盈高入网规范管理系统
策略路由 快速配置手册
INFOGO Access Standard Management System
声明:本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属盈高科技所有,并受到有关产权及版权法保护。任何个人、机构未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
商标:盈高、INFOGO是盈高科技的注册商标,未经允许,不得引用。 杭州盈高科技有限公司
目录
1.
ASM系统界面配置.................................................................................................................... 1 1.1 网卡参数配置 ............................................................................................................... 1 1.2 产品界面个性化定制 ................................................................................................... 1 组织架构与人员信息创建 ....................................................................................................... 2 2.1 角色创建 ....................................................................................................................... 2 2.2 组织架构管理 ............................................................................................................... 2 2.3 用户管理 ....................................................................................................................... 3 准入技术选择........................................................................................................................... 3 3.1 准入模式选择 ............................................................................................................... 3 3.2 例外参数添加 ............................................................................................................... 4 3.3 NAT穿越配置................................................................................................................ 5 网络相关配置........................................................................................................................... 6 4.1 设备部署示意图 ........................................................................................................... 6 4.2 交换机策略路由命令 ................................................................................................... 7 4.3 防火墙端口开放 ........................................................................................................... 8 入网流程配置........................................................................................................................... 9 5.1 开启身份认证 ............................................................................................................... 9 5.2 控件安装设置 ............................................................................................................. 10 5.3 开启注册审核 ............................................................................................................. 10 5.4 安全检查设置 ............................................................................................................. 12 交换机联动管理..................................................................................................................... 12 告警信息配置......................................................................................................................... 13
2.
3.
4.
5.
6. 7.
2
杭州盈高科技有限公司
1. ASM系统界面配置
1.1 网卡参数配置
启用 ETH0 和 ETH2 两块网卡并配置 IP 地址:ETH0 与联动网络设备相连,配置的 IP地址作为策略路由的下一跳地址;ETH2 配置的 IP 地址需要全网或者控制的网段能够访问。
界面操作步骤:点击“系统设置”---“IP地址设置”,如下图:
图1. 网卡参数配置
1.2 产品界面个性化定制
设置准入设备基本信息:单位名称、界面名称显示等。 点击“系统设置”---“产品个性化定制”,如下图:
图2. 网卡参数配置
1
杭州盈高科技有限公司
2. 组织架构与人员信息创建
2.1 角色创建
创建“角色”,盈高ASM将根据角色将人员、部门与角色一一对应起来,便于后续准入策略的下发、网络访问权限的控制等灵活控制。ASM可实现对于不同角色的人员进行不同的准入策略与网络访问权限控制。
点击“用户管理”---“角色列表”---“添加角色”,如下图:
图3. 添加角色
2.2 组织架构管理
创建各单位的部门组织架构。点击“用户管理”---“组织架构树”---“添加新组织架构”,创建部门,如下图:
图4. 创建部门
2
杭州盈高科技有限公司
ASM支持组织架构以excel方式批量导入,模板中所使用字体均全部使用宋体,如下图:
图5. 批量导入部门
2.3 用户管理
创建本地用户名、密码,用户单位人员入网的身份认证。ASM支持批量用户导入。点击“用户管理”---“导入用户”,下载模板,填入相应的信息,如下图:
图6. 批量导入用户
图7. 批量导入用户模板
注意: 在导入用户模板中,所填入的部门,必须与之前新建的组织架构中的“一级部门”,否则将在组织架构树中新增一个“一级部门”;且导入模板中字体必须为宋体。
3. 准入技术选择
3.1 准入模式选择
根据实际网络的需要,本次实施我们均选用策略路由准入技术。点击“安全规范”---“准入控制器管理”,如下图:
3
杭州盈高科技有限公司
图8. 准入控制器管理
点击“安全规范”---“准入控制器管理”,选择策略路由准入技术,如下图:
图9. 准入技术选择
注:
1、如果图9中选择的是全局配置,则在图8中请点击全局参数配置进行基本参数配置、例外参数、NAT穿越配置。
2、 图9中紧急模式为设备应急逃生模式,在未正式开启准入之前,建议开启紧
急模式。
3、 准入技术一旦选择之后,请勿随意更改(每一种模式与交换机配置、设备接
线方式均有关系)! 3.2 例外参数添加
将网络打印机、网络IP电话、ATM设备、视频监控设备、服务器等一些特殊终端IP地址添加到例外终端列表当中。将安全修复服务器添加到例外服务器列表中。点击“安全规范”---“准入控制器管理”---“全局参数配置”---“例外参数设置”,如下图:
4
杭州盈高科技有限公司
图10. 例外参数设置
3.3 NAT穿越配置
ASM默认阻止NAT无线路由器的方式接入,对于需要特殊容许的,需要将wlan口的IP地址加入到NAT穿越列表中。点击“安全规范”---“准入控制器管理”---“全局参数配置”---“NAT穿越设置”,如下图:
图11. 例外参数设置
5
杭州盈高科技有限公司
4. 网络相关配置
4.1 设备部署示意图
图12. 策略路由部署接线图
考虑到甘肃省电力公司的网络结构,均存在双核心的现象,因此盈高科技ASM对此拥有专门的解决方案----双策略路由技术。 在每一个核心交换机上均接一根策略路由控制线,进行准入控制。
图12. 双策略路由口部署方式
6
杭州盈高科技有限公司
4.2 交换机策略路由命令 策略路由原理:
通过ACL访问控制列表,将匹配的数据流,通过策略路由方式,强制指向盈高ASM 的ETH0口,进行准入控制。 因此,需要配置的是ACL、策略路由、vlan或者接口调用该策略路由。 配置案例:
下图列举了几种常见厂商交换机的策略路由方式,仅供参考。
图13. H3C QOS策略路由配置方式
图14. H3C policy-based-route策略路由配置方式
7
杭州盈高科技有限公司
图15. H3C policy-based-route策略路由配置方式
图16. cisco route-map 策略路由配置方式
4.3 防火墙端口开放
为保证盈高ASM服务器与各终端的ASM小助手进行正常通行,需要在网络当中的防火墙上开发以下指定端口。 ASM to client 服务名称 HTTP HTTPS Web请求 P2P asmsvr client通信端口
8
用途 Client认证端口 Client提交安检信息端口 小助手提交Web请求端口 软件修复、下载时采用的P2P端口 ASM控制端口 与client一般通信端口 端口号 TCP 80 TCP 443 TCP 36600 TCP 36599 TCP 37527 TCP 67/68 UDP 67/68 杭州盈高科技有限公司
ASM to switch snmp telnet telnet服务 SSH SSH服务 TCP 22
简单网管协议 TCP 23 TCP 161、162 5. 入网流程配置
5.1 开启身份认证
要求接入网络的人员进行身份认证。点击“安全规范”----“入网流程管理”---“身份认证设置”,如下图:
图17.入网流程管理界面
图18. 身份认证
9
杭州盈高科技有限公司
5.2 控件安装设置
要求接入终端均安装盈高准入客户端ASM小助手程序。点击“安全规范”---“入网流程管理”---“控件安装设置”,如下图:
图19. 控件安装设置
图20. 编辑控件安装设置
5.3 开启注册审核
针对相关角色的人员,终端第一次要求接入网络时,终端需要进行注册登记、并经过管理员审核。点击“安全规范”---“入网流程管理”---“设备注册设置和设备审核设置”,如下图:
10
杭州盈高科技有限公司
图21. 设备注册登记设置
图22. 设备审核设置
11
杭州盈高科技有限公司
5.4 安全检查设置
创建安全检查规范库,对接入终端进行安全检查。点击“安全规范”---“安全规范列表”---“添加安全规范”,创建安全规范,如下图:
图22. 安全规范库创建
注:1、根据单位安全规范要求,要求接入终端必须安装指定杀毒软件、指定桌
面客户端软件,要求接入终端账户不容许存在弱口令、密码策略必须符合要求等。
2、内网终端不能私自连接外网,因此需要在ASM上面开启防止违规外联的策略。
3、对于杀毒软件、指定客户端未安装的终端,设置相应的修复路径,并开启“自动修复功能”,方便终端用户进行修复,完善终端安全。
6. 交换机联动管理
为实现对各接入终端的快速、精准定位,可通过SNMP、TELNET、SSH任意一种方式对交换机进行管理,ASM能够呈现交换机图形化面板信息。
点击“全网资源”---“添加设备”---“添加网络设备”,如下图:
图23. 交换机添加管理
12
杭州盈高科技有限公司
图24. 交换机图形化面板展示
7. 告警信息配置
为方便管理员能够快速对其网络安全现状与设备运行状态进行掌握,ASM可提供相应的日志报警信息,配置如下:
图25. 报警信息配置
13
因篇幅问题不能全部显示,请点此查看更多更全内容