富的实名认证方式 (16)3.6灵活全面的授权管理 (17)3.7支持复杂大网络 (17)3.8运行高可靠性 (17)4部署方案 (19)4.1典型部署 (19)4.2高可用性部署 (20)4.3复杂环境部署 (21)5特别声明 (22)1产品概述1.1 “亚安全”带来的挑战在大部分的用户网络中，对外部网络边界进行防护的安全设备如防火墙、UTM、流控、IDS等都已经部署到位，但是内部网络的安全层次却很低，往往很容易就可以进入到单位内部的信息系统中。

在这样的安全状况下，不用说黑客，就是普通员工也会有意无意地干出一些惊天动地的事情。

某上市公司，由于生产车间离运维部门比较远，有人私接hub入网，在无意中将hub的2个端口用网线连接后导致整个生产网络中断。

Hub的存在是小事，但引发全网断网就是大事。

ASM盈高入网规范管理系统介绍

ASM的主要功能
3.1 什么是ASM
ASM是盈高科技精心打造的一款专业的网络安全准入控制产品 ASM是Access Standard Management的缩写集成多种准入强制技术、提供多样化的身份认证不断升级的安全检查引擎及规则库、“一键式”智能修复基于角色的动态授权访问控制及实名日志审计重点突出“违规不入网、入网必合规” ASM是一套集成第三代准入控制技术的纯硬件系统
1.3-1 终端安全防护及准入控制市场巨大
据Gartner 《MarketScope For NAC，2009》统计，整个NAC市场在 08年出现近100%的增长，总收入达5亿美元，09年全球终端接入控制投入增长70%，总销售额超8亿美元，预计2010年全球市场可超14亿美元。
预增72% 14 12 10 单位：8 亿美元6 4 2 增涨70% 增涨 100%
介绍的内容 1、建设网络准入控制系统的必要性
2、如何选择网络准入控制系统 3、适合您的ASM盈高入网规范管理系统 4、ASM产品的优势总结 5、ASM产品应用效果及方案分析
4.1 ASM给客户带去的价值
消除办公网络中存在的各种安全隐患
减轻网络管理员的工作负担及压力创造一个绿色的网络运维环境，提高网络使用效率等保考评中的重要砝码
1.建设网络准入控制系统的必要性
终端安防问题多、危害大
法令、法规明确要求
网络准入控制市场巨大
传统终端防护产品诸多不足
需要一套满足网络准入控制、终端安全管理、符合法令要求且满足市场特点，解决传统产品不足的新一代网络准入控制产品
1.2 法令、法规对终端防护有明确要求
《信息安全等级保护管理办法》(公通字 [2007]43号) 等法令。《涉及国家秘密的信息系统分级保护管理规范》《萨班斯SOX法案》

盈高-网络准入控制解决方案

网络准入控制解决方案ASM6000入网规范管理系统，是盈高科技自主知识产权的新一代集成化终端安全管理平台。

是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。

是在总结了ASM4000系统及用户需求的基础上，秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。

改变了业界传统的将准入控制系统作为一个单独功能产品的做法，率先提出准入平台的概念。

生成全网的拓扑图、设备状态视图、终端状态视图等。

观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告，同时对入网计算机能够精确地定位到边界交换机端口。

方案特色及优势1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备，提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。

系统能够支持内置身份认证，外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式。

在认证的基础上提供完善的角色、安全域、来宾权限管理。

ASM入网规范管理系统-准入控制技术快速配置手册

任何个人、机构未经盈高科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录第一章策略路由快速配置------------------------------------------------------------------------------------- 31.1ASM系统界面配置--------------------------------------------------------------------------------- 31.1.1网卡配置 ----------------------------------------------------------------------------------- 31.1.2策略路由参数配置----------------------------------------------------------------------- 31.2网络联动设备配置 -------------------------------------------------------------------------------- 51.2.1CISCO交换机配置 ---------------------------------------------------------------------- 51.2.2H3C交换机配置 ------------------------------------------------------------------------- 61.2.2.1 policy-based-route方法配置------------------------------------------------- 61.2.2.2 qos policy方法配置 ------------------------------------------------------------- 71.2.2.3 route policy方法配置 ---------------------------------------------------------- 71.2.2.4 traffic-redirect方法配置 ---------------------------------------------------- 81.2.3华为交换机配置-------------------------------------------------------------------------- 81.2.3.1 traffic-policy方法配置 ------------------------------------------------------- 81.2.3.2 traffic-redirect方法配置 ---------------------------------------------------- 91.2.3.3 route policy方法配置 ---------------------------------------------------------- 9 第二章VG虚拟网关快速配置 ------------------------------------------------------------------------------ 102.1ASM系统界面配置----------------------------------------------------------------------------- 102.1.1网卡配置 ------------------------------------------------------------------------------------- 102.1.2 VG虚拟网关参数设置 -------------------------------------------------------------------- 102.2网络联动设备配置 ---------------------------------------------------------------------------- 13 第三章EOU认证技术快速配置----------------------------------------------------------------------------- 143.1ASM系统界面配置----------------------------------------------------------------------------- 143.1.1 网卡配置 ---------------------------------------------------------------------------------- 143.1.2 EOU参数配置 --------------------------------------------------------------------------- 143.2网络联动设备配置 ---------------------------------------------------------------------------- 17 第四章PORTAL认证技术快速配置 ----------------------------------------------------------------------- 194.1ASM系统界面配置----------------------------------------------------------------------------- 194.1.1网卡配置 ------------------------------------------------------------------------------------- 194.1.2 PORTAL参数设置-------------------------------------------------------------------------- 194.2网络联动设备配置 ---------------------------------------------------------------------------- 21 第五章透明网桥快速配置------------------------------------------------------------------------------------ 225.1ASM系统界面配置----------------------------------------------------------------------------- 225.1.1网卡配置 ------------------------------------------------------------------------------------- 225.1.2透明网桥参数配置------------------------------------------------------------------------- 22第一章策略路由快速配置1.1ASM系统界面配置1.1.1网卡配置启用ETH0和ETH2两块网卡并配置IP地址：ETH0与联动网络设备相连，配置的IP 地址作为策略路由的下一跳地址；ETH2配置的IP地址需要全网或者控制的网段能够访问。

准入控制ASM盈高入网规范管理系统PPT课件

来自网络内部的破坏攻击是信息安全最大威胁!
2009年ＣＳＩ／ＦＢＩ调查源自《计算机犯罪与安全调查报告》
4
2009年网络安全调查
因为软件漏洞，病毒蔓延造成的损失高达66％
登录密码太简单等安全配置不符要求，造成损失达到19％
终端软件漏洞终端安全配置
内部缺乏访问控制，高达13％
终端准入控制
25
26
27
严重违规设备立即隔离
28
多种修复手段支持
29
安全域划分
30
角色绑定安全域
31
入网时间控制
32
基于规则匹配模式的的安全检查引擎，支持安全规则的不断更新，确保安全检查的健壮性
拥有丰富的系统缺省检查规则库，并支持自定义和系统规则库的升级，便于应对层出不穷的安全隐患
没有统一标准，多种解决方案并存！
15
网络中心主任
所有人的电脑接入都掌握在我这里，稳定性不好，这个责任我承担不
起
终端用户
每天刚上班这段时间最烦了，电脑老是接不
上网
稳定性如何保证？
并发连接能力如何保证？
16
身份认证
它的意义
独特地识别用户和设备，并在这两者间建立关联
URL-REDIRECT，人性化友好安检
• 纯软件方式的准入
ARP欺骗、微软NAP
Infrastructurebased NAC
• 与网络设备联动的准入
802.1x 、EOU、portal
Appliance-based NAC
• 单台设备实现的准入
串联方式、旁路方式
9
接入用户及设备的实名制问题？安全管理规范如何落实的问题？如何快速发现隐患设备并且如何智能修复？需要的是一套符合自身行业特色的安全规范内网分角色分区域访问控制的问题？实名日志审计问题及级联部署、集中管理平

ASM盈高入网规范管理系统--产品说明书

任何个人、机构未经盈高科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录1建设入网规范管理系统的必要性 (4)1.1解决内网安全所面临的严重问题 (4)1.1.1安全管理规范落实的问题 (4)1.1.2接入用户及设备的实名制 (4)1.1.3人机对应管理机制落实的问题 (4)1.1.4快速发现设备隐患及智能修复的问题 (5)1.1.5安全检查规则库不能更新升级的问题 (5)1.1.6网络结构复杂、新老设备兼容的问题 (5)1.1.7内网分角色分区域访问控制的问题 (6)1.1.8日益增多的移动办公与特殊情况处理的问题 (6)1.1.9用户来宾的访问控制与管理问题 (6)1.1.10单点防御及分散管理的问题 (6)1.1.11实名入网安检日志审计问题 (7)1.1.12保证网络边界完整的问题 (7)1.2法令法规上的明确要求 (7)2如何选择入网规范管理系统？ (9)2.1具有很好的网络环境适应性，不需要大幅调整网络结构 (9)2.2选择成熟的、先进的网络准入控制方案 (9)2.3能够支持快速部署的，最好不安装客户端 (10)2.4具有高可靠性，一定要有很好的逃生方案 (11)2.5能够提供不断更新的安全检查引擎和规则库升级，具有较好的可扩展性 (11)2.6具备从认证、安检、修复、访问控制“一条龙”体系 (11)2.7需要经验丰富、具有风险管理的专业技术服务团队支撑 (12)3适合您的盈高入网规范管理系统 (13)3.1产品体系架构 (13)3.2产品主要解决问题说明 (14)3.2.1采用双实名制，解决入网人员与设备的合法性问题 (14)3.2.2多样化的身份认证方式，解决人员实名认证问题 (14)3.2.3综合入网控制、检查引擎及规范执行审计，有效解决网络安全规范无法落实的问题 (14)3.2.4提供用户与设备对应责任管理，建立“人机对应”负责制 (14)3.2.5制定各个行业有特色的安全检查规范库，解决安全检查单一的问题 (15)3.2.6“一键式”智能安全修复技术，大大降低管理员工作量 (15)3.2.7保持定期更新的安全检查引擎及规则库，给用户带去不仅仅是产品，更是持续的服务 (15)3.2.8集成多种入网强制技术，兼容各家网络设备，具有良好的网络适应性 . 163.2.9基于角色的动态授权，更好解决内网区域布控和访问控制问题 (16)3.2.10灵活的特殊例外设备处理，确保项目建设快速推进 (16)3.2.11来宾管理，解决来宾上网的同时保护用户内网资源 (16)3.2.12端点与网络集中管理相结合，一改“单点防御、分散管理”的局面 (17)3.2.13实名制日志审计报表，可以对网络各项规范执行情况了如指掌 (17)3.2.14及时的报警响应，让管理员随时掌握网络边界安全动态 (17)3.3ASM应用场景 (17)3.3.1局域网接入安全防护 (18)3.3.2关键区域数据保护 (18)3.3.3用户总部入口安全防护 (18)3.3.4用户分支出口安全防护 (18)4总结 (19)1建设入网规范管理系统的必要性1.1 解决内网安全所面临的严重问题1.1.1安全管理规范落实的问题目前各个政府单位及各行各业都建立了较为完整的网络安全管理规范，但很多时候落实情况不尽如人意，究其原因是缺乏行之有效的管理手段。

盈高-网络准入控制解决方案

7、支持分布式部署
ASM6000提供了控制器（ASC）产品，可以在网络规模特别大，网络结构特别复杂的情况下,将控制器部署在网络的不同区域，由中心设备统一对控制器进行管理，很好的适应巨系统的部署。
8、高可靠的自身安全性
ASM6000采用了专用安全操作系统（INFOGOOS）和专用的硬件平台。避免了通用系统的一系列不安全因素.在可用性方面采用了监控平台、自逃生、双机热备（HA）等众多高可用性技术。系统内置了看门狗(Watch Dog）,当系统出现故障或者网线松动的时候，将自动开启ByPass模式。
评估与管理evaluation & management
ASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力，配合宏观的统计数据,可以作为各种安全手段和安全规则进行持续改进的依据，为进一步提高安全管理和等保测评等工作提供重要支持。
方案特色及优势
1、清晰的边界划分
ASM6000能够兼容各种混合网络环境和数十种网络设备，提供了从桥接、PBR（Policy-Based—Routing)、MVG的各种实现方案。系统能够支持内置身份认证，外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USBKEY等多种认证方式。在认证的基础上提供完善的角色、安全域、来宾权限管理。使用户从设备和人员两方面进行网络边界的划定。
每秒事务数（次/秒）
800—2000
3500—7000
8000—22000
最大吞吐量Mbps
300—1000
Hale Waihona Puke 1500-28003000—4000
产品部署
1、典型环境部署
将盈高入网规范管理系统ASM6000通过旁路连接,部署在网络核心交换机上.启用PBR或MVG等方式，开启网络准入.根据对终端安全、管理的不同要求，对网络拓扑进行展示，对各种网络设备进行定位、状态管理、故障管理；可以与第三方身份认证系统进行整合，实现单点登录；对接入终端进行安全扫描和修复。实现基础的安全准入管理功能,完善内网安全。

准入控制ASM盈高入网规范管理系统

部署案例实践的系统
支持各种网络环境下的准入强制技术，充分适应各种复杂网络提供多样化身份认证方式，与第三方身份认证系统联动双实名认证+一键式智能修复，大大减轻管理工作量基于角色的动态授权访问控制，可以很方便做到内网的访问布控不断升级的安全检查引擎及规则库详实的实名制日志审计级联部署，集中管理，形成统一管理报警平台
准入技术重定向
DHCP强虚拟网关策略路 802.1X Cisco
制
由
EOU
支持
支持
支持
不支持① 支持
身份验证支持
支持
安全检查支持
支持
权限分配边界安全
在分配 IP 之不支持
前支持
支持
支持
数据流量影响不影响不影响
单点故障避免支持
支持
支持支持支持
支持支持不支持
支持支持支持
友好的引导式检查和修复界面，符合用户的日常使用习惯，减少安全管理部门的日常维护工作
Virtual
ห้องสมุดไป่ตู้
DNS Proxy
Gateway 802.1X
H3C Portal /Portal+
CISCO EOU
ASM
DHCP强制
Firewall
Bridge
策略路由
VPN
ASM支持多种Enforcement强制技术，最大限度的适应企业的网路实际环境
内网变成了威胁和攻击的温床
终端整体安全直接关系到整个网络
$
$10,000,000 $20,000,000 $30,000,000 $40,000,000 $50,000,000 $60,000,000

ASM入网规范管理控制系统技术白皮书

本手册没有任何形式的担保、立场倾向或其他暗示。

若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，华堂及其员工恕不承担任何责任。

本手册所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，盈高恕不承担另行通知之义务。

杭州盈高科技有限公司目录第一章概述 ------------------------------------------------------------------------ 7 第二章现有网络中存在的安全问题 ----------------------------------------- 8 第三章网络安全准入方案面临的问题 -------------------------------------15 第四章ASM盈高™双实名制入网规范管理系统 -----------------------16第一章概述中国内网安全起步晚，发展快，各种监管制度相对落后。

面对目前内网中存在的安全问题、行为问题。

实名制入网规范系统作为一种新型内网管理方式，可以成为保护、引导整个内网安全的重要手段和制度。

ASM盈高™双实名制入网规范管理系统，与传统的实名制入准入产品不同。

它以强制有效的网络准入技术为主，对要使用网络的人进行实名认证，对要接入网络的主机进行实名安全体检，只有符合已定的安全规范制度才能。

颠覆已往网管手把手修复电脑的方式，智能傻瓜式修复技术，确保接入网络的主机符合安全规范要求，从而并保证了整个网络的安全和可管理性。

“违规不入网、入网必合规”，ASM秉承的一贯理念，保证了接入网络的主机只有符合您的安全规范，才能在可知、可控的情况下接入您的网络。

盈高-网络准入控制解决方案

网络准入控制解决方案ASM6000入网规范管理系统，是盈高科技自主知识产权的新一代集成化终端安全管理平台。

是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统.是在总结了ASM4000系统及用户需求的基础上，秉承了“不改变网络、灵活客户端、终端安全集成化”的特性.改变了业界传统的将准入控制系统作为一个单独功能产品的做法，率先提出准入平台的概念.ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题，“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡:基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息，包括:交换设备、入网终端、ip资源等。

生成全网的拓扑图、设备状态视图、终端状态视图等.观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。

策略实施policy implementASM6000在前期大量安全视图的基础上，提供网络接入各种认证和控制手段,并实施各项安全和管理策略，使终端满足安全基线要求，有效的规避了网络终端潜在的各种风险.评估与管理evaluation ＆managementASM6000通过丰富的安全检查技术手段与风险漏洞发现修复能力,配合宏观的统计数据，可以作为各种安全手段和安全规则进行持续改进的依据，为进一步提高安全管理和等保测评等工作提供重要支持。

方案特色及优势1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备，提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。

系统能够支持内置身份认证,外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB KEY等多种认证方式.在认证的基础上提供完善的角色、安全域、来宾权限管理。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

非法设备连入内网
外来人员终端(来宾,上级检查,第三方维护人员) 内部员工私人电脑或内外网终端混用非法设备联入内网的黑客行为等.
内部合法电脑存在风险和漏洞,安全性偏低,感染率高
未安装杀毒软件或病毒库未更新重要性的补丁未打终端其他安全设置问题(guest用户,密码等) 无法提供很好的全网终端修复手段
严Hale Waihona Puke 违规设备立即隔离多种修复手段支持
安全域划分
角色绑定安全域
入网时间控制
基于规则匹配模式的的安全检查引擎，支持安全规则的不断更新，确保安全检查的健壮性
拥有丰富的系统缺省检查规则库，并支持自定义和系统规则库的升级，便于应对层出不穷的安全隐患
独创的Agentless安全检查模式，既可以方便部署又可以满足安全要求
根据状态评估结果采取措施，隔离设备，并使其符合策略
访问控制与策略管理
轻松创建能快速应用于用户组和角色的全面、精确的策略
如果没有它...
难以将用户与设备关联起来，执行何种策略，防止设备欺骗。
从无限使用网络到受限使用，必然会带来抵触情绪。
仅知道某一设备不符合安全策略是不够的—必须有人修复它。
回顾与讨论
盈高ASM入网规范管理系统介绍
什么是 ASM
ASM的体系架
构
ASM的主要功
能
ASM的技术特
色
ASM是盈高精心打造的一款专业的网络安全准入控制产品 ASM是Access Standard Management的缩写重点突出“违规不入网、入网必合规” 经过优化的安全操作系统平台，电信级硬件产品是经过国内领先的大规模无客户端模式
第二代Infrastructure-based准入是市场上的主流技术，方案多，架构大多比较成熟，稳定性及性能有保证
目前国外比较新兴的是采用Appliance-based的架构，特点是采用无客户端Agentless做为解决方案的关键
PORTAL? 。。。
EOU?
。。。
802.1X就能解决？
没有统一标准，多种解决方案并存！
网络中心主任
所有人的电脑接入都掌握在我这里，稳定性不好，这个责任我承担不
起
终端用户
每天刚上班这段时间最烦了，电脑老是接不
上网
稳定性如何保证？
并发连接能力如何保证？
身份认证
它的意义
独特地识别用户和设备，并在这两者间建立关联
URL-REDIRECT，人性化友好安检
隔离和修复
加快用户了解和适应的过程
创建和使用过于复杂或过难的策略将导致整个项目的废止。
一个强大的准入控制系统必须拥有上述所有功能。
ASM最重要的功能在于把网络中已有的安全系统（杀毒软件、补丁系统、桌面管理）有机地联系为一个整体，从而实现一体化的管理。概况地说，ASM是一个安全架构，具体的内容和血肉依赖于各种安全产品。
内网变成了威胁和攻击的温床
终端整体安全直接关系到整个网络
$
$10,000,000 $20,000,000 $30,000,000 $40,000,000 $50,000,000 $60,000,000
网络内部的攻击和泄密
内部网络的破坏病毒
内部人员网络的滥用黑客攻击
计算机通信内容被截取维护设备的损失
建立终端入网统一的安全体系
终端身份识别(不同身份、不同访问权限) 每个入终端都获得安全规范的管理
每台终端安全加固=获得健康安全的内网
对内网实施安全准入NAC
NAC （Network Admission Control）网络准入控制的功能在于验证内网设备的身份和安全性。
Software-based NAC
台的问题
大量客户端需要安装
•用户端资源占用高
•终端用户对客户端的反感
•维护不易
•无法充分利用现有网络资源
•购买更多的网络设备 •网络拓扑的大量改造 •影响网络正常性能
现状：用户网络越来越复杂，多种接入方式并存要求：对现有网络改造越少越好
第一代软件准入中的ARP方式属于廉价解决方案，不适合成熟用户使用；微软NAP则对操作系统要求较高，并且需要AD域
• 国内最早成立安全准入控制试验室的厂商之一； • 凝聚了一批具备CISP/CISSP等多项安全技术资质的安全
研发团队； • 与国际知名厂商微软、CISCO、趋势、Symantec等建立
长期的战略合作关系； • 浙江省网络与信息安全信息通报中心技术支持合作单位； • 产品自主研发，获得国家创新型项目基金； • 杭州市科技创新基金；
部署案例实践的系统
支持各种网络环境下的准入强制技术，充分适应各种复杂网络提供多样化身份认证方式，与第三方身份认证系统联动双实名认证+一键式智能修复，大大减轻管理工作量基于角色的动态授权访问控制，可以很方便做到内网的访问布控不断升级的安全检查引擎及规则库详实的实名制日志审计级联部署，集中管理，形成统一管理报警平台
理解准入控制---NAC
关于盈高
• 盈高科技（INFOGO TECHNOLOGY CO.,LTD）成立于 2006年，是国内网络安全准入控制与终端安全管理领域的专业厂商。公司总部设在杭州，在北京、湖南、广东、江西、江苏、湖北、上海设有分支机构；
• 国内领先的网络准入控制系统解决方案提供商和产品供应商；
来自网络内部的破坏攻击是信息安全最大威胁!
2009年ＣＳＩ／ＦＢＩ调查源自《计算机犯罪与安全调查报告》
2009年网络安全调查
因为软件漏洞，病毒蔓延造成的损失高达66％
登录密码太简单等安全配置不符要求，造成损失达到19％
终端软件漏洞终端安全配置
内部缺乏访问控制，高达13％
终端准入控制
• 纯软件方式的准入
ARP欺骗、微软NAP
Infrastructurebased NAC
• 与网络设备联动的准入
802.1x 、EOU、portal
Appliance-based NAC
• 单台设备实现的准入
串联方式、旁路方式
接入用户及设备的实名制问题？安全管理规范如何落实的问题？如何快速发现隐患设备并且如何智能修复？需要的是一套符合自身行业特色的安全规范内网分角色分区域访问控制的问题？实名日志审计问题及级联部署、集中管理平