- 1、本文档共13页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
网络准入控制使用说明
IP-guard的桌面管理系统可以详细地对计算机的操作行为进行详细的审计和严格的控制,但是仍然有一些用户通过重新格式化并安装操作系统,设置个人防火墙等等手段逃避行为监管。而即使当管理员及时发现这种情况以后,重新再部署桌面管理客户端都是一件繁琐和恼人的工作。IP-guard网络准入控制功能就是为了解决这一问题而诞生的。
IP-guard 网络准入控制系统是一套专业的硬件系统,能够对访问指定网络(如企业内网、服务器等)的计算机进行严格的合规性审核,只有合规的计算机才能连入访问,未合规的计算机可根据需要将其引导至隔离区进行修复,或者完全阻断其访问。
更可以与IP-guard 15大模块集成应用,避免内网PC脱离IP-guard管控。有效的保证内网安全策略的执行,同时杜绝非法连入带来的外泄风险。
网络架构
IP-guard网络准入控制功能的工作模式有两种:网桥模式和路由模式。
企业内的网络常见的网络简易拓扑结构:
IP-guard的网桥控制模式:
使用网桥模式,可以对网络结构和配置不做任何修改,直接将准入设备串接进网络中需要进行控制的地方(多数是重要的应用服务器或者网关处),对通过其的网络通讯进行控制。
IP-guard的路由控制模式:
对核心交换机启用策略路由,对跨网段的访问进行控制。这种控制方式需要核心交换机支持策略路由。
控制流程
当计算机或其他网络终端设备接入网络时,设备端会询问其提供验证的信息。当安装了客户端的计算机通过身份认证以后,就可以访问正常的网络。而没有通过认证的计算机则会被放入到隔离区或完全阻断网络访问。
同时对于一些无法安装客户端的网络终端设备,例如网络打印机,系统可以通过配置白名单的方式允许这些网络设备接入网络。
对于一些外来的或者特殊权限的计算机,也可以通过设置白名单,或者开辟特殊用户的方式允许他们不安装客户端的情况下访问部分或者全部网络。
部署
设备介绍
IP-guard网络控制设备(以下称控制器),分为三个型号:
IPG-1000:
5个百兆网卡,无管理端口;RESET键用于恢复出厂设置;
IPG-2000:
3个千兆网卡,其中管理端口为EMP;
IPG-3000:
4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为EMP;
IPG-4000:
4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为EMP;
说明 对于有管理端口的控制器,管理端口的IP固定为90,初始配置使用管理端口;对于没有管理端口的控制器,出厂设置下任一端口的IP均为90,初始配置可使用任一端口;BYPASS功能,可以在控制器断电或死机的情况下,将控制器所连接的两端直接物理上导通,不影响网络的使用。
部署方式
串接方式(网桥模式)
IP-guard网络控制器以桥接的方式串接入网络。控制器一般位于限制访问网络或计算机之前。
连接方法:使用设备的两个端口将其连入网络;
IPG-1000使用ETH1四个端口中任意一个和ETH0;
IPG-2000使用ETH0和ETH1;
IPG-3000、IPG-4000使用ETH0、ETH1、ETH2中任两个;
准旁路方式(路由模式)
对核心交换机启用策略路由,对跨网段的访问进行控制。这种控制方式需要核心交换机支持策略路由。
连接方法:使用设备的一个端口连接交换机;
PG-1000使用ETH1四个端口的任意一个;
IPG-2000、IPG-3000、IPG-4000都只能使用ETH0;
说明 部署前为保证控制器能在网络中正常通讯,需要对其设置IP,详见4.2。使用路由模式前,需要对交换机加上策略路由配置,具体配置见文档《策略路由配置》;
使用
界面
网络准入管理器的主界面,如图1:
图1
设置控制器IP
有管理端口的设备使用管理端口进行设置,没有管理端口的设备(例如 IPG-1000),则使用任一端口进行设置。具体步骤如下:
计算机A安装了网络准入管理器,使计算机A脱离内网环境,而直接用网线将控制器的管理端口(IPG-1000是任一端口)与计算机A连接,修改计算机A的IP,让它能与控制器通讯。如:
IP地址:
子网掩码:
默认网关:可不填
在计算机A上启动网络准入管理器,“工具→控制器连接参数”。如图2:
图2
控制器:输入此时连入端口的IP,即90;
密码:初始为空
点击【确定】,进入网络准入管理器主界面。“工具-控制器管理”,见图5;
点击【设置运行模式】,弹出IP设置对话框,如图3:
图3
选择控制器连入网络环境选择接入的模式,并设置相应的IP信息。设置完成后,点击【确定】,会提示需重启控制器方能生效。
点击控制器管理界面上的【重启控制器】按钮,控制器重启之后,IP修改成功。
连接控制器
启动网络准入管理器,若之前并未进行任何设置
文档评论(0)