ViaCon件trol 网络准入控制 使用说明.doc

ViaControl网络准入控制使用说明 ViaControl的桌面管理系统可以详细地对计算机的操作行为进行详细的审计和严格的控制,但是仍然有一些用户通过重新格式化并安装操作系统,设置个人防火墙等等手段逃避行为监管。而即使当管理员及时发现这种情况以后，重新再部署桌面管理客户端都是一件繁琐和恼人的工作。ViaControl网络准入控制功能就是为了解决这一问题而诞生的。 ViaControl 网络准入控制系统是一套专业的硬件系统，能够对访问指定网络（如企业内网、服务器等）的计算机进行严格的合规性审核，只有合规的计算机才能连入访问，未合规的计算机可根据需要将其引导至隔离区进行修复，或者完全阻断其访问。 更可以与ViaControl 15大模块集成应用，避免内网PC脱离ViaControl管控。有效的保证内网安全策略的执行，同时杜绝非法连入带来的外泄风险。 网络架构 ViaControl网络准入控制功能的工作模式有两种：网桥模式和路由模式。 企业内的网络常见的网络简易拓扑结构： ViaControl的网桥控制模式： 使用网桥模式，可以对网络结构和配置不做任何修改，直接将准入设备串接进网络中需要进行控制的地方（多数是重要的应用服务器或者网关处），对通过其的网络通讯进行控制。 ViaControl的路由控制模式： 对核心交换机启用策略路由，对跨网段的访问进行控制。这种控制方式需要核心交换机支持策略路由。 控制流程 当计算机或其他网络终端设备接入网络时，设备端会询问其提供验证的信息。当安装了客户端的计算机通过身份认证以后，就可以访问正常的网络。而没有通过认证的计算机则会被放入到隔离区或完全阻断网络访问。 同时对于一些无法安装客户端的网络终端设备，例如网络打印机，系统可以通过配置白名单的方式允许这些网络设备接入网络。 对于一些外来的或者特殊权限的计算机，也可以通过设置白名单，或者开辟特殊用户的方式允许他们不安装客户端的情况下访问部分或者全部网络。 部署 设备介绍 ViaControl网络控制设备（以下称控制器），分为三个型号： VIA-1000： 5个百兆网卡，无管理端口；RESET键用于恢复出厂设置； VIA-2000： 3个千兆网卡，其中管理端口为EMP； VIA-3000： 4个千兆网卡，一组BYPASS（ETH0和ETH1），其中管理端口为EMP； VIA-4000： 4个千兆网卡，一组BYPASS（ETH0和ETH1），其中管理端口为EMP； 说明 对于有管理端口的控制器，管理端口的IP固定为90，初始配置使用管理端口；对于没有管理端口的控制器，出厂设置下任一端口的IP均为90，初始配置可使用任一端口；BYPASS功能，可以在控制器断电或死机的情况下，将控制器所连接的两端直接物理上导通，不影响网络的使用。 部署方式 串接方式（网桥模式） ViaControl网络控制器以桥接的方式串接入网络。控制器一般位于限制访问网络或计算机之前。 连接方法：使用设备的两个端口将其连入网络； VIA-1000使用ETH1四个端口中任意一个和ETH0； VIA-2000使用ETH0和ETH1； VIA-3000、VIA-4000使用ETH0、ETH1、ETH2中任两个； 准旁路方式（路由模式） 对核心交换机启用策略路由，对跨网段的访问进行控制。这种控制方式需要核心交换机支持策略路由。 连接方法：使用设备的一个端口连接交换机； VIA-1000使用ETH1四个端口的任意一个； VIA-2000、VIA-3000、VIA-4000都只能使用ETH0； 说明 部署前为保证控制器能在网络中正常通讯，需要对其设置IP，详见4.2。使用路由模式前，需要对交换机加上策略路由配置，具体配置见文档《策略路由配置》； 使用 界面 网络准入管理器的主界面，如下图所示： ViaControl网络准入管理器的主界面 设置控制器IP 有管理端口的设备使用管理端口进行设置，没有管理端口的设备（例如 VIA-1000），则使用任一端口进行设置。具体步骤如下： 计算机A安装了网络准入管理器，使计算机A脱离内网环境，而直接用网线将控制器的管理端口（VIA-1000是任一端口）与计算机A连接，修改计算机A的IP，让它能与控制器通讯。如： IP地址： 子网掩码： 默认网关：可不填 在计算机A上启动网络准入管理器，“工具→控制器连接参数”。如图2： 图2 控制器：输入此时连入端口的IP，即90； 密码：初始为空 点击【确定】，进入网络准入管理器主界面。“工具-控制器管理”，见图5； 点击【设置运行模式】，弹出IP设置对话框，如图3： 图3 选择控制器连入网络环境选择接入的模式，并设置相应的IP信息。设置