ASM盈高入網(wǎng)規(guī)范管理系統(tǒng)操作手冊

1、ASM盈高入網(wǎng)規(guī)范管理系統(tǒng) INFOGO Access Standard Management System操作手冊 版權(quán) 聲明：本文中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬盈高科技所有，并受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護。任何個人、機構(gòu)未經(jīng)盈高科技的書面授權(quán)許可，不得以任何方式復制或引用本文的任何片斷。 商標：盈高、INFOGO是盈高科技的注冊商標，未經(jīng)允許，不得引用。目錄1.說明12.ASM設(shè)備外觀圖解13.登錄方式14.操作界面說明24.1首頁24.2模塊界面35.用戶首次配置35.1啟用旁路模式45.2啟用串聯(lián)模式45.3系統(tǒng)基本設(shè)置55.4郵件提

2、醒55.5短信提醒設(shè)置65.6部門管理75.7注冊與認證8安全域配置8認證角色管理9用戶管理10來賓認證參數(shù)12全局參數(shù)設(shè)置13注冊參數(shù)配置14認證參數(shù)配置15用戶名密碼認證16UKey認證16手機短信認證17Email認證17LDAP服務(wù)器配置17AD域認證參數(shù)設(shè)置18身份認證記錄19動態(tài)驗證碼獲取記錄195.8配置入網(wǎng)規(guī)范19標準行業(yè)入網(wǎng)規(guī)范庫20自定義規(guī)范20高級屬性245.9配置網(wǎng)絡(luò)聯(lián)動控制24EOU認證技術(shù)設(shè)置25PORTAL認證技術(shù)設(shè)置28透明網(wǎng)橋設(shè)置30策略路由設(shè)置33MVG網(wǎng)關(guān)設(shè)置365.10配置雙機熱備396.用戶日常使用406.1新設(shè)備注冊檢查406.2審核接入設(shè)備456.

3、3設(shè)備管理456.4.1.添加可信設(shè)備466.4.2.取消可信設(shè)備466.4.3.設(shè)備安裝軟件信息476.4隔離設(shè)備476.5設(shè)備和用戶綁定486.6立刻認證安檢516.7信息導入526.8IP地址池526.9IP/MAC綁定536.10.1.添加IP/MAC綁定536.10.2.導入IP/MAC綁定546.10IP/MAC全局配置556.11查看系統(tǒng)數(shù)據(jù)及報表566.12.1.設(shè)備信息查詢566.12.2.補丁管理查詢576.12.3.統(tǒng)計報表查詢586.12.4.未關(guān)機統(tǒng)計626.12上下網(wǎng)審計636.13級聯(lián)管理636.14功能地圖656.15報警中心656.16其他666.17.1.數(shù)

4、據(jù)備份666.17.2.系統(tǒng)更新676.17.3.上傳軟件管理686.17.4.設(shè)備狀態(tài)管理686.17.5.系統(tǒng)調(diào)試日志列表696.17.6.Excel報表導出696.17.7.強制認證推送706.17.8.終端故障分析716.17.9.數(shù)據(jù)導入716.17過期設(shè)備清除記錄726.18系統(tǒng)用戶727.終端小助手功能747.1安檢用戶切換747.2修改認證用戶密碼751. 說明ASM基于最先進的第三代準入控制技術(shù)，無需改變您的網(wǎng)絡(luò)，無需安裝客戶端，具有簡便的操作性、高度智能化的修復方式及對于各種復雜網(wǎng)絡(luò)的強適應性。我們?yōu)槟朴喠艘幌盗杏行Э煽康木W(wǎng)絡(luò)合規(guī)性要求，從而實現(xiàn)“違規(guī)不入網(wǎng)，入網(wǎng)必合規(guī)”

5、的管理規(guī)范，充分滿足等保對于網(wǎng)絡(luò)邊界及主機保護的要求為了能幫助您迅速部署ASM并體驗ASM的強大功能，請參照本手冊進行相關(guān)操作。祝您使用愉快！2. ASM設(shè)備外觀圖解eth1:管理端口(HA心跳口)，具有固定地址eth0: 非可信接口port，串聯(lián)模式使用，接內(nèi)部受控網(wǎng)絡(luò)圖 2.1eth2: 旁路接口Out-of-band port，旁路模式使用，使用時需要您分配一個IP地址eth3: 可信接口trusted port，串聯(lián)模式使用，接外部不受控網(wǎng)絡(luò) Console口3. 登錄方式我們提供web登錄的方式對ASM平臺進行相關(guān)的配置。l 如果您是與eth1口直連，那么請在瀏覽器地址欄中輸入 。l

6、 如果ASM設(shè)備采用旁路方式接入您的網(wǎng)絡(luò)，請預先為eth2口分配一個網(wǎng)絡(luò)中可以使用的IP地址（配置方法參考啟用旁路模式），確保您能ping通eth2口，在瀏覽器地址欄中輸入 http:/ eth2口IP地址/admin。登錄界面如下所示：圖 3.1ASM設(shè)備初始登錄用戶名：admin ，密碼：888888 。4. 操作界面說明4.1 首頁初次登錄，首頁界面如圖所示：圖 4.1. 1ASM的模塊，包括“注冊與認證”、“入網(wǎng)規(guī)范管理”，“統(tǒng)計報表”、“報警中心”、“網(wǎng)絡(luò)聯(lián)動控制”、“內(nèi)網(wǎng)邊界管理”、“網(wǎng)絡(luò)審計疏導”、“系統(tǒng)設(shè)置”共8個模塊。如圖所示：圖 4.1. 2版本信息是您購買的ASM設(shè)備的型

7、號及各項版本號。如圖所示：圖 4.1. 3請確保所顯示的型號與供貨合同相符。我們對引擎、行業(yè)庫及補丁庫會及時做出更新，敬請隨時關(guān)注我們的網(wǎng)站，以便使用我們?yōu)槟峁┑淖钚路?wù)。4.2 模塊界面當您點擊任何一個模塊后，會進入類似圖所示的模塊界面：圖 4.2. 1點擊各個“選項”后可以進行更為詳細的設(shè)置。5. 用戶首次配置如果您是第一次登錄ASM系統(tǒng)（登錄方式請參考登錄方式），為了方便今后的工作，我們建議您先進行一些初始化配置。5.1 啟用旁路模式如果ASM是采用串聯(lián)方式接入您的網(wǎng)絡(luò)，請?zhí)^此步驟，直接進入啟用串聯(lián)網(wǎng)絡(luò)。當ASM采用旁路方式接入您的網(wǎng)絡(luò)時，必須為執(zhí)行接入的eth2口分配一個網(wǎng)絡(luò)中可用

8、的IP地址。操作步驟為“系統(tǒng)設(shè)置”模塊 “網(wǎng)絡(luò)參數(shù)設(shè)置”選項，進入如下界面：圖 5.1. 11、 勾選ETH2的啟用框；2、 為ETH2配置一個您網(wǎng)絡(luò)中可用的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)。3、 點擊“完成配置”。在ASM系統(tǒng)已經(jīng)通過eth2口接入您網(wǎng)絡(luò)的情況下，遠程ping eth2口的IP地址。如果無法ping通，請聯(lián)系我們的技術(shù)工程師。5.2 啟用串聯(lián)模式如果ASM系統(tǒng)是采用旁路方式接入您的網(wǎng)絡(luò)，請?zhí)^此步驟，進入系統(tǒng)基本設(shè)置。請將ASM的eth0口與您需要進行準入控制的內(nèi)部網(wǎng)絡(luò)相連，將 eth3口與您的外部網(wǎng)絡(luò)相連。具體連接方式可能需要依據(jù)您的網(wǎng)絡(luò)拓撲而定，您可以預先咨詢我們的技術(shù)工程師。操

9、作步驟為“系統(tǒng)設(shè)置”模塊 “網(wǎng)絡(luò)參數(shù)設(shè)置”選項，進入如下界面：圖 5.2. 11、 勾選ETH0、ETH1 的啟用框。2、 點擊“完成配置”。注：關(guān)于串聯(lián)接入的具體參數(shù)設(shè)置，請參透明網(wǎng)橋設(shè)置。5.3 系統(tǒng)基本設(shè)置為了讓ASM更好地融入您的網(wǎng)絡(luò)，請先將您的用戶信息寫入ASM的界面中。在您下次登錄時，將看到采用您單位相關(guān)信息的界面。操作步驟為 “系統(tǒng)設(shè)置”模塊 “系統(tǒng)基本設(shè)置”選項，進入如下界面：圖 5.3. 15.4 郵件提醒我們?yōu)槟峁┝水斝略O(shè)備入網(wǎng)時自動發(fā)送郵件進行提醒的功能。當然，如果您不需要郵件提醒，也可以跳過此步驟，不會影響設(shè)備的其他功能。操作步驟為 “系統(tǒng)設(shè)置”模塊 “郵件提醒設(shè)置”

10、選項，進入如下界面：圖 5.5. 1l 請輸入您的郵件服務(wù)器地址，您的登錄賬戶及登錄密碼。郵件將從這個郵箱發(fā)出。請?zhí)钊階SM系統(tǒng)的管理地址（如您配置好的ETH2口地址）及web登錄的端口號（默認為80端口），收到郵件的管理員可以在郵件中直接點擊這個鏈接訪問到我們的ASM系統(tǒng)。l 請?zhí)钊豚]件中所顯示的收件人地址（可以與您的登錄賬戶名不同）。請點擊Email框輸入需要接收提醒郵件的收件人地址；圖 5.5. 2再點擊“添加”按鈕將地址添加到收件人列表中。刪除收件人：您可以選中收件人列表中的某個地址，再點擊“刪除”按鈕清空收件人：您可以直接點擊“清空”按鈕刪除所有已存在的收件人。5.5 短信提醒設(shè)置當

11、有設(shè)備等待接入審核或者IP/MAC變動或者空間不足時，我們可以設(shè)置發(fā)送短信提醒管理員。操作步驟為“系統(tǒng)設(shè)置”模塊 “短信提醒設(shè)置”選項，進入如下界面：圖 5.6. 1配置好短信引擎地址，管理員手機號碼，以及需要發(fā)送短信的情形，點擊保存配置后，當有發(fā)生需要發(fā)送短信的狀況時，管理員就會收到提醒短信。5.6 部門管理根據(jù)您單位目前管理的部門，ASM上也需要設(shè)置相應的部門規(guī)劃。這樣在入網(wǎng)設(shè)備注冊時（入網(wǎng)設(shè)備注冊的詳細過程請參考新設(shè)備注冊檢查）可以就選擇歸屬的部門，方便您及時準確地對設(shè)備進行定位和管理。請確保您已經(jīng)填寫好了您的單位名稱（關(guān)于公司或單位名稱的填寫請參考系統(tǒng)基本設(shè)置），此時單位名稱會顯示在所

12、有部門的最頂層。操作步驟為“注冊與認證”模塊 “部門管理”選項，如圖所示：圖 5.8. 1您只需點擊“添加部門”按鈕進行新部門編輯即可。如圖所示：圖 5.8. 2請輸入新部門名稱。ASM支持多部門多級管理，當您第一次添加部門時，上級部門為公司名稱；當有多個部門時，您可以在“上級部門”一欄選擇其中一個作為新部門的直接上級。保存后，部門列表將顯示在界面的右方。如圖所示：圖 5.8. 3通過點擊相應的操作名稱，您可以對已有的部門進行排序、編輯和刪除的操作5.7 注冊與認證在設(shè)備接入網(wǎng)絡(luò)之前，如果您是第一次接入網(wǎng)絡(luò)，就需要先進行注冊，然后進行身份認證。只有身份認證通過的設(shè)備才能進一步的對設(shè)備進行安全檢

13、查，確保您的設(shè)備是規(guī)范入網(wǎng)的。請選擇“注冊與認證”模塊，在界面的左邊會出現(xiàn)注冊與認證部分的導航欄“認證管理”與“身份認證參數(shù)設(shè)置”， 5.7.1 安全域配置在配置用戶角色之前可以先配置好安全域，以便在角色配置時可以準確地分配檢查通過和不通過時分別可以訪問的域。配置安全域的界面如圖所示：圖 . 15.7.1 認證角色管理用戶角色是對用戶身份的一種歸類。例如歸類于來賓角色的用戶，系統(tǒng)將不對其進行安檢。您可以自己新建一個特有的角色，新建界面如圖所示：圖 . 1如上圖所示，您可以根據(jù)自己的需求，設(shè)置角色是否需要安檢，安檢周期，安檢時引用的規(guī)范以及安檢后可以訪問的域。如果您啟用了檢查時安裝入網(wǎng)小助手，那

14、么我們會在您進行安檢時安裝入網(wǎng)小助手，并且根據(jù)您輸入的名字進行命名。安裝入網(wǎng)小助手之后，每次開機時，小助手會自動為您進行安全檢查。為了達到更準確的檢查結(jié)果，您可以配置小助手的二次檢查，選擇檢查時間間隔。當?shù)谝淮伟矙z完成后，等待您配置的間隔時間小助手即進行第二次安檢。如果您不想打擾到被管理人員的正常工作，我們小助手為您提供了免打擾模式。在小助手配置中，您可以開啟免打擾模式，開啟后，客戶機的小助手不會出現(xiàn)任何提示和對話框。如果您在卸載小助手的時候想讓設(shè)備信息同時被刪除，您可以啟用“卸載小助手是否刪除該設(shè)備信息”，那樣當您手動卸載小助手后，您的設(shè)備信息也會被刪除。5.7.1 用戶管理用戶是對使用設(shè)備

15、身份的管理方式。您可以建立用戶，使其歸類于某個角色，當身份認證通過后，就可以進行安檢，然后入網(wǎng)。用戶管理界面如下圖所示：圖 . 1點擊“添加用戶”按鈕，進入新建用戶界面，如下圖所示：圖 . 2輸入認證用戶名、密碼、確認密碼，并根據(jù)需求選擇用戶的角色、類型和部門后，保存用戶即可。用戶還可以和設(shè)備進行綁定，如果該用戶綁定了一臺設(shè)備，則該用戶就只能在綁定的這臺設(shè)備上進行認證，不能在其他設(shè)備上進行認證；您可以勾選需要綁定的用戶，點擊“綁定設(shè)備”按鈕，選擇綁定設(shè)備方式，確定即可。我們?yōu)槟峁┝藘煞N綁定方式：綁定到用戶最后認證的設(shè)備和綁定到指定設(shè)備。如果您選擇了綁定到最后認證的設(shè)備，系統(tǒng)自動為您綁定到您最

16、后認證的設(shè)備；如果您選擇了綁定到指定設(shè)備，那么您可以選擇您想綁定的設(shè)備。當您配置完成后，用戶管理界面的是否啟用綁定設(shè)備和綁定的設(shè)備會顯示您所設(shè)置綁定的設(shè)備。界面如圖所示：圖 . 3如果您希望被綁定的用戶可以在所有的設(shè)備上進行認證，那么您可以勾選該用戶，通過點擊“取消綁定設(shè)備”按鈕取消該用戶的綁定即可。5.7.1 來賓認證參數(shù)如果您有來賓需要接入網(wǎng)絡(luò)，那么您可以設(shè)置您的來賓在入網(wǎng)時是否需要驗證身份，是否需要臨時上網(wǎng)碼。認證參數(shù)的設(shè)置如下圖所示：圖 . 1當您啟用來賓認證時，來賓用戶入網(wǎng)前必須要先經(jīng)過認證，認證通過后的安檢設(shè)置將根據(jù)來賓角色配置進行安全檢查。如果您選擇需要臨時上網(wǎng)碼，那么您的來賓入

17、網(wǎng)認證時就需要向他所訪問的人申請一個臨時上網(wǎng)碼以便入網(wǎng)。臨時上網(wǎng)碼可以使用小助手申請，也可以通過檢查頁面來申請。使用小助手申請上網(wǎng)碼：在已經(jīng)安裝小助手的客戶機上右擊小助手à選擇“申請來賓上網(wǎng)碼”à系統(tǒng)分配臨時上網(wǎng)碼；界面如下圖所示：圖 . 2您也可以使用檢查頁面獲取上網(wǎng)碼：員工角色的客戶機檢查完成后，在結(jié)果界面上點擊“申請來賓上網(wǎng)碼”，如下圖所示：圖 . 3獲取到的臨時上網(wǎng)碼將在來賓用戶認證接入網(wǎng)絡(luò)時使用。5.7.1 全局參數(shù)設(shè)置對于身份認證，您可以選擇不認證，如果您選擇認證的話，我們的系統(tǒng)為您提供了四種認證方式：用戶名密碼認證、UKey身份認證、短信認證、Email認證。

18、我們在全局參數(shù)設(shè)置中為您提供一系列關(guān)于認證和安檢的全局參數(shù)，您可以根據(jù)自己的需求進行設(shè)置。全局認證參數(shù)設(shè)置如下圖所示：圖 . 1您可以根據(jù)不同的情況設(shè)置各個選項； 如果您開啟了無控件快速認證時，當新設(shè)備接入網(wǎng)絡(luò)時不需要安裝控件并且也不需要注冊，只要輸入正確的用戶名和密碼就能進行安檢。該功能只在MVG、DHCP、策略路由以及透明網(wǎng)橋這幾種準入技術(shù)下才有效；如果您開啟了允許通過手機進行身份認證，當手機通過無線接入您的網(wǎng)絡(luò)時可以開啟安檢界面，通過認證接入網(wǎng)絡(luò)；如果您設(shè)置檢查后顯示安檢得分，那么在安檢完成后檢查結(jié)果頁面會顯示安全得分；如果您設(shè)置檢查后啟動自動修復，那么安檢完成后如果有檢查項不通過則會根

19、據(jù)管理員的配置進行自動修復；如果您設(shè)置客戶端檢查頁面風格，則打開安檢頁面后，頁面會顯示設(shè)置的風格；如果您設(shè)置了認證前提示用戶選擇身份類型，當您打開安檢頁面需要先選擇身份類型才會進入身份認證頁面；如果您設(shè)置為不提示，當您打開安檢頁面不需要選擇身份類型直接跳轉(zhuǎn)到身份認證頁面；如果您設(shè)置用戶身份選擇顯示為圖片，則您打開安檢頁面顯示的為默認的我是來賓和我是員工按鈕；如果您設(shè)置顯示文字，則可以在彈出的輸入框中設(shè)置我是員工和我是來賓替換為您想要顯示的文字，不能超過6個字；如果您設(shè)置管理后臺訪問方式為安全模式，則您打開管理平臺必須是以https的形式打開頁面；如果您設(shè)置管理后臺訪問方式普通模式，則您打開管理

20、平臺頁面可以為普通的http模式打開；如果您選擇控件安裝方式為自動在線安裝，則當客戶機安裝了.net時首次接入網(wǎng)絡(luò)是不需要自己手動下載控件安裝的；如果您選擇手動下載安裝，則您首次接入網(wǎng)絡(luò)如果您設(shè)置為安檢前需要進行身份認證，并且設(shè)置需要認證的IP段，當您打開安檢頁面進行安檢時，客戶機IP在需要認證的IP范圍內(nèi)則需要進行用戶身份驗證；如果您設(shè)置為安檢前不需要進行身份認證，那么您進行安檢時進入身份認證頁面不需要手動去輸入信息我們系統(tǒng)默認給您通過；如果您開啟了桌面安全管理系統(tǒng)聯(lián)動，那么我們在進行安全檢查之前會先檢查是否安裝了桌面安全管理軟件，如果沒有安裝的話，我們會根據(jù)您配置的地址去訪問安裝桌面安全管

21、理軟件。關(guān)于自動修復功能，我們提供了一些不需要用戶交互的檢查項的自動修復。當您開啟桌面安全管理聯(lián)動時，ASM的模塊會增加一個桌面安全管理，如下圖所示：圖 . 2 客戶端檢查頁面可更換風格，系統(tǒng)默認風格為經(jīng)典藍，其他可切換風格為國旗紅和安全綠；5.7.1 注冊參數(shù)配置關(guān)于注冊時需要進行的一些操作，您可以在注冊參數(shù)中進行設(shè)置，設(shè)置界面如下圖所示：圖 . 1新接入網(wǎng)絡(luò)的設(shè)備注冊有2種方式，分別為用戶手動輸入信息進行注冊和系統(tǒng)自動進行注冊。當選擇用戶手動輸入信息進行注冊時，可選擇設(shè)備注冊后是否需要審核以及設(shè)備基本信息、所在部門、使用者、電話號碼、物理地址、接入原因和入網(wǎng)協(xié)議的必填、選擇或者隱藏的功能設(shè)

22、置。當電話號碼選擇為必填時，客戶機注冊時必須填寫電話號碼； 當選擇系統(tǒng)自動進行注冊時，新接入網(wǎng)絡(luò)的設(shè)備無需填寫注冊信息；5.7.1 認證參數(shù)配置注冊完成之后的客戶機，必須要進行身份認證通過后才能安檢，接入網(wǎng)絡(luò)。那么安檢時需要進行哪些操作呢？我們可以在認證參數(shù)配置中進行配置，界面如下圖所示：圖 . 1認證方式的選擇，您在這邊選擇某些認證方式，客戶機在身份認證時就顯示您所選的認證方式。如果你選擇了身份認證成功后設(shè)備優(yōu)先擁有用戶認證角色的網(wǎng)絡(luò)訪問權(quán)限，那么在認證成功后，設(shè)備的網(wǎng)絡(luò)訪問權(quán)限是根據(jù)您認證的用戶的權(quán)限來限制網(wǎng)絡(luò)訪問的。否則就會根據(jù)設(shè)備的角色來限制網(wǎng)絡(luò)訪問。如果您選擇啟用用戶同一時刻只允許在

23、一臺設(shè)備上使用，那么您在一臺設(shè)備上認證時使用的用戶名和密碼，如果在另外一臺設(shè)備上也使用了此用戶名和密碼，那么前一臺的認證將會被后一臺擠下去，斷開網(wǎng)絡(luò)。5.7.1 用戶名密碼認證為了方便您進行用戶名密碼方式認證，我們?yōu)槟峁┝宋宸N認證服務(wù)器，您可以根據(jù)自己的需求進行設(shè)定，界面如下圖所示：圖 . 1如果您選擇的是本地服務(wù)器，那么您在認證時輸入的用戶名和密碼必須是存在于我們的系統(tǒng)里的。如果您選擇的是其他兩個服務(wù)器，那么您認證時輸入的用戶名和密碼必須存在于這兩個服務(wù)器里。第三方web服務(wù)器需要通過url配置，鏈接到第三方服務(wù)器配合認證。關(guān)于LDAP服務(wù)器配置和AD域的設(shè)置我們將在下面進行詳細說明。5.

24、7.1 UKey認證如果您需要使用UKey進行身份認證，那么您需要在這里進行配置，界面如下圖所示：圖 . 1您可以根據(jù)自己的情況配置UKey認證的認證方式，多少時間會斷網(wǎng)。當您選擇的是根證書認證時，您必須導入您的根證書到我們的ASM系統(tǒng)。如果您選擇的是其他的服務(wù)器，那么您可以根據(jù)自己配置的服務(wù)器在界面上進行配置。配置完拔掉UKey的最大時間，當您拔掉UKey后，超過限制的時間，您的設(shè)備將會斷網(wǎng)。5.7.1 手機短信認證如果您需要使用短信進行認證，那么您需要在這里進行短信認證參數(shù)配置，您可以根據(jù)自己的需求配置短信發(fā)送的服務(wù)器，可以增加、刪除或者編輯短信認證的原因。界面如下圖所示：圖 . 1 當您

25、配置好短信認證參數(shù)，您還需要去設(shè)備列表信息中查看您的設(shè)備信息中的聯(lián)系電話是否填寫正確。如果未填寫，是不能成功使用手機進行認證的。5.7.1 Email認證在進行身份認證時，如果您使用的是Email認證，那這里的配置就至關(guān)重要了，您在這里配置好SMTP服務(wù)器地址和端口之后，只有使用這個服務(wù)器和端口的郵箱才能夠通過身份認證。Email認證參數(shù)配置頁面如下圖所示：圖 . 15.7.1 LDAP服務(wù)器配置LDAP服務(wù)器是用戶名和密碼認證時使用的一個服務(wù)器，您可以自己建立一個LDAP服務(wù)器，然后把LDAP服務(wù)器的信息配置在我們的系統(tǒng)上，您就可以根據(jù)LDAP服務(wù)器上設(shè)置的用戶名和密碼進行身份認證了。配置界

26、面如下圖：圖 . 1在配置界面中，我們?yōu)槟峁┝艘恍┖唵蔚睦?，您可以根?jù)自己所配置的LDAP服務(wù)器，參照我們提供的例子在界面上進行配置。輸入配置信息后，您可以點擊“測試”按鈕來查看您配置的信息是否正確。5.7.1 AD域認證參數(shù)設(shè)置AD域也是一個用戶名和密碼認證時使用服務(wù)器，配置界面如下圖：圖 . 1將您預先配置的域服務(wù)器的IP地址和域名的信息輸入，選擇是否啟用單點登錄。當您的設(shè)備是登錄在您所配置的域中時，如果您選擇啟用單點登錄，設(shè)備認證時無需輸入用戶名和密碼即可認證通過；如果您選擇關(guān)閉單點登錄，設(shè)備認證時就需要輸入用戶名和密碼來進行認證。注：若開啟了AD域單點登錄，則設(shè)備認證檢查時，會自動

27、去AD域服務(wù)器上驗證是否存在該AD域用戶；若開啟了AD域單點登錄且啟用同步域中的使用人到設(shè)備使用人時，設(shè)備檢查后，設(shè)備使用人就是域的登錄用戶；若關(guān)閉單點登錄，啟用同步域中使用人到設(shè)備使用人，設(shè)備檢查后，認證輸入的域用戶被同步到設(shè)備使用人。5.7.1 身份認證記錄 系統(tǒng)為您提供了身份認證記錄統(tǒng)計功能，當客戶機進行身份認證后，在這里會顯示設(shè)備的認證記錄。包括設(shè)備認證的用戶、認證角色、認證方式、認證時間、設(shè)備的名稱、設(shè)備的IP以及認證原因。系統(tǒng)還為您提供了一些條件查詢功能，您可以根據(jù)自己的需求在界面上輸入查詢條件，點擊“查詢”按鈕進行查詢。界面如圖所示：圖 . 15.7.1 動態(tài)驗證碼獲取記錄當您使

28、用手機短信認證后，在動態(tài)驗證碼獲取記錄頁面會產(chǎn)生一條驗證記錄，可以記錄客戶機使用手機認證的手機號碼和驗證碼，在使用有效期內(nèi)您可以使用這個驗證碼進行再次認證；使用期限需要您手動設(shè)置過期時間間隔。界面如圖.1所示：圖 . 15.8 配置入網(wǎng)規(guī)范在掌控了入網(wǎng)設(shè)備的身份后，您還需要配置符合您單位入網(wǎng)安全性的一系列規(guī)范。只有設(shè)備的身份和安全性同時在您的掌握和控制范圍之內(nèi)，才能確保您的網(wǎng)絡(luò)是可控和符合安全性要求的。請選擇“入網(wǎng)規(guī)范管理”模塊，在界面的左部上方出現(xiàn)“規(guī)范制定”欄，如圖所示：圖 5.11. 1111....5.8.1 標

29、準行業(yè)入網(wǎng)規(guī)范庫ASM系統(tǒng)已經(jīng)為您提供了各行業(yè)的入網(wǎng)規(guī)范標準，這是我們廣泛參考大量行業(yè)案例制定出的推薦標準。您可以直接應用該標準規(guī)范以迅速獲知您的網(wǎng)絡(luò)在標準要求下的安全狀況。如圖所示圖 . 1點擊“標準行業(yè)入網(wǎng)規(guī)范庫”后出現(xiàn)如圖所示界面：圖 . 2這里是我們的一個實例截圖，您可以找到自身所屬的行業(yè)，直接點擊規(guī)范的名稱即可查看行業(yè)入網(wǎng)規(guī)范的配置。5.8.2 自定義規(guī)范當然，您也可以根據(jù)自身的網(wǎng)絡(luò)狀況制定完全個性化的網(wǎng)絡(luò)規(guī)范方案。如圖所示圖 . 1點擊“檢查規(guī)范列表”后，出現(xiàn)如下界面：圖 . 2點擊“新建規(guī)范”后，出現(xiàn)如下界面：圖 . 3我們提供了多種檢查項供您選擇。當您需要啟用相應的檢查項時，請

30、先勾選對應的“啟用”框。圖 . 4在檢查項的旁邊可以點擊“配置”鏈接進入具體的參數(shù)頁面。如果您勾選了“設(shè)為關(guān)鍵檢查項”選項框，則此項檢查未通過時設(shè)備將被即時隔離出網(wǎng)絡(luò)。（關(guān)于設(shè)備安全檢查的具體過程請參照新設(shè)備注冊檢查）請最后設(shè)置修復期限選項，如圖所示：圖 . 5選擇第一個單選框，可以設(shè)定非關(guān)鍵項未通過的修復時間，默認為7天。修復時間是為了提供給入網(wǎng)設(shè)備一個適應規(guī)范的緩沖期，設(shè)備可以在這段時間內(nèi)正常訪問網(wǎng)絡(luò)以做出修復操作。當修復期限到期而設(shè)備依然未修復完成則將被隔離出網(wǎng)絡(luò)。我們不建議您選擇第二個單選框，這樣將失去對不合規(guī)設(shè)備的控制。在“幫助說明”中再次聲明了關(guān)鍵項未通過設(shè)備將直接被隔離出網(wǎng)絡(luò)，不

31、提供修復期。請確保只有對您網(wǎng)絡(luò)造成重大威脅的檢查項才設(shè)置為關(guān)鍵檢查項。檢查項參數(shù)說明：a) 殺毒軟件檢查圖 . 6我們提供了對目前市面上所有主流殺毒軟件的支持，您可以選擇您所要求安裝的殺毒軟件名稱，殺毒軟件版本號，病毒庫版本號，及是否正在運行的多項檢查參數(shù)；當您選擇了多項殺毒軟件時，設(shè)備只要符合您所列出的其中一種殺毒軟件中所有的參數(shù)即可通過檢查。當設(shè)備未能通過殺毒軟件檢查時，為了方便入網(wǎng)用戶及時快捷地進行自動修復，我們在ASM上提供了相應的修復選項。 如果您的網(wǎng)絡(luò)中有殺毒軟件服務(wù)器或提供修復的地址，請?zhí)钊胂鄳逆溄拥刂?。（關(guān)于不對網(wǎng)絡(luò)設(shè)備及服務(wù)器進行控制的操作，請參考可信設(shè)備管理）您也可以上傳

32、安裝包或病毒庫升級包，這樣用戶可以直接從檢查頁面上下載程序進行修復。（殺毒軟件檢查未通過后的自我修復具體請參考新設(shè)備注冊檢查）當設(shè)備的殺毒軟件版本或者病毒庫版本不符合時，為了方便入網(wǎng)用戶及時快捷地進行自動修復，我們在該殺毒軟件后面提供了相應的修復配置， b) IP/MAC綁定檢查圖 . 7在檢查項中添加或?qū)隝P/MAC綁定列表，當您管理的計算機試圖改變IP或者MAC時，系統(tǒng)就判斷為此檢查項不通過。c) 補丁檢查圖 . 8我們的補丁系統(tǒng)已經(jīng)為您定義好了“嚴重”、“重要”和“中等”三個級別的補丁，您可以選擇相應必須安裝的類型。為了適應您獨特的網(wǎng)絡(luò)環(huán)境，我們還提供了例外補丁配置。點擊“添加”按鈕后

33、，您可以根據(jù)ASM中的補丁列表自定義您額外需要安裝的補丁或額外不需要安裝的補丁。5.8.3 高級屬性我們?yōu)槟峁┝藱z查規(guī)范的高級屬性：共享或者私有。如果您選擇的是共享規(guī)范，那么其他操作員也可以對您建的規(guī)范進行查看和修改。如果您選擇的是私有規(guī)范，那么其他操作員對您建的規(guī)范只有查看的權(quán)限。圖 . 15.9 配置網(wǎng)絡(luò)聯(lián)動控制當配置好以上各項后，您還需要配置網(wǎng)絡(luò)聯(lián)動控制才能真正實現(xiàn)準入控制。ASM系統(tǒng)支持與多種網(wǎng)絡(luò)設(shè)備進行聯(lián)動，完全以界面化的形式啟用及配置各種接入認證。進入“網(wǎng)絡(luò)聯(lián)動控制”模塊如下界面：圖 5.12. 1您可以根據(jù)當前網(wǎng)絡(luò)環(huán)境，任意選擇一種認證技術(shù)進行配置。當您開啟某一個準入技術(shù)時，我

34、們的系統(tǒng)將會在頁面上的技術(shù)導航欄里進行醒目的提示，如下圖：圖 5.12. 2注：透明網(wǎng)橋、策略路由和VG虛擬網(wǎng)關(guān)一次只能啟用一個。5.9.1 EOU認證技術(shù)設(shè)置如果您的接入交換機是CISCO的35系列交換機，那么您可以在接入層就可以利用EOU認證技術(shù)進行非常細致安全的準入控制，可以充分利用CISCO交換機的特性來進行安全準入的操作。操作步驟：a) 基本參數(shù)設(shè)置圖 . 11、 配置重定向URL地址：http:/eth2口IP地址。2、 配置重定向的交換機ACL名稱：AsmEouUrlAcl。3、 當您在開啟EOU認證技術(shù)后又希望放開所有設(shè)備，則可“啟用緊急模式”。4、 其余配置項使用默認配置即可

35、。5、 點擊“完成配置”。b) EOU全局參數(shù)設(shè)置圖 . 21、 配置主認證服務(wù)器地址：主ASM設(shè)備eth2口IP地址（若您有兩臺ASM設(shè)備，則配置備認證服務(wù)器地址：備ASM設(shè)備eth2口IP地址）。2、 配置隔離服務(wù)器：若您希望設(shè)備被隔離后仍然可以訪問指定的服務(wù)器，則可以在“IP地址”處填寫該服務(wù)器的IP地址，然后選擇“添加”按鈕。3、 同樣，您也可以選中希望設(shè)備被隔離后不可以訪問指定的服務(wù)器，然后選擇“刪除”按鈕或者選擇“清空”按鈕，進行刪除或清空。4、 點擊“完成配置”。c) EOU交換機管理當您配置好EOU基本參數(shù)和全局參數(shù)后，才能開始配置EOU交換機管理。進入“EOU認證技術(shù)設(shè)置”欄

36、，選擇“EOU交換機管理”，如下界面所示：圖 . 31、 添加交換機：選擇“添加交換機”按鈕進入如下界面： 圖 . 42、 填寫完各參數(shù)配置選擇“完成配置”后出現(xiàn)如下界面：圖 . 53、 配置交換機：選中添加的交換機后選擇“配置交換機”按鈕進入如下界面：圖 . 64、 選中要在交換機上開啟EOU認證技術(shù)的端口，然后選擇“生效EOU配置”。（至此，EOU認證技術(shù)已配置完成。）5.9.2 PORTAL認證技術(shù)設(shè)置如果您的網(wǎng)絡(luò)路由器支持PORTAL功能，例如H3C的MSR20系列或更高級別的路由器，那么您就可以使用該功能。操作步驟：a) 基本參數(shù)設(shè)置圖 . 11、 配置重定向URL地址：http:/

37、eth2口IP地址。2、 配置認證服務(wù)器地址：ASM設(shè)備eth2口IP地址。3、 配置免認證服務(wù)器：若你希望將指定的設(shè)備不進行portal認證，則可以在“IP地址：”、“掩碼”處填寫該設(shè)備的IP地址和掩碼（IP地址段可通過掩碼來控制），然后選擇“添加”按鈕。4、 同樣，您也可以選擇“刪除”或“清空”按鈕，從列表中刪除或清空免認證的設(shè)備。5、 點擊“完成配置”。b) PORTAL路由器管理當您配置好PORTAL基本參數(shù)后，才能開始配置EOU交換機管理。進入“PORTAL認證技術(shù)設(shè)置”欄，選擇“PORTAL路由器管理”，如下界面所示：圖 . 21、 添加路由器：選擇“添加路由器”按鈕進入如下界面：

38、圖 . 32、 填寫完各參數(shù)配置選擇“完成配置”后出現(xiàn)如下界面：圖 . 43、 配置路由器：選中添加的路由器后選擇“配置路由器”按鈕進入如下界面：圖 . 54、 選擇要在路由器上開啟PORTAL認證技術(shù)的端口，然后選擇“生效PORTAL配置”。（至此，PORTAL認證技術(shù)已配置完成。）5.9.3 透明網(wǎng)橋設(shè)置如果您只希望對部分的網(wǎng)絡(luò)進行保護，比如您只希望對服務(wù)器群進行保護，那么您可以采用透明網(wǎng)橋的技術(shù)，將透明網(wǎng)橋部署在服務(wù)器群的前面，由透明網(wǎng)橋來保護您的服務(wù)器資源。采用透明網(wǎng)橋認證技術(shù)，必須確定已啟用eth0和eth1網(wǎng)卡 ，請參照啟用串聯(lián)網(wǎng)絡(luò)。操作步驟：a) 認證參數(shù)設(shè)置圖 . 11、 配置

39、重定向URL地址：http:/eth2口IP地址。2、 當您在開啟透明網(wǎng)橋認證技術(shù)后又希望放開所有設(shè)備，則可“啟用緊急模式”。3、 設(shè)置安檢過后是否返回到重定向前訪問的界面或者重定向到指定的頁面。4、 配置采用二次轉(zhuǎn)向的IP地址。5、 點擊“完成配置”。b) 例外設(shè)備管理圖 . 21、 配置隔離服務(wù)器：若您希望設(shè)備被隔離后仍然可以訪問指定的服務(wù)器，則可以在“開始IP”、“結(jié)束IP”處填寫該服務(wù)器的IP地址，然后選擇“添加”按鈕。同樣，選擇“刪除”按鈕進行刪除。2、 配置不管理網(wǎng)段：若你希望將指定的設(shè)備不進行入網(wǎng)控制，則可以在“開始IP：”、“結(jié)束IP”處填寫該設(shè)備的IP地址，然后選擇“添加”按

40、鈕。同樣，選擇“刪除”按鈕進行刪除。c) 例外域名設(shè)置圖 . 3設(shè)置例外域名后，設(shè)備被隔離后，仍然能訪問例外的域名；d) NAT網(wǎng)絡(luò)設(shè)置NAT技術(shù)不僅完美地解決了IP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護網(wǎng)絡(luò)內(nèi)部的計算機。設(shè)置界面如下圖：圖 . 45.9.4 策略路由設(shè)置如果您想要求某些路由必須經(jīng)過特定的路徑，那么就可以使用策略路由。策略路由聯(lián)動控制使用的網(wǎng)卡是eth0和eth2，采用策略路由認證技術(shù)，必須確定已啟用這三個網(wǎng)卡并且配置eth2口的IP地址。（網(wǎng)卡配置請參照啟用旁路網(wǎng)絡(luò)）操作步驟：a) 認證參數(shù)設(shè)置圖 . 11、 配置重定向URL地址：http:/et

41、h2口IP地址。2、 配置下一跳IP地址：該地址為與ASM系統(tǒng)eth0口直連的網(wǎng)絡(luò)聯(lián)動設(shè)備的IP地址。3、 配置好下一跳IP地址后點擊“獲取下一跳MAC地址”按鈕，若能網(wǎng)絡(luò)正常則網(wǎng)絡(luò)聯(lián)動設(shè)備的MAC地址將顯示于“下一條MAC地址”文本框中。4、 當您在開啟策略路由認證技術(shù)后又希望放開所有設(shè)備，則可“啟用緊急模式”。5、 配置采用二次轉(zhuǎn)向的IP地址。6、 設(shè)置安檢通過后是否返回指定的頁面，如果選擇啟用，并設(shè)置頁面路徑。7、 設(shè)置安檢過后是否返回到重定向前訪問的界面。8、 點擊“完成配置”。b) 例外設(shè)備管理圖 . 21、 配置隔離服務(wù)器：若您希望設(shè)備被隔離后仍然可以訪問指定的服務(wù)器，則可以在“開

42、始IP”、“結(jié)束IP”處填寫該服務(wù)器的IP地址，然后選擇“添加”按鈕。同樣，選擇“刪除”按鈕進行刪除。2、 配置不管理網(wǎng)段：若你希望將指定的設(shè)備不進行入網(wǎng)控制，則可以在“開始IP：”、“結(jié)束IP”處填寫該設(shè)備的IP地址，然后選擇“添加”按鈕。同樣，選擇“刪除”按鈕進行刪除。c) 例外域名設(shè)置圖 . 3設(shè)置例外域名后，設(shè)備被隔離后，仍然能訪問例外的域名；d) NAT網(wǎng)絡(luò)設(shè)置NAT技術(shù)不僅完美地解決了IP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護網(wǎng)絡(luò)內(nèi)部的計算機。設(shè)置界面如下圖：圖 . 45.9.5 MVG網(wǎng)關(guān)設(shè)置MVG網(wǎng)關(guān)配置界面如下：a) 基本參數(shù)設(shè)置：圖5.12.8.

43、 11、 當您在開啟策略路由認證技術(shù)后又希望放開所有設(shè)備，則可“啟用緊急模式”。2、 勾選日志等級；3、 配置重定向URL地址：http:/eth2口IP地址。4、 配置隔離服務(wù)器：若您希望設(shè)備被隔離后仍然可以訪問指定的服務(wù)器，則可以在“開始IP”、“結(jié)束IP”處填寫該服務(wù)器的IP地址，然后選擇“添加”按鈕。同樣，選擇“刪除”按鈕進行刪除。5、 點擊“完成配置”。b) MVG交換機管理：當您配置好MVG基本參數(shù)后，才能開始配置MVG交換機管理。進入“MVG虛擬網(wǎng)關(guān)設(shè)置”欄，選擇“MVG交換機管理”，如下界面所示：圖5.12.8. 2點擊“添加交換機”，可以配置您需要管理的交換機，界面如下圖所示

44、：圖5.12.8. 3輸入您要管理的交換機的名稱、IP地址等，點擊“完成配置”成功添加交換機，添加完成后，交換機將顯示在管理列表中如圖 .2所示。點擊交換機名稱或者選擇交換機點擊配置交換機按鈕，可以對交換機各個端口進行選擇管理，界面如下圖所示：圖5.12.8. 4選擇需要管理的端口，點擊“保存配置”按鈕，即可管理所選的端口。您可以點擊管理mac列表來進行mac和端口的綁定，首先添加需要綁定的mac，如下圖：圖5.12.8. 5添加完成后，勾選是否綁定mac，如下圖所示：圖5.12.8. 6c) VLAN映射配置：配置完交換機管理后，您還需要對Vlan映射進行配置，保證接入設(shè)備認證前后屬于不同權(quán)

45、限的Vlan，從而達到接入控制的目的。圖5.12.8. 7d) 例外域名設(shè)置圖5.12.8. 8設(shè)置例外域名后，設(shè)備被隔離后，仍然能訪問例外的域名；e) 管理端口列表圖5.12.8. 9顯示交換機管理的端口信息f) 隔離端口列表圖5.12.8. 10顯示隔離端口的信息5.10 配置雙機熱備部署ASM系統(tǒng)后可保證入網(wǎng)人員的可信性及入網(wǎng)設(shè)備的安全性，可減少網(wǎng)絡(luò)因攻擊性危險造成的安全隱患，但網(wǎng)絡(luò)本身還是會因系統(tǒng)的硬件性危險、數(shù)據(jù)流失、網(wǎng)絡(luò)單點故障而引起安全風險。借于此，ASM系統(tǒng)已為您提供了雙機熱備功能來保障數(shù)據(jù)完整性、網(wǎng)絡(luò)無單點故障、硬件冗余性。啟用雙機熱備功能步驟為“系統(tǒng)設(shè)置”模塊“雙機熱備管理

46、”選項，進入如下界面：圖 5.13. 11、 配置檢測IP地址列表：該地址通常配置成ASM系統(tǒng)eth2口的網(wǎng)關(guān)IP地址。2、 主機和備機配置：先配置主機的心跳IP地址和管理IP地址，再配置備機的心跳IP地址和管理IP地址。3、 配置本機熱備心跳IP地址：配置成ASM系統(tǒng)eth1口的地址。4、 點擊“保存配置”啟用雙機熱備功能。6. 用戶日常使用6.1 新設(shè)備注冊檢查1、 當您網(wǎng)絡(luò)中有新設(shè)備接入并通過瀏覽器訪問互聯(lián)網(wǎng)時，會出現(xiàn)如下界面：圖 6.1. 12、 根據(jù)您的身份選擇員工或者來賓，下面先介紹員工，點擊“我是員工”按鈕，出現(xiàn)如下界面：圖 6.1. 23、 勾選“我同意入網(wǎng)協(xié)議”進行入網(wǎng)登記，

47、選擇部門，輸入使用者等信息，點擊下一步如下界面：圖 6.1. 34、選擇認證方式之后輸入認證信息后點擊“確定”，就可以進入檢查頁面，如下圖：圖 6.1. 45、若您已經(jīng)在首次配置時啟用了“設(shè)備注冊審核”，則點擊“下一步”后出現(xiàn)提示信息：圖 6.1. 5注：設(shè)置接入設(shè)備審核請參照設(shè)置接入設(shè)備審核。6、點擊“確定”按鈕，出現(xiàn)如下界面：圖 6.1. 67、此時需要等待管理員批準審核（請參照審核接入設(shè)備。）8、當管理員批準審核后，進行步驟3和步驟4；9、當安全檢查完成后，若新設(shè)備符合當前入網(wǎng)規(guī)范，則出現(xiàn)如下界面并可使用網(wǎng)絡(luò)：圖 6.1. 710、若新設(shè)備某些關(guān)鍵檢查項不符合當前入網(wǎng)規(guī)范，則需要修復存在

48、的問題后才能使用網(wǎng)絡(luò)，如下界面：圖 6.1. 8注：安全檢查請參照配置入網(wǎng)規(guī)范。來賓賬戶的注冊認證及檢查：在打開檢查頁面時，選擇“我是來賓”，如果您設(shè)置了不啟用來賓認證，那么您的網(wǎng)絡(luò)就不允許有來賓訪問。當瀏覽器需要接入網(wǎng)絡(luò)時界面如下：圖 6.1. 9如果您設(shè)置了開啟來賓認證，但不需要臨時上網(wǎng)碼時，點擊“我是來賓”后，出現(xiàn)的界面如下圖所示：圖 6.1. 10如果您設(shè)置開啟來賓認證，并且需要臨時上網(wǎng)碼時，點擊“我是來賓”后，出現(xiàn)的界面如下圖所示：圖 6.1. 11此時您需要臨時上網(wǎng)碼，臨時上網(wǎng)碼的方法申請參見來賓認證參數(shù)設(shè)置中臨時上網(wǎng)碼的申請。6.2 審核接入設(shè)備 若您已經(jīng)在首次配置時啟用了“注冊

49、后需要進行審核”，則有新設(shè)備接入網(wǎng)絡(luò)時需要管理員批準審核后才能接入網(wǎng)絡(luò)（請參照設(shè)置接入設(shè)備審核）。您也可以啟用“郵件提醒”功能，讓你及時了解設(shè)備接入情況（請參照郵件提醒）。操作步驟為“內(nèi)網(wǎng)邊界管理”模塊“設(shè)備注冊審核”選項，進入如下界面：圖 6.2. 11、 選中待審核的設(shè)備，然后選擇“批準審核”按鈕，出現(xiàn)如下提示：圖 6.2. 2根據(jù)接入設(shè)備的實際情況，您可以限制接入設(shè)備使用網(wǎng)絡(luò)的時間：l 當您選擇“審核通過后允許永久使用網(wǎng)絡(luò)”后，點擊“批準審核”按鈕，此時通過審核的設(shè)備若管理員對其無其他操作的話將永久使用網(wǎng)絡(luò)。l 當您選擇“審核通過后超過截止日期將限制使用網(wǎng)絡(luò)”并為其設(shè)置截止日期，點擊“批

50、準審核”按鈕，此時通過審核的設(shè)備將在截止日期后不能使用網(wǎng)絡(luò)需重新接入注冊，如下圖：圖 6.2. 36.3 設(shè)備管理若您希望對指定設(shè)備不進行安全檢查，則可將該設(shè)備添加為可信設(shè)備。同樣，也可以在可信設(shè)備列表中取消設(shè)備的可信。6.4.1. 添加可信設(shè)備操作步驟為“內(nèi)網(wǎng)邊界管理”模塊“設(shè)備列表信息”選項，進入如下界面：圖 . 1關(guān)于設(shè)備列表信息，我們?yōu)槟峁┝藘煞N視圖的展示，一種是如上圖所示的列表視圖，另一種是平鋪視圖，界面如下：圖 . 21、 在“設(shè)備名稱”列勾選要設(shè)為可信的設(shè)備。2、 選擇“設(shè)為可信”按鈕。3、 點擊“確定”按鈕執(zhí)行添加可信設(shè)備。6.4.2. 取消可信設(shè)備如果您想取消可信設(shè)備，您可

51、以通過點擊“內(nèi)網(wǎng)邊界管理”模塊“可信設(shè)備管理”選項，進入如下界面：圖 . 11、 在“設(shè)備名稱”列勾選要取消可信的設(shè)備。2、 選擇“可信設(shè)置”à“取消可信”按鈕。3、 點擊“確定”按鈕執(zhí)行取消可信設(shè)備。6.4.3. 設(shè)備安裝軟件信息當您需要查看設(shè)備安裝了哪些軟件的時候，我們?yōu)槟峁┝诉@個功能。只要您點擊進入設(shè)備列表信息，然后點擊設(shè)備詳細信息，選擇設(shè)備安裝軟件信息選項卡即可查看，如下圖：圖 . 1注：為了不影響服務(wù)器認證性能，軟件上報會在小助手啟動后1到4個小時內(nèi)上報。6.4 隔離設(shè)備當您發(fā)現(xiàn)在網(wǎng)絡(luò)設(shè)備列表中存在不明設(shè)備或者違規(guī)設(shè)備時，您可以將該設(shè)備進行隔離，讓其不能使用網(wǎng)絡(luò)，以便您更

52、嚴格、更方便的管理網(wǎng)絡(luò)，保證網(wǎng)絡(luò)隨時處于安全狀態(tài)。操作步驟為“內(nèi)網(wǎng)邊界管理”模塊“設(shè)備列表信息”選項，進入如下界面：圖 6.5. 11、 在“設(shè)備名稱”列勾選要隔離的設(shè)備。2、 選擇“隔離設(shè)置”à“隔離設(shè)備”按鈕，出現(xiàn)如下界面：圖 6.5. 2l 當您選擇“永久隔離”方式，被隔離的設(shè)備將從此刻起永久不能使用網(wǎng)絡(luò)。l 當您選擇“指定隔離截止日期”方式，被隔離的設(shè)備到了截止日期后將自動恢復使用網(wǎng)絡(luò)，如下圖：圖 6.5. 33、 點擊“立刻隔離”按鈕執(zhí)行設(shè)備隔離，此時被隔離的設(shè)備桌面右下角的“入網(wǎng)助手”出現(xiàn)如下提示：（此提示只在安裝了入網(wǎng)助手且正常運行時出現(xiàn)）圖 6.5. 4l 若您想要將

53、已隔離的設(shè)備重新恢復其使用網(wǎng)絡(luò)，則只需將該設(shè)備設(shè)為可信設(shè)備即可。（請參照可信設(shè)備管理）6.5 設(shè)備和用戶綁定為了更加嚴謹?shù)墓芾韱T工使用設(shè)備上網(wǎng)，我們提供了設(shè)備和用戶綁定的功能，設(shè)備可以綁定某個用戶，那么除了這個用戶之外的其他用戶就不能在此設(shè)備上認證。用戶可以綁定某個設(shè)備，那么此用戶除了能在該設(shè)備上認證之外其他設(shè)備上是不能認證的。設(shè)備綁定用戶的步驟為：“內(nèi)網(wǎng)邊界管理”模塊“設(shè)備列表信息”選項，進入如下界面：圖 6.6. 1選擇一臺設(shè)備，點擊“綁定用戶設(shè)置”à“綁定用戶”按鈕，進入如下界面：圖 6.6. 2選擇您要綁定到設(shè)備的用戶，點擊確定即可。設(shè)備列表中設(shè)備的信息顯示如下圖：圖 6.6

54、. 3如果你的設(shè)備綁定了一個用戶，而您卻使用另外一個用戶認證，那么ASM會提示您，如下圖：圖 6.6. 4用戶綁定設(shè)備的步驟為：“注冊與認證”模塊“用戶管理”選項，進入如下界面：圖 6.6. 5選擇一個用戶，點擊“綁定設(shè)備”按鈕，進入如下界面：圖 6.6. 6選擇一個設(shè)備綁定到用戶，點擊“確定”按鈕即可，用戶列表信息中信息顯示如下：圖 6.6. 7如果您的用戶綁定了一個設(shè)備，卻到另一個設(shè)備上進行認證，ASM將會提示如下圖：圖 6.6. 86.6 立刻認證安檢當您發(fā)現(xiàn)網(wǎng)絡(luò)中存在長時間未進行安檢或未通過安檢的設(shè)備，您可以執(zhí)行立刻認證安檢功能讓其自動進行安檢。操作步驟為“內(nèi)網(wǎng)邊界管理”模塊“設(shè)備列表信息”選項，進入如下界面：圖 6.7. 11、 在“設(shè)備名稱”列勾選要強制安檢的設(shè)備。2、 選擇“立刻認證安檢”按鈕，出現(xiàn)如下界面：圖 6.7. 23、 點擊“確定”按鈕對設(shè)備執(zhí)行強制安檢，如下圖：圖 6.7. 3l 此時，在網(wǎng)絡(luò)中被強制安檢的設(shè)備桌面右下角的“入網(wǎng)小助手”出現(xiàn)如下提示，同時自動彈出網(wǎng)頁進行安全檢查：（此提示只在安裝了入網(wǎng)助手且正