- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
H3C SecPath A3000系列工控监测与审计系统
典型配置举例
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
系统基于机器学习及大数据技术,对工业控制系统运行一段时间的网络数据进行智能分析和自主学习,一键自动创建白名单策略;持续监视网络流量,自动识别合规数据,及时发现违规行为并实施告警。
本模块功能具有如下功能点:
· 支持服务/流量/业务类型的学习。
· 支持指定时间范围内的数据进行智能学习。
· 支持多台设备同时学习。
· 支持指定协议类型的学习。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解协议基线特性。
· 指定学习时间范围越长学习的等待时间就越长。
· 学习成功后的策略需要在“安全分析>策略”界面,选择相应策略,点击<应用策略更新>,等待自学习策略成功下发到相应监测单元后生效。。
· 学习协议生成的白名单策略只会针对该条协议生效,其它协议不会触发该条策略规则。
· 服务基线和流量基线的学习只能指定时间范围无法指定协议。
本举例是在工控监测与审计系统H3C i-Ware Software, Version 3.1, ESS 6503版本上进行配置和验证的。
图1-1 组网图
业务网交换机将被监测设备的通信数据镜像后,通过镜像口发送给工控监测与审计系统。工控监测与审计系统将处理后的通信数据通过安全管理网的交换机上传到PC端。操作员通过浏览器访问工控监测与审计系统,完成对通信数据分析结果的查看、管理,例如:配置安全策略、调整审计范围等。
按照组网图组网。
(1) 登录工控监测与审计系统web管理界面。
(2) 创建基线自学习。
(3) 应用配置。
打开浏览器,输入出厂默认IP地址:https://192.168.0.1,登录web页面。
默认用户名和密码:operator / operator
图1-2 登录界面
(1) 选择“安全分析>行为分析>基线自学习”,进入“基线自学习”界面。
(2) 选择业务基线,点击<下一步>。
图1-3 选择基线类型
(3) 选择学习范围:时间周期、引擎、数据源、协议范围。点击<下一步>。
图1-4 选择学习范围
(4) 点击<开始学习>。
自学习完成后,系统给出学习结果。
图1-5 点击<开始学习>
图1-6 自学习结束
(5) (可选)如需再次进行自学习,点击<新建学习任务>。
点击<查看策略>,系统自动跳转至“安全分析>策略”界面。
在“安全分析>策略”界面,选择相应策略,点击<应用策略更新>,等待自学习策略成功下发到相应监测单元,如图1-7所示。
工控监测与审计系统流量采集交换机的镜像端口流量数据,当这些数据的通信协议不在白名单基线自学习策略中,则将触发白名单告警。如图1-8所示。
系统预置大量入侵检测规则库,支持用户根据威胁特征自定义与其相匹配的规则,并可将此自定义的规则应用到流量探针中使用,当检测到与规则相匹配的流量时,产生用户自定义的告警信息,并采取用户自定义的处置措施。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本举例是在工控监测与审计系统H3C i-Ware Software, Version 3.1, ESS 6503版本上进行配置和验证的。
图2-1 组网图
业务网交换机将被监测设备的通信数据镜像后,通过镜像口发送给工控监测与审计系统。工控监测与审计系统将处理后的通信数据通过安全管理网的交换机上传到PC端。操作员通过浏览器访问工控监测与审计系统,完成对通信数据分析结果的查看、管理,例如:配置安全策略、调整审计范围等。
(1) 登录工控监测与审计系统web管理界面。
(2) 配置策略。
(3) 下发策略。
打开浏览器,输入出厂默认IP地址:https://192.168.0.1,登录web页面。
默认用户名和密码:operator / operator
图2-2 登录界面
系统内置近万条规则,通过配置黑名单策略、关键事件策略对监测环境中的漏洞与关键事件进行识别。
进入“安全分析>策略”页面,新建策略组。
图2-3 新建策略组
(2) 配置策略。
配置关键事件策略:
点击策略组所在行,在策略组中,新建策略。类型选择“关键事件”;规则模板选择“工控关键事件”。设置完成后点击<确定>。
图2-4 新建策略-关键事件
配置黑名单策略:
在策略组中,新建策略。类型选择“黑名单告警”;规则模板选择除“工控关键事件”外的所有模板;设置完成后点击<确定>。
图2-5 新建策略-黑名单策略
配置白名单策略:
此处配置的白名单策略与“基线自学习”中创建的“业务基线”自学习生成的白名单策略相同。
在策略组中,新建策略。类型选择“白名单告警”;规则模板选择除“工控关键事件”或“工控协议”外的所有模板;设置完成后点击<确定>。
图2-6 配置白名单策略
若规则全部开启导致告警过多,可在规则模板中,关闭低级别的告警规则。操作方式进入响应的规则模板,搜索框输入低级,点击“全选”,在全选右侧按钮,选择使能与非使能,点击<批量禁止>,确认。
(3) 下发策略。
策略配置完成后,在策略页面点击<应用策略更新>下发策略。
图2-7 应用策略更新
(1) 进入“资产>通信拓扑”界面,该界面展示当前接入系统的全部网络设备资产。监测审计系统基于对网络通信数据的实时分析,自动以拓扑图的形式直观展示工控网络中各个设备节点间的通信连接情况,对存在入侵等告警信息的通信链路,在拓扑图上提供可视化的异常展示与告警。
图2-8 通信拓扑图
点击箭头,系统显示当前链路详情。
· 红色链路表示异常告警,您可以在点击红色链路后,在拓扑图左侧查看最近告警,点击 “告警视图”可以跳转到“告警”页面查看告警信息。
图2-9 最近告警
· 蓝色链路表示非工控协议通信正常。
· 紫色链路表示工控协议通信正常。
· 单向箭头表示节点间单向通信。
· 双向箭头表示两节点间互相通信。
(2) 您也可以在配置策略后,点击“告警”进入 “告警”页面,查看告警。
图2-10 告警界面
系统内置IEC104,Modbus TCP、FTP等多种常用的工控通信协议和tcp/ip协议,并且支持自定义非标准通信协议和字段类型。用户只需在界面上进行协议配置即可实现对该协议的深度解析和规则匹配,操作灵活,且保证了用户私有协议的隐私性和安全性。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本举例是在工控监测与审计系统H3C i-Ware Software, Version 3.1, ESS 6503版本上进行配置和验证的。
图3-1 组网图
业务网交换机将被监测设备的通信数据镜像后,通过镜像口发送给工控监测与审计系统。工控监测与审计系统将处理后的通信数据通过安全管理网的交换机上传到PC端。操作员通过浏览器访问工控监测与审计系统,完成对通信数据分析结果的查看、管理,例如:配置安全策略、调整审计范围等。
(1) 登录工控监测与审计系统web管理界面。
(2) 添加引擎。
(3) 新建协议。
(4) 新建协议字段。
打开浏览器,输入出厂默认IP地址:https://192.168.0.1,登录web页面。
默认用户名和密码:operator / operator
图3-2 登录界面
(1) 进入“资源>协议管理”界面,在“协议列表”页面点击<新建协议>,弹出“新建协议”对话框。
(2) 设置协议名称、标识符、OSI层级等信息。
图3-3 新建协议
· 协议名称:可任意填写。
· 标识符:勾选“自定义协议”时,需满足以小写英文字母开头,可含数字和下划线;勾选“工控协议”时需满足系统标识符规则,含小写英文字母、数字和下划线。
· OSI层级:推荐设置为“7”。
· 自定义协议:默认勾选。
· 工控协议:如果您想将协议创建为“工控协议”类型,请勾选此项。
· 激活:勾选。
(3) 点击<保存>,新增成功。
新增的协议可在“基线自学习”、“自定义规则”、“自定义规则模板”和“自定义策略”中使用。
(1) 在“协议列表”页面,选择要添加协议字段的协议,点击“协议名称”,弹出“协议字段”对话框。
图3-4 进入新建协议字段
(2) 点击<新建>,在“新建协议字段”对话框中输入字段名称、标识符,设置自定义协议,选择字段类型。
· 字段名称:自定义。
· 字段标识符:需满足字段标识符的有效格式——字母、数字、下划线、空格、点、#;不能以空格、点开头;不能以空格、点结束。
· 字段类型:自定义——浮点型、有符号整型、字符串、无符号整型。
· 预定义值:字段的处理形式。如需设置多个预定义值,可在设置后点击“+”。
如预定义值=1,“值描述”为“读取”,则表示当字段值=1时,系统翻译为“读取”,在页面上该字段显示为“读取”。
· 起始字节:报文提取的起始字节。如设置为“10”表示从报文的第10个字节开始提取。
· 字节个数:提取的字节个数。如设置为“2”表示提取2个字节;设置为-1时的含义参见下文的“字节个数设置为-1时的含义”。
· 字节序:字节提取的顺序。
· 帧类型:即提取的报文类型。设置为“全部”表示从全部报文中提取;设置为“请求帧”表示从请求报文中提取;设置为“响应帧”表示从应答报文中提取。
· 条件表达式:自定义。当条件表达式为true时,系统才解析这个字段。设置说明见下文的“条件表达式设置说明”。
在图3-5中的设置表示为:从报文(请求和应答报文)的第10个字节起连续提取两个字节,按大端在前的字节序,将全部比特位(位掩码=0xFF)转换为一个无符号的整型数值,作为这个协议的功能码(fnCode)。
(3) 点击<保存>,设置成功。
您可在“协议列表”页面查看具体的协议和协议字段。
图3-6 查看自定义协议
(1) 字符串/字节
字节数设置为-1时,对于整个字符串ascii码中不可显示的字符(如空格、换行符等),在“流量监测>流量审计”界面查看协议信息时不会正常显示,其他字符正常显示。
如在自定义协议mbs中创建了“字符串”协议字段,字节个数设置为-1时,当ascii码中存在不可显示的字符时,在“流量监测>流量审计”界面查看协议信息时不会正常显示。
图3-7 在“字符串”协议字段中将字节个数设置为-1
图3-8 “字符串”协议字段不正常显示
字符串/字节ascii码中包含不可显示的字符(如空格、换行符等)显示乱码,这是根据流量报文字节转换获取的数据,数据显示不受软件控制的。
(2) 有符号整型
字节个数配置为-1时,表示忽略此字段,即在“流量监测>流量审计”界面查看协议信息时不显示此字段。
如在自定义协议mbs中创建了“有符号整型”协议字段,字节个数设置为-1,在“流量监测>流量审计”界面查看协议信息时不显示“有符号整型”协议字段。
图3-9 在“有符号整型”协议字段中将字节个数设置为-1
图3-10 “有符号整型”协议字段不显示
(3) 无符号整型
字节个数配置为-1时,表示忽略此字段,即在“流量监测>流量审计”界面查看协议信息时不显示此字段。
如在自定义协议mbs中创建了“无符号整型”协议字段,字节个数设置为-1,在“流量监测>流量审计”界面查看协议信息时不显示“无符号整型”协议字段。
图3-11 在“无符号整型”协议字段中将字节个数设置为-1
图3-12 “无符号整型”协议字段不显示
(4) 浮点型
字节个数配置为-1时,显示剩余全部字符,即在“流量监测>流量审计”界面查看协议信息时显示此字段全部字节。
如在自定义协议mbs中创建了“浮点型”协议字段,字节个数设置为-1,在“流量监测>流量审计”界面查看协议信息时显示“浮点型”协议字段的全部字符。
图3-13 在“浮点型”协议字段中将字节个数设置为-1
图3-14 “浮点型”协议字段显示全部字符
前提条件:
需先有前置变量,即此协议中已创建过至少一条“协议字段”。
图3-15 mbs协议内的协议字段
图3-16 设置组合条件过滤说明
操作说明:
(1) 点击
(①),弹出条件下拉框。
(2) 选择逻辑运算(②):与(AND)、或(OR);系统默认为“与(AND)”,目前只支持与(AND)。
(3) 点击③处,选择已创建的字段(即前置变量)。
(4) 点击④,添加规则。(目前只支持添加一条规则)
(5) 添加规则:在⑤处选择运算符(如:=,!=,>,<),在⑥处输入值。
(6) 设定完成后,点击
(①),收起组合条件设置框,显示设定结果。
图3-17 示例结果
条件表达式中仅支持添加一条规则,不支持添加多条规则和多个分组。
条件表达式中仅支持逻辑运算与(AND)。
示例:
图3-18 新建自定义协议字段-string
如上述所设置,在协议mbs中创建名称为“string”的协议字段时,条件表达式设置为“无符号整型=126”,其中“无符号整型”为前置变量,“string”为依赖变量“无符号整型”的变量, “string”的解析条件为:无符号整型=126。
只有当mbs协议的“无符号整型”协议字段等于126时,才解析“string”协议字段,在“流量监测>流量审计”界面才可查看到“string”协议字段的字符。
图3-19 无符号整型=126时,显示“string”协议字段
自定义协议配置完成后,引擎根据协议定义解析报文字段,您可在“流量监测>流量审计”页面查看解析结果。
图3-20 流量审计-自定义协议
配置自定义协议,将在以下场景中使用:
(1) 下发到引擎,引擎根据协议定义解析报文字段,您可在“流量监测>流量审计”页面查看解析结果。
(2) 新建的协议可在“基线自学习”、“自定义规则”、“自定义规则模板”和“自定义策略”中使用。
支持
