- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-正文
本章节下载: 01-正文 (13.86 MB)
目 录
鹰视,即端点探测管理(EPS,Endpoints Profiling System)是基于iMC平台开发的业务组件。主要用于识别和监控网络中的所有端点。该系统利用扫描器在指定的时间或周期性地扫描各区域内的端点,及时识别新端点和发现异常端点,并将其标注出来。
鹰视系统的主要功能如图1-1所示。
扫描器扫描可管理网络中的端点,并将扫描结果反馈给鹰视,鹰视据此获取新端点信息或更新原端点的状态。
扫描器自动识别端点类型,如摄像头、PC、交换机、服务器、路由器、防火墙、打印机、ATM等,并将扫描信息上报给鹰视配置台。
鹰视配置台获取扫描器上报的端点信息后,与端点基线信息对比。IP基线管理功能可用于查看IP基线的属性信息,并对IP基线进行编辑、复制、比较、导出等操作。
与端点基线对比后,将与端点基线信息不一致的端点标注出来。
端点基线信息变更需操作员审批。
加入黑名单方式分为EIA联动和扫描器联动两种,还可以选择将非法端点、新发现端点或离线端点自动加入黑名单。
· 系统日志和操作日志分别记录了扫描任务的执行时间和操作员从登录到退出整个过程的重要操作。
· 端点变更记录中包含所有端点信息的详细变更信息。
· 大屏监控功能可实时展示网络中各类型端点的状态、数量及区域分布图。
· 业务告警对端点信息(类型、MAC地址、厂商、操作系统)变化、端点状态变化(合规、在线)、以及扫描器状态变化进行实时监控。
· 业务报表提供全网端点状态实时报表、全网摄像头状态实时报表、全网端点类型实时报表和端点状态实时报表等。
· 端点拓扑:通过拓扑的方式,展示系统中所有端点的信息及分布状况。
· IP子网管理与端点关联,显示并管理子网分组、子网、IP地址及IP使用统计情况。
· 支持通过大屏对全网数据进行统一监控,展示数据简洁明了,展示形式丰富美观。
· 扫描器可由操作员手工触发或自动周期性执行扫描任务,实时监控端点。
· 基线导入导出功能:通过客户定义的形式,如.csv、.txt等格式将已有基线以文本形式导出,得到基线某一时刻的全部数据,以便分析等。
· 端点审批:对更换设备、设备软件升级等原因产生的设备基线变更,通过操作员审批更改基线。
· 记录系统日志、操作日志和端点信息变更,便于事件追溯和行为审计。
管理员规划区域,并为每个区域指定一个负责人。每个区域绑定一个或多个IP地址段/IP子网,各区域内IP地址段不允许有重叠。扫描器将扫描到的端点上报鹰视配置台后,系统根据端点IP自动匹配到各区域中,如图2-1所示。
扫描器用于扫描指定IP网段或者IP网关下的端点。
· 基于IP网关扫描:扫描器从网关获取端点的IP列表,并基于IP列表进行端点扫描和识别。
· 基于IP地址段扫描:如果扫描场景中没有网关设备,管理员可以指定扫描器扫描的端点IP地址段。一个扫描器可以扫描多个IP地址段。
扫描器发现和识别端点,并将扫描结果上报,如图2-1所示。鹰视系统根据上报结果更新端点的在线状态;并与已有基线作对比,更新端点的合规状态,端点状态参见表2-1。
系统预置一级端点类型共8类,分别是计算机、网络设备、语音终端、智能终端、安防监控终端、办公终端、工控终端和未知。系统支持自定义增加端点类型。扫描器扫描端点时,可以自动识别端点类型。
端点基线是指由操作员增加的或审核扫描器新发现的端点合规信息。端点基线包括端点的MAC地址、操作系统、生产厂商和端点类型。鹰视配置台每次都将扫描到的端点信息与端点基线做对比,并根据对比结果判断和更新端点的状态。
端点状态分为两类:合规状态和在线状态,具体含义见表2-1。
|
类型 |
名称 |
含义 |
|
合规状态 |
新发现 |
扫描前系统中不存在该端点,通过扫描器首次加入到系统中的端点。 |
|
合法 |
系统中存在其基线信息,扫描器扫描到的端点信息与基线信息一致。 |
|
|
非法 |
系统中存在其基线信息,扫描器扫描到的端点信息与基线信息不一致。 |
|
|
在线状态 |
未知 |
由操作员手工增加、批量导入的端点。 |
|
在线 |
由扫描器扫描到的端点。 |
|
|
离线 |
系统中存在其基线信息,但扫描器没有扫描到的端点。 |
几种状态之间的转换关系如图2-2所示。
审批是对端点基线确认或变更的审核,审批分为两种:
· 审批为合法:由扫描器新发现的端点,其状态是新发现,操作员确认端点信息后审批为合法,状态变为合法。操作员可以把非法端点审批为合法,审批后,系统将修改其基线信息与当前扫描到的端点信息一致,且状态变为合法。
· 审批为非法:由扫描器新发现的端点,其状态是新发现,如果端点信息有误,操作员将其审批为非法,状态变为非法。
系统配置流程如图2-3所示。详细配置过程请参见2.3 操作向导。
管理员可以通过操作向导功能快速完成鹰视系统的设置。
图2-4 操作向导
(1) 选择“端点探测管理 > 操作向导”菜单项,进入操作向导页面,根据向导栏快速配置所需参数。
(2) 在“区域管理”菜单下新增区域,具体参见3.1.2 区域配置。
(3) 在“扫描器配置”菜单下新增和配置扫描器,具体操作参见3.2.1 增加扫描器。
(4) 在“所有端点”菜单下查看所有端点信息,审批端点基线,具体操作参见3.3.1 端点设备管理。
(5) 在“非法端点”菜单下查看和审批非法状态的端点,具体操作参见3.3.1 端点设备管理。
管理员可通过<上一步>按钮、<下一步>按钮或直接点击向导菜单选择配置项。
为了更好的监控整个网络的端点,鹰视系统支持根据行政部门(也就是实际物理区域)进行区域划分,每个区域指定一个负责人。区域内的端点发生异常时,管理员可以通知区域负责人及时检查和维护异常端点,尽量减少损失和影响。
管理大型网络时为便于检查和维护需要进行区域划分,并为每个区域指定负责人。如果是小型网络可以只划分一个区域。
为了便于管理,区域划分时可以与行政划分保持一致。如北京交通监控网络中,可以结合行政单位将监控网络划分为海淀区、朝阳区、西城区……
区域支持分级管理,区域下可以创建子区域,为支持大型网络提供便利,如海淀区还可以细分为中关村区域、上地区域、清河区域……
· 区域划分支持5级子区域。
· 子区域不会单独分配操作员,和其父区域分组被同一操作员管理。
· 子区域可管理的IP地址段和其父区域所管理IP地址段亦不能重叠。
区域增加操作员分权管理,不同操作员对所管理的区域具有不同的操作权限。
· 管理员具有全部区域的管理权限。
· 维护员不允许增加区域。
· 查看员只能查看区域信息。
在左导航中选择“端点探测管理 > 扫描配置 > 区域管理”菜单项,在区域列表中,单击<增加>按钮,进入增加区域页面,如图3-1所示。
· 系统默认创建一个默认区域,当扫描到的端点不属于其他区域时,自动加入默认区域。
· 增加区域时,IP地址段名称不允许重复,一个区域可以包含一个或多个网段,但一个网段只能属于一个区域。位于默认区域下的端点如果IP属于该区域,端点所属区域变更为该区域。点击位置输入框旁边的
弹出GIS地图窗口,可在地图上选址。
· 删除区域时,会将该区域下的全部子区域删除,但不会删除区域内的端点,该区域内的端点所属区域变更为默认区域。
· 修改区域绑定的IP地址段时,如果该区域下的某个端点IP不再属于该区域时,该端点所属区域变更为默认区域,如果属于默认区域的某个端点IP地址落入该区域,该端点所属区域变更为该区域。
· 网络类型:可以选择普通网络或NAT。
· NAT名称:当网络类型为NAT时,需要配置NAT名称。
在区域列表中,点击某一区域的子区域列
图标,进入子区域列表,单击<增加>按钮,进入子区域配置页面,最多可增加5级子区域,如图3-2所示。
在区域列表中,点击某一区域的端点列表
图标,进入端点列表,通过单击<增加到本区域>或<从本区域移除>按钮,可手动变更端点的所属区域,如图3-3所示,默认区域不支持此功能。
鹰视需要单独安装部署扫描器客户端,区域较多时,为增加扫描速度,可以部署多个扫描器。
扫描器用于执行由扫描器自动触发或由配置台手工触发的扫描任务,扫描指定IP地址段和指定网关下的所有端点,获取端点信息(如IP地址、MAC地址、操作系统、厂商、类型等信息),并上报扫描结果。根据扫描器上报的扫描结果,可以发现和识别新端点,更新所有端点的状态,实时监控整个网络的端点,扫描器工作过程如图3-4所示。
系统支持对扫描器进行分组管理,可以设置不同扫描器分组的管理权限。
增加扫描器前必须确认扫描器已经安装部署完成,并且能够正常通信。
在左导航中选择“端点探测管理 > 扫描配置 > 扫描器管理”菜单项,在扫描器列表中,单击<增加>按钮,进入扫描器配置页面,如图3-5所示。
· 扫描器名称:为扫描器指定名称。
· IP地址:指的是部署扫描器的主机的IP地址。
· 网络类型:可以选择普通网络或NAT。
· NAT名称:当网络类型为NAT时,需要配置NAT名称。
· 扫描器分组:可以增加扫描器分组,并将扫描器加入到这些分组中。
· 扫描场景:包括标准、仅摄像头和摄像头优先三种场景。标准场景通常包括PC和各种哑端点;仅摄像头主要是针对视讯网络;摄像头优先应对的是即包括传统端点又包括摄像头的场景。
· 端口深度分为:轻度、中度、深度。该参数影响对端点的信息识别,深度越深,扫描准确率越高,但是需要的时间也越长。用户可综合考虑网络中端点的类型,对于端点类型简单的场景,可以考虑轻度的端点扫描;而对于端点类型较多且差异较大的场景,则可以设置深度的端口扫描。
· 协议深度分为:轻度、中度、深度。不同的协议深度,定义了不同的报文组合,深度越深,探测报文组合越多,探测结果的可信度也越高。安全性越高的场合,可以设置较高的协议深度。
· 位置:点击位置输入框旁边的
弹出GIS地图窗口,可在地图上选择地址。
· 经纬度:可以手动输入,也可以通过GIS地图选择。
· 邮件发送扫描报告:启用后可以配置通过邮件发送扫描报告的参数。
· 扫描策略:一个扫描器默认最多可以增加两个扫描策略。启用扫描策略后,扫描器将按照扫描策略进行扫描。
· 描述:为扫描器增加说明及备注。
· IP网关/IP网段列表:一个扫描器下可以增加多个IP地址段或者IP网关。绑定IP地址段或者网关时,不能超过指定的IP地址段数量限制,默认为20条。
· NVR列表:扫描器下可以增加NVR以管理摄像头组,扫描器从NVR获取端点数据,并上报给服务器。
NAT(Network Address Translation,网络地址转换),当主机在当前专用网内使用专用地址,同时又想和因特网上的主机通信且不需要加密时,可以使用NAT。
鹰视不对待审批扫描器下发任何扫描策略、网关学习等具体的任务,只响应心跳、维护扫描器在线状态。待审批扫描器有两个来源:
· 服务器收到未知扫描器的心跳报文时,将未知扫描器增加到待审批扫描器中。
· 在扫描器管理页面,将某个扫描器置为待审批扫描器。
(1) 在左导航中选择“端点探测管理 > 扫描配置 > 扫描器管理”菜单项,进入扫描器管理页面,如图3-6所示。
(2) 单击<待审批扫描器>按钮,进入待审批扫描器页面,如图3-7所示。
(4) 输入扫描器信息,选择IP网关、IP网段或增加IP地址段或选择NVR设备。
(5) 单击<确定>按钮,完成扫描器审批。
在左导航中选择“端点探测管理 > 扫描配置 > 扫描器管理”菜单项,点击扫描器列表中的置为待审批扫描器图标
,将该扫描器转换为待审批扫描器。
图3-9 置为待审批扫描器
正在执行扫描任务的扫描器,无法置为待审批扫描器。
鹰视系统通过扫描策略功能实现扫描器扫描任务灵活配置。
(1) 在左导航栏选择“端点探测管理 > 扫描配置 > 扫描器管理”菜单项,单击<扫描策略>按钮,进入扫描策略页面,如图3-10所示。
(2) 单击<增加>按钮,增加扫描策略。
图3-11 增加扫描策略
· 扫描策略名称:为扫描策略指定名称。
· 扫描场景:包括标准、仅摄像头和摄像头优先三种场景。标准场景通常包括PC和各种哑端点;仅摄像头主要是针对视讯网络;摄像头优先应对的是即包括传统端点又包括摄像头的场景。
· 端口深度分为:轻度、中度、深度。该参数影响对端点的信息识别,深度越深,扫描准确率越高,但是需要的时间也越长。用户可综合考虑网络中端点的类型,对于端点类型简单的场景,可以考虑轻度的端点扫描;而对于端点类型较多且差异较大的场景,则可以设置深度的端口扫描。
· 协议深度分为:轻度、中度、深度。不同的协议深度,定义了不同的报文组合,深度越深,探测报文组合越多,探测结果的可信度也越高。安全性越高的场合,可以设置较高的协议深度。
· 周期类型:一次性或周期性扫描,扫描器将按设置的扫描周期进行扫描。
¡ 一次性:只执行一次扫描,需设置执行时间,即扫描器执行扫描任务的时间。
¡ 周期性:周期性执行扫描任务,需设置执行周期、扫描间隔及开始/结束时间。
· 执行时间:扫描器执行扫描任务的时间。
· 执行周期:设置扫描器每天或每周周期扫描。
· 扫描间隔:在执行周期内每隔扫描间隔时间执行一次扫描任务。
· 开始时间:执行周期的开始时间。
· 结束时间:执行周期的结束时间。
· IP网关/IP网段列表:一个扫描器下可以增加多个IP地址段或者IP网关。绑定IP地址段或者网关时,不能超过指定的IP地址段数量限制,默认为20条。
· NVR列表:扫描器下可以增加NVR以管理摄像头组,扫描器从NVR获取端点数据,并上报给服务器。
(3) 单击<确定>按钮,增加扫描策略成功。
系统中有两种扫描任务:
· 自动扫描:扫描器会根据鹰视配置台下发的或客户端自定义的扫描周期,自动扫描端点。
· 手动扫描:操作员在扫描器列表中手动触发某一扫描器的扫描任务。
(1) 服务器配置
自动扫描任务可在系统参数中配置,由鹰视下发给扫描器。在左导航中选择“端点探测管理 > 系统管理 > 系统参数”菜单项,进入系统参数配置页面,在基本参数配置中配置扫描器扫描周期,如图3-12所示。
· 通断上报周期:扫描器上报端点在线状态的时间间隔,扫描器客户端定时监测上报端点在线状态,并以该周期上报给系统。
· 扫描器扫描周期:扫描器客户端定时扫描端点的时间间隔,扫描完成后扫描器会将端点全部信息上报给系统。
启用扫描策略的扫描器,将按照扫描策略执行扫描任务。
(2) 客户端定义
在扫描器客户端上单击<高级配置>按钮,在弹出窗口中去勾选“以下参数由服务器下发确定”,设置扫描参数。
图3-13 客户端配置
图3-14 高级配置
无论是系统下发还是在扫描器客户端配置,配置扫描周期保存后,配置生效。扫描器以当前配置生效时间开始计时,以扫描间隔时间为周期自动给扫描器下发扫描任务。
除了系统中周期性的自动扫描任务外,操作员还可以在扫描器列表中随时手动触发一个或多个扫描器的扫描任务,点击配置列扫描图标
或选择多个扫描器并单击<扫描>按钮,如图3-15所示。
扫描结果中端点有6种状态,如图3-16所示。
查看扫描结果:
· 在所有端点列表中查看全部端点的最新状态。
· 在新发现端点列表中查看扫描新发现的所有端点。
· 在非法端点列表中查看所有扫描到的端点信息与其基线信息不一致的非法端点。
扫描结果中除合法状态的端点外,其他状态的端点都属于异常端点,需要操作员确认及处理。
确认状态异常的端点,如将新发现的端点审批为合法端点。查看非法端点的变更项,与区域负责人确认该端点的变更是否合法,如果合法则可以将该非法端点审批为合法端点,否则可以拆除非法端点等。异常端点的一般处理方法见表3-1。
|
状态 |
可能的原因 |
一般处理方式 |
|
新发现 |
新增加的端点,目前系统中还不存在其基线信息。 |
与区域负责人确认新发现端点的信息: · 如果确认是新增加的设备,则可以审批为合法端点。 · 如果确认为非法接入端点,则可以审批为非法端点。 |
|
离线 |
端点损坏或丢失。 |
联系区域负责人维修或更换设备。 |
|
非法 |
更换新端点或是非法接入的端点。 |
· 如果确认是更换后的新端点,并且端点信息正确,审批为合法端点即可。 · 如果经确认是非法接入的端点,且开启非法端点自动加入黑名单,则可加入黑名单(加入黑名单方式在系统参数中可配置);或者可直接拆除非法端点。 |
|
未知 |
鹰视中端点IP地址有误,或端点已损坏或丢失。 |
确认端点的IP地址是否正确,或该端点是否已损坏或丢失。 |
将非法端点审批为合法端点,其基线信息也会更新为与当前端点信息一致。
当操作员发现有人在可疑端点进行上线时,可以先行隔离该用户。在系统参数页面,设置“新发现端点自动加入黑名单”和“非法端点自动加入黑名单”功能启用后,新发现端点和非法端点将自动加入黑名单。加入黑名单方式分为以下两种:
· EIA联动加入黑名单:联动EIA组件进行加入黑名单操作。
· 扫描器联动加入黑名单:黑名单列表由鹰视下发给扫描器进行阻断操作。加入黑名单方式为“扫描器联动”时,可以启用“非直连端口加入黑名单”功能。如果启用,只要有交换机学习到此端点MAC地址,就会进行阻断操作;如果不启用,则需要判断学习到此端点MAC地址的交换机和端点是否为直连关系,为直连关系时才会进行阻断操作。
图3-17 加入黑名单参数配置
设置例外IP,扫描器在扫描阶段忽略该IP,不扫描该端点。在系统参数页面,设置例外IP,如图3-18所示。
在左导航中选择“端点探测管理 > 所有端点”菜单项,选择右上角的“黑名单端点”页签,进入黑名单端点列表,如图3-19所示。
选择需要解除黑名单的端点并单击<解除黑名单>按钮,完成解除黑名单操作。
用于配置MAC地址白名单,通过增加、导入MAC地址信息生成MAC地址白名单列表。扫描器扫描到端点,如果端点的MAC地址在MAC地址白名单列表中,将会自动审批为合法。
在左导航中选择“端点探测管理 > 扫描配置 > 扫描器管理”菜单项,点击右上角的“MAC地址白名单”链接,进入MAC地址白名单页面,如图3-20所示。
图3-20 MAC地址白名单
用于同步第三方网络资源信息。
在左导航中选择“端点探测管理 > 扫描配置 > 扫描器管理”菜单项,点击右上角的“第三方网络资源”链接,进入第三方网络资源管理页面,如图3-21所示。
图3-21 第三方网络资源
· 数据源配置:该功能用于配置第三方数据源获取信息。开启此功能后,用户可以进行“同步数据”操作。
· 同步数据:该功能用于同步第三方数据库数据到端点探测系统中,同步数据需要开启第三方数据源配置。
· 加入网关:该功能用于同步数据到网关设备信息中。
该功能用于扫描器软件及配置的管理,分为扫描器软件版本升级和扫描器配置版本升级。
在左导航中选择“端点探测管理 > 扫描配置 > 扫描器管理”菜单项,点击右上角的“扫描器软件及配置管理”链接,进入扫描器软件及配置管理页面,如图3-22所示。
· 扫描器软件版本升级:软件的整体升级。
· 扫描器配置版本升级:扫描器安装路径(通常C:\Program Files (x86)\Escan)下,Scanner文件夹中的内容均为配置文件,配置升级即更新或增加该路径下的文件。
如果进行了扫描器软件版本的升级,将不再进行配置升级,因为软件版本升级包括配置文件的更新。
该功能用于管理网关信息。网关信息是指网关设备名称、IP地址、设备类型、NAT信息,以及SNMP参数。上述信息以列表的形式在此页面展现,方便用户查看。
在左导航中选择“端点探测管理 > 扫描配置 > 扫描器管理”菜单项,单击<网关信息>按钮,进入网关信息页面,如图3-23所示。
共有3种方式增加网关信息:
· 选择:从平台选择要添加的网关,平台会自动过滤不支持的设备。
· 手动增加:增加单个或少量网关时可以选择手动增加。
· 导入:增加大量网关时可以使用批量导入网关信息。
网关设备学习信息是指客户端扫描器自动学习到网关设备的MAC地址表,ARP信息表,接口信息表。点击“学习信息”图标
,进入网关学习信息页面。
图3-24 学习信息
· MAC地址表:展示当前网关设备的主机MAC地址。
· ARP信息表:展示当前网关设备的ARP表,ARP表记录着主机的IP地址和MAC地址的对应关系。
· 接口信息表:展示当前网关设备上的所有接口信息,包含接口描述、接口IP、接口MAC、IP地址掩码以及接口索引等。
· 网关设备需和其他设备通信才会有学习信息。
· 路由器的MAC地址表为空。
认证白名单是一种基于端口和IP或MAC地址对用户的网络访问权限进行控制的认证方法,分为IP认证白名单和MAC认证白名单。只有IP或MAC地址认证成功的端点,才被允许通过端口访问网络资源。鹰视系统支持对认证白名单进行管理,允许为安全网关设备配置认证白名单,并允许查看全局的认证白名单信息。
· 安全网关需要开放SNMP权限并配置正确的SNMP参数,以获取接口信息,才能正常使用认证白名单功能。
· 增加或导入白名单时,若接口描述选择错误,会增加或导入失败。
· 一个安全网关设备只能绑定到一个扫描器。
点击网关信息页面右上角“认证白名单”链接,进入认证白名单页面,可查看、增加、导入、删除认证白名单IP和认证白名单MAC,如图3-25所示。
(1) 在白名单IP页面,单击<增加>按钮,进入增加白名单IP页面。如图3-26所示。
· 白名单IP:增加需要认证的白名单IP地址。
¡ 在文本框中输入IP地址或者IP地址段,单击<增加>按钮,将其增加到白名单IP中。
¡ 单击<选择端点>按钮,从现有端点中选择IP。
¡ 单击<选择子网>按钮,从现有子网中选择IP子网。
· 网关IP地址:下拉框中选择安全网关的IP地址。
· 接口描述:下拉框中选择安全网关接口的描述信息。
· 域名:输入安全网关的域名。
(2) 单击<确定>按钮,将IP增加到白名单IP。
· 增加白名单IP时,IP地址、IP地址段均不允许重复。
· 用户在执行增加IP认证白名单操作后,鹰视系统会将操作发送至安全网关,并根据设备返回的操作结果执行增加认证白名单操作。用户需在一段时间后刷新页面才能得到操作结果。
(1) 在白名单MAC列表页面,单击<增加>按钮,进入增加白名单MAC页面。如图3-27所示。
· 白名单MAC:增加需要认证的白名单MAC地址。
¡ 在文本框中输入MAC地址,单击<增加>按钮,将其增加到白名单MAC列表中。白名单MAC不允许重复。
¡ 单击<选择端点>按钮,从现有端点中选择MAC。
· 网关IP地址:下拉框中选择安全网关的IP地址。
· 接口描述:下拉框中选择安全网关接口的描述信息。
· 域名:输入安全网关的域名。
(2) 单击<确定>按钮,将MAC增加到白名单MAC。
· 增加白名单MAC时,MAC地址、MAC地址段均不允许重复。
· 用户在执行增加MAC认证白名单操作后,鹰视系统会将操作发送至安全网关,并根据设备返回的操作结果执行增加认证白名单操作。用户需在一段时间后刷新页面才能得到操作结果。
在安全网关联动方式下,审批端点为非法时,EPS会联动安全网关将端点从网关认证白名单中移除。被移除的端点被审批为合法时,会触发其重新加入认证白名单。
(1) 在左导航中选择“端点探测管理 > 系统管理 > 系统参数”菜单项,在加入黑名单参数配置中,选择加入黑名单方式为“安全网关联动”,并配置联动参数,如图3-28所示。
(2) 单击<确定>按钮,完成安全网关联动配置。
EPS支持采用NVR管理摄像头组,扫描器从NVR获取端点数据,并上报给服务器。
在左导航中选择“端点探测管理 > 扫描配置 > 扫描器管理”菜单项,单击<NVR信息>按钮,进入NVR信息页面,如图3-29所示。
(1) 在NVR列表中,点击摄像头列表图标
,进入摄像头列表页面,可以查看该NVR下挂摄像头列表。
图3-30 摄像头列表
(1) 在NVR信息页面,单击<增加>按钮,进入增加NVR信息页面,如图3-31所示。
· NVR名称:输入NVR名称,NVR名称不可重复。
· IP地址:输入IP地址,IP地址不可重复。
· 厂商:输入厂商。
· 认证注册状态:在下拉框中选择认证注册状态。认证注册状态分为“启用”和“关闭”两种状态,仅在认证注册状态为“启用”时,需要配置认证注册秘钥。
· 认证注册秘钥:输入认证注册秘钥,长度不能小于8或者大于20。
(2) 单击<确定>按钮,NVR信息增加完成。
为满足对网络设备的扫描需要,提供对NAT组网扫描的功能。NAT配置支持多网段的配置,同一NAT名称下的网段地址间不能重复,且不与其他NAT名称下的网段地址重复,网段最多配置20组。
在左导航中选择“端点探测管理 > 系统管理 > NAT配置”菜单项,进入NAT配置页面,如图3-32所示。
NAT(Network Address Translation,网络地址转换),当主机在当前专用网内使用专用地址,同时又想和因特网上的主机通信且不需要加密时,可以使用NAT。
该功能用于支持DHCP协议,若端点IP在动态IP地址段内,使用MAC地址+NAT ID来标识端点。
在左导航中选择“端点探测管理 > 系统管理 > 动态IP地址段配置”菜单项,进入动态IP地址段配置页面,如图3-33所示。
图3-33 动态IP地址段配置
网络类型选择NAT时,动态IP地址段必须是NAT配置网段地址的子集。
端点管理包括端点设备管理、端点基线管理和端点状态管理。
增加端点的方法有手工增加、批量导入和扫描发现新端点。
图3-34 端点增加方式
单击所有端点中的<增加>按钮,增加单个端点,如图3-35所示。手工增加的端点,其在线状态是未知,合规状态是合法。
· 关注端点:选择是否关注端点,已关注的端点可以在关注端点列表中查看。
· 附加信息:包含资产编号、启用日期、资产名称、维修次数、责任人及所属单位,可以在附加信息列表中规定附加信息的标准,包括名称、字段类型、最大字符长度等信息。如果附加信息的标准被修改,且实际已有端点对应的信息不符合修改后的规则,那么需要手动将该端点的信息修改成符合新标准的。
管理员已有端点信息的文件,单击所有端点列表中的<导入>按钮,可以批量导入端点。批量导入的端点,其在线状态是未知,合规状态是合法,如图3-36所示。
使用扫描器发现端点,鹰视将扫描结果与已存在的端点基线信息对比,如对比发现是新端点,则将端点加入鹰视配置台,其在线状态为在线、合规状态是新发现。
在所有端点列表和新发现端点列表中均可以查看新发现的端点信息。
端点审批意味操作员认可这个端点是安全可靠的,并确认或修改端点的基线。管理员审批端点后,其状态变为合法。
图3-37 审批端点
审批的方法如下:
· 在端点列表中,通过<审批为合法>或<审批为非法>按钮审批选中的一个或多个端点,如图3-38所示。
· 通过操作列的审批图标
或
审批某个端点。
· 在新发现端点列表中,通过<全部审批为合法>或<全部审批为非法>按钮审批所有新发现端点,如图3-39所示。
· 通过<审批为合法>或<审批为非法>按钮审批选中的一个或多个端点。
· 通过操作列的审批图标
或
审批某个端点。
· 在非法端点列表中,通过<审批为合法>按钮审批选中的一个或多个端点,如图3-40所示。
· 通过操作列的审批图标
审批某个端点。
在待审批端点列表中,可以对非法端点、新发现端点、弱密码端点和高危资产端点进行审批。
· 在非法端点页签中,通过<审批为合法>按钮审批选中的一个或多个端点。
· 在新发现端点页签中,通过<全部审批为合法>或<全部审批为非法>按钮审批所有新发现端点,也可以通过<审批为合法>或<审批为非法>按钮审批选中的一个或多个端点。
· 在弱密码端点页签中,通过<审批为非法>或<全部审批为非法>按钮审批弱密码端点。
· 在高危资产端点页签中,通过<审批为非法>或<全部审批为非法>按钮审批高危资产端点。
图3-41 审批待审批端点
端点基线是指由操作员增加/修改的或由扫描器上报且经过操作员确认的端点合规信息。端点基线包括端点MAC、操作系统、生产厂商和端点类型。
有两种查看端点基线的方法。
(1) 端点审批页面
审批单个端点的时候,在端点审批页面可以查看端点基线信息。在端点列表中,点击操作列的审批图标
或
进入审批页面,查看端点基线信息,如图3-42所示。
(2) 导出基线文件
在端点信息导出页面,可以选择导出端点基线信息(基线MAC地址、基线端点类型、基线操作系统和基线厂商),如图3-43所示。端点基线导出后,下载并查看文件中导出的端点基线信息。
增加基线有两种方式
(1) 批量导入或手工增加端点时,其端点信息中的端点MAC地址、操作系统、生产厂商和端点类型记为基线信息。批量导入或手工增加端点的方法请参见3.3.1 1. 增加端点。
(2) 通过扫描器新发现的端点,即新发现状态的端点,审批端点信息中的端点MAC、操作系统、生产厂商和端点类型记为基线信息。
(1) 审批非法状态的端点,意味着修改其基线信息。
当某个端点丢失或损坏,区域负责人更换新端点后,其端点信息(MAC地址、操作系统、生产厂商或端点类型)与系统中的基线信息不一致。操作员与区域负责人确认非法端点是可信任端点后,审批该端点为合法,系统自动修改该端点的基线信息与端点信息一致。
(2) 操作员手工修改端点信息。
操作员在端点列表中点击修改图标
,即可进入修改端点信息页面修改端点信息。如果修改了端点MAC地址、操作系统、生产厂商或端点类型的任意一项参数,端点基线也会随之修改。修改端点信息后,端点在线状态是未知、合规状态是合法。
删除任意状态的端点时,同时也一并删除其基线信息。
端点状态分为在线状态和合规状态。
端点在线状态共有3种状态:在线、未知和离线,这几种状态的说明请参见表3-2。
端点合规状态共有3种状态:新发现、合法和非法,这几种状态的说明参见表3-3。
|
在线状态 |
扫描器是否扫描到该端点 |
EPS中是否已存在该端点的基线信息 |
说明 |
|
未知 |
否 |
是 |
由操作员手工增加或批量导入,但扫描器没有扫描到该端点。 |
|
在线 |
是 |
是 |
扫描器扫描到的端点。 |
|
离线 |
否 |
是 |
系统中存在该端点,但扫描器本次扫描中没有扫描到。 |
|
合规状态 |
扫描器是否扫描到该端点 |
EPS中是否已存在该端点的基线信息 |
说明 |
|
新发现 |
是 |
否 |
扫描前系统中不存在该端点的基线信息,是扫描器新发现的端点。 |
|
合法 |
是 |
不一定 |
由操作员审批,或扫描器扫描到端点信息与其基线信息一致。 |
|
非法 |
是 |
是 |
扫描器扫描到的端点信息与其基线信息不一致。 |
端点类型是端点基线要素,扫描器根据鹰视系统中已定义的端点类型,识别端点。端点类型存在层级(三级)关系,并允许用户按照不同的层级关系进行分类统计或配置。
系统预置一级端点类型共8类,分别是计算机、网络设备、语音终端、智能终端、安防监控终端、办公终端、工控终端和未知。
在端点类型管理中管理员可以自定义端点类型,在左导航中选择“端点探测管理 > 系统管理 > 端点类型管理”菜单项,进入端点类型管理页面,如图3-44所示。
(1) 单击<端点类型配置>按钮,进入端点类型配置页面,如图3-45所示。
· 端点类型列表显示所有端点类型,支持将端点类型设置为统计类型和增加、修改、删除端点类型操作。
· 统计类型列表显示已配置的统计类型,EPS将按照此处配置的统计类型对端点进行分类统计。
· 在端点类型页面增加端点类型后,可在增加端点类型页面配置端点类型参数。当端点类型页面选中已有端点类型时,此页面显示为修改端点类型。
(1) 在端点类型页面,鼠标移动到待增加子类型的端点类型上,点击增加端点类型图标
,端点类型页面显示新增端点类型。
(2) 选中新增端点类型,在增加端点类型页面,配置端点类型参数,如图3-46所示。
· 类型名称:端点类型名称,类型名称必须唯一。
· 显示名称:端点列表中显示的端点类型名称,显示名称必须唯一。
· 绑定开始IP:设置的网段地址的开始IP。
· 绑定结束IP:设置的网段地址的结束IP,结束IP必须大于或者等于开始IP。输入完成后,单击<增加>按钮,将网段地址增加到“已设置的网段地址”中。
· 已设置的网段地址:用于限制此网段内的合法端点类型,对于网段内不匹配的端点类型,系统将标记端点为非法端点,并进行相应阻断操作。
· 新端点合规状态:用于设置新发现端点首次加入系统时的合规状态,其优先级低于端点类型绑定网段规则。
· 打开Web网管:用于设置此类型端点是否支持打开Web网管,支持Web网管端点可在新的窗口打开端点的Web网管。
· 哑终端开户:使能哑终端开户后,在端点审批为合法时,将根据端点MAC地址对其进行哑终端开户,开户后的端点才可以正常访问网络。
· 描述:端点类型描述信息。
哑终端开户功能需要联动EIA,并且开户的端点必须存在MAC地址。
在端点类型列表中,选中待修改端点类型,在修改端点类型页面对端点类型进行修改,如图3-47所示。
· 所有端点类型都无法修改类型名称。
· 预置端点类型还无法修改显示名称和描述信息。
在端点类型列表中,鼠标移动到自定义端点类型,点击对应删除图标
,删除自定义端点类型。预置端点类型无法删除。
EPS支持按照不同的端点类型及层级关系对端点进行分类统计。
(1) 在端点类型列表中,勾选端点类型,统计类型列表将显示对应端点类型,如图3-48所示。
(2) 单击端点类型列表中的<确定>按钮,保存配置。端点将按照配置的统计类型进行分类统计。
· 如果选择父类型下全部子类型,将只按子类型对端点信息进行统计。
· 如果仅选择父类型,未选择该父类型下子类型,将只按父类型对端点信息进行统计。
· 如果选择父类型及其部分子类型,将按父类型和已选择的子类型对端点信息进行统计。
· 一级端点类型默认选中,不可去勾选。
摄像头类型端点支持弱密码检测。
(1) 在左导航中选择“端点探测管理 > 所有端点”菜单项,单击右上角待审批端点链接,进入待审批端点页面,如图3-49所示。
(2) 点击“弱密码检测配置”链接,进入弱密码检测配置页面,如图3-50所示。
· 启用弱密码检测:勾选弱密码检测,开启弱密码检测功能。
· 上传密码词典文件:
¡ 勾选上传密码词典文件,可选择用户自定义的密码词典文件,文件格式只支持.txt文件,弱密码数量建议不超过20个。
¡ 若不勾选,则使用默认的词典文件。点击下载路径链接可查看默认词典文件中的弱密码。
· 待检测用户名:输入待检测设备的用户名。
(3) 点击<确定>按钮完成弱密码检测配置。
端点初始接入网络时仅放通端点与扫描器通道,此时端点能被扫描到,但是无法正常访问网络。对端点进行MAC地址哑终端开户后,端点才可以正常访问网络、不受限制。
在左导航中选择“端点探测管理 > 系统管理 > 系统参数”菜单项,进入系统参数配置页面。在关联服务器参数配置中,启用关联服务器和联动EIA组件,并配置正确的服务器参数。
图3-51 关联服务器参数配置
(1) 在左导航中选择“端点探测管理 > 所有端点”菜单项,单击右上角待审批端点链接,进入待审批端点页面。
(2) 点击“未开户MAC”页签,进入未开户MAC页面。
¡ 批量MAC地址开户:勾选至少一个需要开户的MAC地址,单击<开户>按钮。
¡ 单个MAC地址开户:点击需要开户的MAC地址对应的“开户”图标
。
图3-52 未开户MAC
(3) 在弹出窗口中选择EIA侧已创建的哑终端用户配置名称,单击<确定>按钮,进行MAC地址开户。
用于配置单个端点信息并下发给扫描器,扫描器自动提取端点信息获取端点指纹并保存。扫描器可以根据已保存的指纹更准确的识别端点类型、操作系统和厂商。
在所有端点页面可以下发指纹采集任务,在左导航中选择“端点探测管理 > 所有端点”菜单项,在所有端点列表中勾选一条端点信息,单击<指纹采集>按钮,进入增加指纹采集任务页面,如图3-53所示。
鹰视中保存系统事件的执行日志、操作员的操作日志和端点信息变更的记录,以便行为审计和事件追溯。
系统日志记录了系统中每一次扫描任务的名称、执行时间、详细描述和扫描发现结果,如图3-55所示。
操作日志记录了每一位操作员从登录到退出整个过程的每一步重要操作。
· 只有超级管理员admin可以查看所有操作员的操作日志。操作员所在操作员分组具备“系统日志”功能的操作权限时,即可查看全部记录。目前不支持针对不同操作员的权限划分。
· 操作日志只能查看,无法删除,但是iMC可以定时转储日志信息。在操作日志页面中点击“数据转储配置”,在弹出的窗口中即可配置转储操作日志的功能。
进入操作日志列表的方法:
(1) 选择页面上方的“系统管理”页签。
(2) 单击导航树中的“系统配置 > 操作日志”菜单项。整个iMC系统中的操作日志都显示在操作日志列表中,如图3-56所示。
(3) 单击<查询>按钮,弹出查询条件窗口。在“模块名称”下拉框中选择“端点探测管理”,可查询EPS的所有操作日志。设置其他更多查询条件可以更精确地查询到操作信息。
图3-57 查询条件
(4) 点击操作结果链接,可以查看日志详细信息。
图3-58 详细信息
扫描器日志记录了扫描器扫描日志,EPS支持收集扫描器日志。
(1) 选择页面上方的“用户”页签。
(2) 在左导航栏选择“端点探测管理 > 扫描配置 > 扫描器管理”菜单项,进入扫描器列表页面,如图3-59所示。
(3) 在扫描器列表中,点击操作列对应的日志收集图标
,进入日志收集列表页面。
(4) 单击<增加>按钮,进入增加日志收集任务页面,如图3-60所示。
(5) 选择其实日期和结束日期,单击<确定>按钮,增加日志收集任务完成。
图3-61 日志收集任务
在日志收集列表中,点击<下载日志>列的链接,下载对应日志文件。
端点变更列表中保存了所有端点信息的变更记录,包括操作员手工修改的端点信息和操作员审批非法端点,如图3-62所示。操作员审批新发现端点为合法端点时,系统会自动根据端点的当前信息生成基线信息,并在变更内容中记录该端点的基线信息。
端点历史在线记录列表中保存了所有端点的在线状态变更记录及起止时间等信息,如图3-63所示。
端点历史在线记录支持数据转储,数据量或记录时间达到阈值即可实现。
大屏监控功能可实时监控网络中端点信息。
在左导航中选择“端点探测管理 > 大屏监控”菜单项,弹出大屏监控页面,如图3-64所示。
· 当前各区域各类型端点的在线状态数量及合规状态数量。
· 端点在线状态数量和合规状态数量在一段时间内的趋势。
· 展示摄像头厂商分布、摄像头数量Top10区域及数量。
· 在地图上展示各区域合法端点数,支持从地图上查看各子区域各类型端点的状态数量。
· 滚动展示各区域各类型端点的合规状态数量。
· 展示告警情况列表。
EPS大屏定制特性支持用户自定义大屏视图,用户可以配置适应不同分辨率、不同展示内容和效果的视图布局,并将其用于大屏监控。
(1) 点击切换视图图标
,选择鹰视系统视图,进入鹰视系统视图界面。
(2) 在鹰视系统视图界面,点击大屏定制图标
,进入大屏定制界面,如图3-65所示。
(3) 点击“增加视图”链接,新建视图,如图3-66所示。
表3-4 新建视图界面
|
序号 |
名称 |
说明 |
|
1 |
屏幕尺寸 |
用于规定视图的屏幕分辨率。 |
|
2 |
大屏标题 |
用于规定视图标题的内容、字号、字色。 |
|
3 |
编辑|预览 |
用于切换视图的编辑页和预览页,支持配置视图的预览布局展示。 |
|
4 |
视图名称 |
用于规定视图名称,为本视图的唯一标识。 |
|
5 |
滚动区 |
用于配置视图滚动区参数,选中滚动区后,滚动区的参数均为必填项。 · 行高:表示滚动区占界面高度的比例。大屏界面在高度方向被等分成12份,以行高输入4为例,此时滚动区占屏幕高度的比例为4/12。 · 列数:滚动区可设置的组件元素数量。 · 单元格宽度:在大屏展示界面,每个组件元素占界面宽度的比例。大屏界面在宽度方向被等分成24份,以单元格宽度输入6为例,此时滚动区占屏幕宽度的比例为6/24。 · 滚动间隔:滚动区组件元素滚动的时间间隔。 |
|
6 |
元素 |
用于展示本系统目前支持配置的所有大屏组件元素。 |
|
7 |
滚动区主体 |
用于配置滚动区组件元素。 |
|
8 |
面板区主体 |
用于配置其他区域组件元素。 |
在系统参数页面配置大屏参数,在左导航中选择“端点探测管理 > 系统管理 > 系统参数”菜单项,进入配置页面,如图3-67所示。
· 标题名称:大屏监控页面标题名称。
· 包含子区域:设置大屏监控页面中是否包含子区域的端点。
· 区域端点地图模式:大屏中区域及端点有GIS和ECharts两种显示模式。
· 所属省(市):大屏监控页面“区域端点数量监控”中地图显示的省(市)。
· 端点类型:大屏监控页面某端点类型厂商统计和区域某端点类型数量Top10所统计中的端点类型,默认为“摄像头”。
· 大屏视图:鹰视系统视图中“大屏监控”页面所展示的视图,可选视图包括默认视图1、默认视图2和自定义视图。
GIS监控仅支持在离线地图模式下查看,可实时获取离线地图下端点信息。
在左导航中选择“端点探测管理 > 系统管理 > 系统参数”菜单项,进入系统参数配置页面。在地图参数配置中选择地图类型为“离线地图”,并配置离线地图参数。
图3-68 地图参数配置
· 离线地图类型:选择离线地图类型,目前仅支持iMC GIS。
· 地图服务器IP地址:输入离线地图通信IP地址,仅支持IPv4格式。
· 地图ID:指定地图ID,加载对应地图。
· 中心点坐标:指定EPS地图的中心点位置,可以手动输入经纬度,或点击
图标,在地图上点击选择标示位置。
在左导航中选择“端点探测管理 > 快速入门”菜单项,选择“监控 > GIS监控”,进入GIS监控页面。
图3-69 GIS监控
· 在离线地图上展示各区域合法端点数,支持从地图上查看端点IP地址、在线状态、合规状态、MAC地址、端点类型、厂商、所在区域及扫描时间等信息。
· 点击GIS监控左侧“统计图/收起”,可以选择是否显示统计图。统计图包含:
¡ 当前区域各类型端点的合规状态数量统计。
¡ 区域端点数量Top5统计。
¡ 摄像头厂商分布及摄像头数量统计。
¡ 端点在线状态统计。
可根据端点或区域进行查询,展示符合条件端点信息。
· GIS监控只支持离线地图,在编辑模式下,从查询结果下拉框中选择端点时,需要先点击地图的其他区域后再选择该端点进行移动。
· 在GIS监控中,点击端点查看其信息时,如果存在遮挡情况,可以拖拽地图到合适位置后进行查看。
EPS支持分级管理,可将多个下级鹰视集中在同一鹰视系统进行管理,关于下级鹰视介绍请参见4.1 下级鹰视。
下级监控功能支持查看所有下级鹰视端点统计信息。
在左导航中选择“端点探测管理 > 系统管理 > 下级鹰视”菜单项,进入下级鹰视页面,选择右上角的“下级监控”页签,进入下级监控页面,如图3-70所示。
· 所有下级鹰视中不同端点类型端点数量统计。
· 非法端点数量从多到少的下级鹰视排行。
· 在地图上展示各区域合法端点数。
· 不同下级鹰视端点数量在一段时间内的趋势。
· 下级鹰视的端点总数、在线端点数量、当日告警总数、非法端点数量等统计信息。
· 展示告警情况列表。
鹰视系统提供全网端点状态实时报表、全网摄像头状态实时报表、全网端点类型实时报表、端点状态实时报表、非法端点统计报表、离线端点统计报表、摄像头厂商报表、新发现端点统计报表、端点信息统计报表、端点历史在线信息统计报表、下级鹰视统计报表和端点端口信息统计详情/汇总报表。
在业务报表页面查看报表信息,在左导航中选择“端点探测管理 > 业务报表”菜单项,进入报表模板列表页面,点击某一报表名称,查看具体信息。
体现全网端点状态实时统计数,其中状态包括在线状态和合规状态,在线状态分为在线、离线和未知,合规状态包括合法、非法和新发现,如图3-71所示。
· 统计全网端点的在线状态及合规状态数目,以饼图的形式展示。
· 按区域统计全网端点的在线状态及合规状态,以表格的形式展示。
报表体现全网摄像头状态实时统计数,其中状态包括在线状态和合规状态,在线状态分为在线、离线和未知,合规状态包括合法、非法和新发现,如图3-72所示。
· 统计全网摄像头的在线状态及合规状态数目,以饼图的形式展示。
· 按区域统计全网摄像头的在线状态及合规状态,以表格的形式展示。
报表体现全网端点类型实时统计数,按照类型实时展现数据,如图3-73所示。
· 统计全网各类型端点的数量,以饼图的形式展示。
· 按端点类型统计在线状态及合规状态数量,以表格的形式展示。
通过在参数设置界面进行展示区域和端点类型选择,如图3-74所示。
报表体现区域端点状态实时统计数,其中状态包括在线状态和合规状态,在线状态分为在线、离线和未知,合规状态包括合法、非法和新发现,如图3-75所示。
· 统计特定区域端点的在线状态及合规状态数目,以饼图的形式展示。
· 按特定区域统计在线状态及合规状态数量,以表格的形式展示。
可以通过在参数设置界面进行所展示区域和端点类型的选择,如图3-74所示。
报表体现非法端点统计数,按照区域类别进行分类,如图3-76所示。
统计特定区域的非法端点分布状态,以饼图的形式展示。按特定区域统计在线状态数量,以表格的形式展示。通过单击饼图中指定区域,可弹出指定区域内端点详情。
本报表体现离线端点统计数,按照离线时段及区域类别进行分类,如图3-77所示。
可以通过在参数设置界面进行所展示区域和端点类型的选择,如图3-74所示。
统计特定时段端点的离线端点分布状态,以饼图的形式展示。按特定区域统计在线状态数量,以表格的形式展示。通过单击饼图中指定时段,可弹出指定离线时段端点详情。
图3-77 离线端点统计报表
可以通过在参数设置界面进行所展示区域和端点类型的选择,如图3-78所示。
本报表体现端点厂商统计数,按照厂商类别进行分类,如图3-79所示。
统计特定厂商摄像头分布状态,以饼图的形式展示。按特定区域统计不同厂商的摄像头,在线状态及合规状态数量,以表格的形式展示。通过单击饼图中指定厂商,可弹出指定厂商内摄像头详情。
报表体现新发现端点统计数,按照区域类别进行分类,如图3-81所示。
可以通过在参数设置界面进行所展示区域、端点发现时间和端点类型的选择,如图3-80所示。
统计特定区域的新发现端点分布状态,以饼图的形式展示。按特定区域统计在线状态数量,以表格的形式展示。通过单击饼图中指定区域,可弹出指定区域内端点详情。
通过在参数设置界面进行展示区域和端点类型选择,如图3-82所示。
报表体现满足参数设置区域和端点类型的端点信息,如图3-83所示。
通过在参数设置界面进行展示区域、端点类型和统计范围选择,如图3-84所示。
报表体现满足参数设置区域、端点类型和统计范围的端点历史在线统计信息,如图3-85所示。
报表以列表形式体现下级鹰视的端点状态统计数,其中状态包括在线状态和合规状态,在线状态分为在线、离线和未知,合规状态包括合法、非法和新发现,如图3-86所示。
报表体现端点端口信息统计数,按照区域类别,端点类型,端口类型进行分类。可以通过在参数设置界面进行所展示区域,端点类型,端口类型的选择,如图3-87所示。
· 端点端口信息统计详情报表,体现端点端口统计详情,如图3-88所示。
· 端点端口信息统计汇总报表,体现端点端口统计汇总,如图3-89所示。
鹰视系统提供业务告警功能,在发现新端点、端点信息(类型、MAC地址、厂商、操作系统)变化、端点合规状态变化、端点在线状态变化、以及扫描器状态变化时,会产生告警。
在业务告警页面查看告警信息,在左导航中选择“端点探测管理 > 业务告警”菜单项,进入业务告警页面,如图3-90所示。
在系统参数页面配置是否产生上述告警信息,在左导航中选择“端点探测管理 > 系统管理 > 系统参数”菜单项,进入配置页面,如图3-91所示。
通过拓扑的方式,展示系统中所有端点的信息及分布状况。端点在拓扑中以节点的形式存在,可以按区域层级进行呈现,也可以自定义使用情况,指定端点进行呈现。
端点拓扑操作界面由两部分组成:左侧的拓扑左树和右侧的拓扑展示板。
· 拓扑左树:纵向展示系统中各个业务拓扑的树节点,包括端点拓扑、自定义拓扑、IP拓扑、数据中心拓扑和全景拓扑。
· 视图:拓扑左树下每个树节点均为一个视图,双击视图后会在右侧的拓扑展示板中开启一个新的拓扑页面,展示该视图内的端点分布。端点拓扑的展示视图分为区域视图和自定义视图。
¡ 区域视图:同步了系统中的区域信息,其层级关系与区域保存一致,单击指定区域视图,其拓扑展示板中显示对应区域下的子区域及范围内端点,如图3-92所示。
¡ 自定义视图:管理员手动创建,支持增加、删除、修改操作。视图中可以指定系统中存在的端点、扫描器并以节点的形式展示在拓扑中,如图3-93所示。
当同一拓扑中不同端点之间存在网络连接关系时,其联系会以链路的形式展示出来,如图3-94所示。除端点节点外,拓扑展示板中还存在有视图节点和扫描器节点,二者仅在指定的视图中出现。实际展示时,节点的图标样式、颜色、角标颜色反映了对应节点的不同类型、在线状态以及合规状态。
· 拓扑展示板:可以单击端点节点查看其详细信息,拖动端点节点至任意位置。通过右键弹出菜单选项对端点节点进行增加、删除操作,节点的变化情况会同步至拓扑左树。
· 拓扑工具栏:点击工具栏中的不同图标,可以实现对当前拓扑的放大、缩小、增加背景、重新布局、保存等操作。
IP子网管理与端点关联,从子网角度展示和管理网络中的端点信息。显示并管理子网分组、子网、IP地址及IP使用统计情况。
在左导航中选择“端点探测管理 > IP子网管理”菜单项,进入IP子网管理页面,如图3-95所示。
图3-95 IP子网管理
以自上而下从左到右的顺序,IP子网管理页面分为如下5个部分。
表3-5 IP子网管理页面
|
序号 |
名称 |
说明 |
|
1 |
IP子网导航树 |
以不同的角度提供IP分组和IP子网的入口,方便管理员根据实际需要进行切换。 |
|
2 |
IP子网 |
显示该IP分组内所有子分组及IP子网。 |
|
3 |
IP使用统计 |
统计并展示IP分组下的IP总数及IP使用情况;统计并展示IP子网中IP地址使用情况,可以展示端点详细信息、端点类型Top10和端点厂商Top10。 |
|
4 |
子网IP使用率Top10 |
展示子网IP使用率前十子网的详细信息及使用情况。 |
|
5 |
下拉框 |
可以选择展示普通网络或NAT网络。 |
单击IP子网导航树中的<增加>按钮,在出现的下拉菜单中单击<增加IP分组>按钮,弹出增加IP分组窗口,如图3-96所示。
在IP子网导航树中选择已创建的IP子网分组,单击<增加>按钮,在出现的下拉菜单中单击<增加IP子网>按钮,弹出增加IP子网窗口,如图3-97所示。
· 子网名称:为IP子网设置一个名称,IP子网名称不能重复。
· 填写子网地址和掩码位数后,将自动显示计算主机个数及IP。
· 掩码随掩码位数变化,不支持手动输入,例:掩码位数为24时,掩码对应255.255.255.0。
· 自动向子网中增加IP地址:默认为“否”,此时仅添加子网不会增加子网中的IP地址;当选择为“是”时将在增加子网的同时增加其中所有的IP地址,可在IP子网中查看。
单击IP子网导航树中的<增加>按钮,在出现的下拉菜单中单击<分配子网>按钮,进入分配子网页面,如图3-98所示。
超网(supernet):IP地址根据子网掩码被分为独立的网络地址和主机地址,它是集合多个同类互联网地址的一种方法。优点在于可以充分利用C类网络空间资源。
超网将小网络组合成大网络,子网将大网络划分成小网络。超网划分时借用网络位扩展网络,例如:192.168.0.0/255.255.255.0,借3位网络位后划分为192.168.0.0/255.255.248.0,保留一位主机位,最多分配(2^(11-1))1024个子网,此时超网掩码为255.255.248.0,换算成二进制为11111111 11111111 11111000 00000000,对应超网掩码位数为21。
· 超网地址:输入需要被划分的超网地址。
· 超网掩码位数:根据需要选择超网掩码位数,为1~30之间的数字。
· 超网掩码:将根据所选超网掩码位数自动变化。
· 分配子网大小:根据需要选择分配子网的大小,且子网掩码不能小于超网掩码。
在IP子网导航树中选择已创建的IP子网分组,单击<导入>按钮,在出现的下拉菜单中单击<导入子网信息>按钮,进入导入子网信息页面,如图3-99所示。导入文件支持文本文件和.csv格式的文件。
在IP子网导航树中选择已创建的IP子网分组,单击<导入>按钮,在出现的下拉菜单中单击<批量增加子网>按钮,进入批量增加子网页面,如图3-100所示。
· IP地址分配空间:输入子网/掩码,输入多条信息时需要换行,例如:192.168.0.0/24。解析后会显示该子网中的IP起始地址、IP终止地址和掩码。
· 自动向子网中增加IP地址:默认为“否”,此时仅添加子网不会增加子网中的IP地址;当选择为“是”时将在增加子网的同时增加其中所有的IP地址,可在IP子网中查看。
在IP子网导航树中选择需要删除的IP子网/IP分组,单击IP子网导航树中的<删除>按钮进行删除。也可以在IP子网导航树中选择IP分组,在右侧IP子网中勾选需要删除的IP子网/IP分组复选框进行删除。
当删除对象为IP分组时,系统会将该IP分组下的所有IP分组以及IP子网全部删除。
在IP子网导航树中选择IP分组/IP子网,单击IP子网导航树中的<修改>按钮,在弹出界面中修改需要修改的信息。
展示子网IP使用率最高的10个子网的详细信息方便管理员查看。在IP子网管理页面,点击“子网IP使用率Top10”链接,进入子网IP使用率Top10界面,如图3-101所示。
在IP子网导航树中选择IP分组,选择“IP使用统计”页签,查看该IP分组中的IP使用情况。包含对IP分组内IP总数、可使用IP、已使用IP的统计。
在IP子网导航树中选择IP子网,选择“IP使用统计”页签,查看该IP子网中IP地址使用情况。可查看IP地址对应端点的详细信息,详细信息可自定义。还包含端点类型Top10和端点厂商Top10的统计。
图3-102 IP使用统计
IP地址在指定时刻的状态信息会被记录下来,生成基线。IP基线管理功能用于查看IP基线的属性信息,并对IP基线进行编辑、复制、比较、导出等操作。
在左导航中选择“端点探测管理 > IP基线管理”菜单项,进入IP基线管理页面,如图3-103所示。
图3-103 IP基线管理
在IP基线管理页面,单击<增加>按钮,进入增加IP基线信息页面,如图3-104所示。
图3-104 增加IP基线信息
· IP基线名称:为IP基线命名,输入范围是32个字符。
· IP范围:点击“全部展开”链接,可以展开普通网络下的所有IP子网,选择所属的IP范围。
在IP基线列表记录行,点击删除图标
,进行删除;或者勾选要删除的IP基线的复选框,单击<删除>按钮进行删除。删除IP基线时,将同时删除与其相关的基线比较记录。
当IP基线的IP总数不为0时,点击比较图标
,进入参数设置界面,如图3-105所示。左侧IP基线为指定IP基线,右侧IP基线为与指定IP基线进行比较的基线。
比较完成后在基线比较结果界面单击<查看>按钮,查看基线比较详情,如图3-106所示。鼠标移动到IP地址位置,可查看两基线下端点信息对比。
进行IP基线比较后会产生基线比较记录。在IP基线管理页面,单击<基线比较记录>按钮,进入基线比较记录页面,如图3-107所示。可以对基线比较记录进行查看、导出和删除操作。
通过鹰视分级管理,实现当前鹰视系统对下级鹰视系统的管理。
需要对多个鹰视系统进行统一管理,并对下级鹰视统计信息进行监控。
· 只有管理员才具有管理和查看下级鹰视的权限。
· 下级监控仅统计下级鹰视中的端点数据,对于下级鹰视的下级数据,不予统计。
· 为了保证下级监控的显示效果,不同下级鹰视之间,相同端点类型的显示名称必须一致。
· 下级鹰视的系统时间必须与本系统保持一致。
(1) 在左导航中选择“端点探测管理 > 系统管理 > 下级鹰视”菜单项,进入下级鹰视页面,如图4-1所示。
(2) 在下级鹰视界面,单击<增加>按钮,进入增加下级鹰视页面,如图4-2所示。
· 下级鹰视名称:输入下级鹰视名称,下级鹰视名称必须唯一。
· IP地址:输入下级鹰视IP地址,本例中下级鹰视的IP地址为172.19.202.65。
· 登录方式:在下拉框中选择登录方式,可选项包括HTTP和HTTPS。本例中选择HTTP。
· 端口:配置Web服务端口,HTTP缺省为8080,HTTPS缺省为8443。本例中登录方式已选择HTTP,此处端口需设置为8080。
· 用户名:输入登录下级鹰视的管理员用户名。
· 登录密码/确认登录密码:输入管理员登录密码,并再次确认。
· 标示位置:输入下级鹰视的位置,或点击
图标,在地图上点击选择标示位置。
· 经纬度:输入下级鹰视的经纬度,或点击
图标,查询标示位置,在地图中点击获取经纬度。
· 负责人:输入下级鹰视负责人。
· 联系电话:输入下级鹰视负责人的联系电话。
· 联系邮箱:输入下级鹰视负责人的联系邮箱。
· 描述:输入描述信息。
(3) 单击<确定>按钮,完成操作,如图4-3所示。
在下级鹰视页面,选择右上角的“监控配置”页签,进入下级监控大屏参数配置界面,如图4-4所示。
· 标题名称:输入下级监控页面标题名称。
· 地图所属省(市):选择下级监控页面“下级鹰视端点监控系统”中地图显示的省(市)。
· 中心点位置:设置下级监控大屏视图中地图的中心点位置。
在下级鹰视页面,选择右上角的“下级监控”页签,进入下级监控页面。
下级监控中展示正常连接的下级鹰视统计数据,其中包含下级鹰视172.19.202.56的端点统计信息,如图4-5所示。
在左导航中选择“端点探测管理 > 业务报表”菜单项,进入报表模板列表页面,点击下级鹰视统计报表,查看下级鹰视报表。
报表中展示正常连接的下级鹰视统计数据,其中包含下级鹰视172.19.202.56的端点统计信息,如图4-6所示。
下级鹰视的状态为“未连接”时,无法获取该下级鹰视的端点统计数据,即该下级鹰视的信息不会呈现在下级监控和下级鹰视统计报表中。
在下级鹰视页面,点击下级鹰视
图标,弹出该下级鹰视的鹰视系统视图页面,如图4-7所示。
当下级鹰视的状态为“未连接”时,无法通过本鹰视系统登录该下级鹰视。
EPS支持联动EIA加入黑名单功能,可实现端点用户的准入控制。联动EIA加入黑名单功能支持自动加入黑名单和手动加入黑名单。
· 自动加入黑名单:扫描器在扫描的过程中,会将符合加入黑名单条件端点用户自动加入黑名单。
· 手动加入黑名单:管理员手动操作,将端点用户加入黑名单。
仅支持在EIA侧查看联动EIA加入黑名单结果。
需要联动EIA对端点用户进行准入控制,确保区域网络安全。
· EIA侧认证设备支持Session-Control或COA方式强制用户下线。
· EIA系统参数配置中的“用户认证防攻击”参数设置为“禁用”。
(1) 在左导航中选择“端点探测管理 > 系统管理 > 系统参数”菜单项,进入系统参数管理页面。
(2) 在系统参数页面,配置关联服务器参数,如图4-8所示。
¡ 启用“关联服务器”和“联动EIA组件”。
¡ 配置正确的关联服务器IP地址、端口、用户名和密码等参数,此处关联服务器即为EIA服务器。
(3) 单击<确定>按钮,保存配置。
(4) 单击<连接测试>按钮,弹出提示“连接成功”,如图4-9所示。
(5) 在系统参数页面,配置加入黑名单参数,如图4-10所示。
· 加入黑名单方式:
¡ 扫描器联动:EPS下发端点接入交换机端口信息给扫描器,由扫描器对其接入端口进行阻断操作。
¡ EIA联动:联动EIA组件对端点上的用户进行下线操作,并加入EIA黑名单。该功能需要启用“关联服务器”和“联动EIA组件”功能。
¡ 安全网关联动:审批端点为非法时,EPS会联动安全网关将端点从网关认证白名单中移除。已移除的端点被审批为合法时,会触发其重新加入认证白名单。
本例中选择“EIA联动”。
· 业务场景:加入黑名单操作的工作场景,可选项有“业务优先”和“安全优先”,默认为“业务优先”。
¡ 业务优先:仅支持手工加入黑名单操作。
¡ 安全优先:允许设置是否将端点用户自动加入黑名单。
本例中选择“安全优先”。
· 非直连端口加入黑名单:该参数只对“扫描器联动”方式加入黑名单生效。加入黑名单方式已选择“EIA联动”,此参数不生效。
· 非法端点自动加入黑名单:启用非法端口加入黑名单。系统会将扫描到的非法端点上的在线用户立即强制下线,并加入黑名单。
· 新发现端点自动加入黑名单:启用新发现端点自动加入黑名单。系统进行定时任务,将扫描到的上次扫描时间超过“新发现端点保留时长”的新端点上的在线用户强制下线,并加入黑名单。
iMC EPS 7.3 (E0602P06)之前版本,启用“新发现端点自动加入黑名单”时,可能会导致大量新发现端点被阻断,将新端点上的在线用户强制下线,并加入黑名单,请谨慎使用。
· 离线端点自动加入黑名单:启用离线端点自动加入黑名单。系统进行定时任务,将离线时间超过“离线端点保留时长”的端点上的在线用户强制下线,并加入黑名单。
· 新发现端点保留时长:若启用“新发现端点自动加入黑名单”,在设置的保留天数后,服务器会在凌晨3点进行检测,将新发现端点上的用户加入黑名单。本例中设置保留时长为3天。
· 离线端点保留时长:设置为7天。系统每天定时检查所有离线端点,如果端点离线时长超过保留时长,系统会自动将该端点上的用户加入黑名单,不删除。
· 阈值告警周期:所有加入黑名单用户所在端点的数量统计周期,本例中设置为30分钟。若30分钟内将用户加入黑名单的端点数量超过阈值,会将该周期内加入黑名单的端点用户从黑名单解除,并生成告警。
(6) 在系统参数页面,配置扫描器扫描周期,如图4-11所示。
扫描器扫描周期为扫描器客户端定时扫描端点的时间间隔,扫描完成后扫描器会将端点全部信息上报给系统。
在扫描过程中,如果某端点被自动审批为非法端点,后台首先会根据EIA侧的信息计算出该端点的“在线时长”,并就此判断是否将端点用户加入黑名单:
· 若该端点的“在线时长”大于扫描器的“扫描器扫描周期”,则此端点会被重新审批为合法。
· 若该端点的“在线时长”不大于扫描器的“扫描器扫描周期”,则此端点用户会被加入黑名单。
登录EIA,选择“用户”页签,在左导航中选择“接入用户管理 > 黑名单用户”菜单项,进入黑名单用户页面。
黑名单用户列表中可查看联动EIA加入黑名单的用户,如图4-12所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
