-
ViaControl
网络准入控制使用说明
ViaControl
的桌面管理系
统可以详细地对计算机的操作行为进行详细的审计和严格的控制
,
但是仍然有
一些用户通过重新格式化并安装操作系统
,
设置个人防火墙等等手段逃避行为监管。而即使当管理员及时发
现这种
情况以后,重新再部署桌面管理客户端都是一件繁琐和恼人的工作。
ViaContro
l
网络准入控制功能
就是为了解决这一问题而诞生的。
ViaControl
网络准入控制系统是
一套专业的硬件系统,能够对访问指定网络(如企业内网、服务器等)
的计算机进行严格
的合规性审核,只有合规的计算机才能连入访问,未合规的计算机可根据需要将其引导
至
隔离区进行修复,或者完全阻断其访问。
更可以与
ViaControl 15
大模块集成应用,避免内网
PC
脱离
V
iaControl
管控。有效的保证内网安全策略
的执行,同
时杜绝非法连入带来的外泄风险。
1
网络架构
ViaControl
网络准入控制功能的工作模式有两种:网桥模式和路由模式。
企业内的网络常见的网络简易拓扑结构:
ViaControl
的网桥控制模式:
使用网桥模式,可以对网络结
构和配置不做任何修改,直接将准入设备串接进网络中需要进行控制的
地方(多数是重要
的应用服务器或者网关处),对通过其的网络通讯进行控制。
1
/
19
ViaControl
的路由控制模式:
对核心交换机启用策略路由,
对跨网段的访问进行控制。这种控制方式需要核心交换机支持策略路由。
2
控制流程
当计算机或其他网络终端设
备接入网络时,设备端会询问其提供验证的信息。当安装了客户端的计算
2
/
19
机通过身份认证以后,就可以访问正常的网络。而没有通过认
证的计算机则会被放入到隔离区或完全阻断
网络访问。
同时对于一些无法安装客户端的网络终端设备,例如网络打印机,系统可以通过配置白名单的方
式允
许这些网络设备接入网络。
对于
一些外来的或者特殊权限的计算机,也可以通过设置白名单,或者开辟特殊用户的方式允许他们
< br>不安装客户端的情况下访问部分或者全部网络。
客
户
端
,
允
合
法
许
访
问
互联网
访
问
ERP
服务器
合法客户端
准
入控制器
客
户
端
止
,
阻
非
法
限制访问的计算机或网络
阻
止
后
,
进
入
修
复
区
非法客户端
修复区
3
部署
3.1
设备介绍
ViaControl
网络控制设备(以下称控制器),分为三个型号:
VIA-1000
:
5
个百兆网卡,无管理端口;
RESET
键用于恢复出厂设置;
VIA-2000
:
3
个千兆网卡,其中管理端口为
EMP
;
3
/
19
VIA-3000
:
4
个千兆网卡,一组
BYPASS
(
ETH0
和
ETH1
),其中管理端口为
EMP
;
VIA-4000
:
4
个千兆网卡,一组
BYPASS
(
ETH0
和
ETH1
),其中管理端口为
EMP
;
说明
对于有管理端口的控制器,管理
端口的
IP
固定为
190.190.1
90.190
,初始配置使用管理端口;
对于没有管理端口的控
制器,出厂设置下任一端口的
IP
均为
190.190.190.190
,初始配置可
使用任一端口;
BYPASS
功能,可以在控制器断
电或死机的情况下,将控制器所连接的两端直接物理上导
通,不影响网络的使用。
3.2
部署方式
串接方式(网桥模式)
ViaCon
trol
网络控制器以桥接的方式串接入网络。控制器一般位于限制访问网络或计算机之
前。
连接方法:使用设备的两个端口将其连入网络;
VIA-1000
使用
ETH1
四个端口中任意一个和
ETH0
;
VIA-2000
使用
ETH0
和
ETH1
;
VIA-3000
、
VIA-4000
使用
ETH0
、
E
TH1
、
ETH2
中任两个;
4
/
19
远程客户端
VPN
< br>核心层
交换机
准入控制器
路由器
汇聚层
交换机
准入控制器
无线接
入点
接入层
交换机<
/p>
接入层
交换机
交换机
客户端
客户端
客户端
客户端
ERP
服务器
邮件服务器
OA
服务器
准旁路方式(路由模式)
对核心交换
机启用策略路由,对跨网段的访问进行控制。这种控制方式需要核心交换机支持策略路
由
。
连接方法:使用设备的一个端口连接交换机;
VIA-1000
使用
ETH1
四个端口的任意一个;
VIA-2000
< br>、
VIA-3000
、
VIA-
4000
都只能使用
ETH0
;
远程客户端
VPN
准入控制器
核心层
交换机
互联网
路由器
汇聚层
交换机
交换机
无线
接入点
接入层
交换机
接入层
交换机
ERP
服务器
邮件服务器
OA
服务器
客户端
客户端
客户端<
/p>
客户端
5
/
19
说明
部署前为保证控制器能在网络中
正常通讯,需要对其设置
IP
,详见
4
.2
。
使用路由模式前,需要对交换
机加上策略路由配置,具体配置见文档《策略路由配置》
;
4
使用
4.1
界面
网络准入管理器的主界面,如下图所示:
ViaControl
网络准入管理
器的主界面
4.2
设置控制器
IP
有管理端口的设备使
用管理端口进行设置,没有管理端口的设备(例如
VIA-1
000
)
,则使用任一端口进
行设置。
具体步骤如下:
1.
计算机
A
安装了网络准入管理器,使计算机
A
脱离内网环境,而直接用网线将控制器的管理端口
(
VIA-1000
是任一端口)与计算机
A
连接,修改计算机
A
的
IP
,让它能与控制器通讯。如:
IP
地址:
190.190.0.1
子网掩码:
255.255.0.0
默认网关:可不填
2.
在计算机
A
上启动网络准入管理器,“工具→控制器连接参数”。如图
2
:
6
/
19
图
2 <
/p>
控制器:输入此时连入端口的
IP
,即<
/p>
190.190.190.190
;
密码:初始为空
3.
点击【确定】,进入网络准入管
理器主界面。“工具
->
控制器管理”,见图
< br>5
;
4.
点击【设置运行模式】,弹出<
/p>
IP
设置对话框,如图
3
:
图
3
5.
选择控制器连入网络环境选择接入的模式,并设置相应的
IP<
/p>
信息。设置完成后,点击
【确定】
,会<
/p>
提示需重启控制器方能生效。
6.
点击控制器管理界面上的【重启
控制器】按钮,控制器重启之后,
IP
修改成功。
4.3
连接控制器
启动网络准入管理器,若
之前并未进行任何设置,会弹出的控制器连接参数设置窗口。见图
2
。
对话框中包含以下内容:
字段
控制器
密码
说明
输入修改后的控制器
IP
;
初始密码为空,
成功连接控制台后可以修改密码
,
在
“工具
->
控制器管理
->
修改登录密码”中修改。
如需要重新连接控制器,在菜单栏,“系统
->
重新连接”,可与控制器重新建立连接。
<
/p>
如需要连接其他的控制器,在菜单栏,“工具
->
控制器连接参数”,弹出图
2
窗口,输入其他控制器<
/p>
的
IP
和登录密码即可。
4.4
连接服务器
菜单栏,“工具
->
服务器连接参数”,如图
4
:
7
/
19
图
4 <
/p>
填入所要连接的
ViaControl
服
务器地址,管理员、密码为该
ViaControl
服务器的管
理员名称以及密码。
(需是有查看在线计算机权限的管理员。)
如需要重新连接服务器,在菜单栏,“系统
->
重新连接”,可与服务器重新建立连接。
说明
控制器成功连接的
ViaControl
服务器,其所管理的客户端如果为在线状态会被服务器
自动授
权认证,状态为“授权”。可以正常访问网络。
相对应的,控制器未连接的
ViaControl
服务器,其管理的客户端也可通过“信任客户端主动
认证”,正常访问网络,状态为
“信任”
。
具体详见
4.9
4.5
控制器管理
菜单栏,“工具
->
控制器管理”,如图
5
8
/
19
图
5
按钮
修改登录密码
升级
恢复出厂设置
重启控制器
设置控制器时间
设置运行模式
设置
< br>VLAN
配置
功能说明
可修改连接控制器的密码;
可导入<
/p>
ViaControl
提供的版本升级包,对控制器软件进行升级
;
可将控制器的设置恢复到出厂时的设置;
可将控制器重启;
可设置控制器当前的时间;
可设置控制器的运行模式,目前仅支持网桥模式;
可设置并启用
TRUNK
功能(网桥模式下);<
/p>
说明
TRUNK
功能,详细参见
4.7
对于
VIA-10
00
,也可通过
RESET
键将控制器
的设置恢复到出厂时设置;使用时按住该键五秒
以上即可。
4.6
管理配置
“安全管理器主界面
->
配置管理”,在此设置控制器的管理配
置信息。如图
6
:
图
6
配置项目
管理范围
说明
设置控制器所能管理的计算机范
围,此范围的计算机有通信经过控制器
时,就会出现在“状态信息”内。支持“
IP/
掩码,
IP
”的
输入,如:
192.168.1.1/24,192.168.2.102
。
9
/
19