13-终端识别
本章节下载: 13-终端识别 (208.03 KB)
终端识别是建立物联网安全连接的重要前提,主要用于识别物联网中的终端,例如视频摄像头和各类传感器等。当终端流量流经设备时,设备可以分析并提取出终端信息,例如终端的厂商、型号等,并支持在终端信息发生变更时(比如将原厂商的摄像头换为其他厂商的摄像头)向用户发送日志,提示用户。
当配置完终端识别相关功能后,用户可在“监控 > 终端信息> 终端状态”页面查看终端的信息和运行状态,关于终端状态的详细介绍请参见“终端状态联机帮助”。
设备特征库中支持预定义终端,用于标识终端的特征信息。
选择“对象 > 应用安全 > 终端识别 > 终端”,可查看设备支持的终端。单击<开启终端识别日志功能>按钮,可开启终端识别日志功能。
此功能用于准确识别终端设备的IP地址。缺省情况下,设备将物联网终端设备发出报文中的源IP地址识别为终端的IP地址,这种方式有时并不准确。例如,终端设备管理平台主动访问终端设备的报文,系统会把报文的源IP地址当做终端地址,此时就不准确了。可以通过配置地址对象组的方式来准确地确认终端地址。设备支持配置两种识别终端地址的对象组:
· 终端地址对象组:是指终端所在的地址对象组。当报文源/目的IP地址匹配终端地址对象组时,系统将报文的源/目的IP地址识别为终端地址。若报文源IP地址、目的IP地址同时匹配终端地址对象组,则将报文的源IP地址识别为终端地址。
· 管理地址对象组:是指管理终端设备的管理平台所在的地址对象组。当报文源/目的IP地址匹配管理地址对象组时,系统将报文的目的/源IP地址识别为终端地址。若报文源IP地址、目的IP地址同时匹配管理地址对象组,则将报文的目的IP地址识别为终端地址。
管理地址对象组优先级高于终端地址对象组,报文顺序匹配管理地址对象组及终端地址对象组。若成功匹配管理地址对象组,则停止匹配;否则,继续匹配终端地址对象组。如果物联网终端设备发出报文中的源/目的IP地址均不在地址对象组中,设备默认将报文的源IP地址识别为终端的IP地址。
选择“对象 > 应用安全 > 终端识别 > 终端”,进入终端页面。单击<配置终端识别对象组>按钮,进入配置终端识别对象组页面,用户可根据实际情况进行配置。其中,管理地址对象组和终端地址对象组,建议至少选择其中一种进行配置。
可以将具有相似特征的终端添加到一个终端组中。一个终端组,就是若干个终端的集合。如果报文被识别为属于某个终端,而该终端又属于某个终端组,则报文相当于被识别为属于某个终端组。基于终端的业务可以对属于同一个终端组的报文做统一处理。
选择“对象 > 应用安全 > 终端识别 > 终端组”,进入终端组页面。单击<新建>按钮,进入新建终端组页面。
在左侧可选终端列表中选择指定的终端,单击右侧的<选择>按钮,将终端加入终端组。
终端识别基于APR特征库识别终端信息,请将APR特征库升级至最新版本。License过期后,终端识别功能可以采用设备中已有的APR特征库正常工作,但无法升级特征库。关于License的详细介绍请参见“License联机帮助”。
本功能的支持情况与设备型号有关,请以设备实际情况为准。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!