- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
27-终端识别配置
本章节下载: 27-终端识别配置 (228.39 KB)
目 录
终端识别是建立物联网安全连接的重要前提,只有识别出终端,管理员才能对其进行控制。当终端流量(例如摄像头和各类传感器等向管理端发送采集到的数据)流经设备时,系统可以提取出终端信息(例如终端的厂商、型号、MAC地址等)进行分析和识别,并在设备的Web界面展示识别出的终端信息。系统可对识别后的终端进行控制,并可以在终端信息发生变更时(包括初次识别终端信息和后续终端信息发生变化)向用户发送日志,以进行告警。
终端识别支持两种工作模式:
· 告警模式:此模式下,系统放行所有终端流量并发送告警信息。若系统检测到终端信息发生变化(包含首次识别出终端设备),则向用户发送日志进行告警。在安全控制要求比较宽松的场景中,可以采用此工作模式。
· 白名单模式:此模式下,系统仅会放行白名单中的终端流量并发送告警信息。若系统检测到白名单中的终端信息发生变化,则向用户发送日志进行告警。在安全控制要求较严格的场景中,可以采用此工作模式。
终端识别基于APR特征库识别终端信息,有关APR特征库的详细介绍,请参见“安全配置指导”中的“APR”。
终端识别的工作流程具体如下:
¡ 告警模式:如图1-1左图所示,此模式下,系统识别并放行所有终端流量,如果系统识别出终端信息发生变化,则向用户发送日志进行告警;否则,不会发送日志。
· 白名单模式:如图1-1右图所示,此模式下,终端识别对终端流量的处理流程如下:
a. 系统对终端流量进行识别,对于无法识别出具体信息的终端将其归为other类终端。无论识别结果是明确的终端设备信息,还是other类终端,系统均检查终端设备的IP地址是否在白名单内。
b. 如果终端设备IP地址在白名单范围内,系统将检测终端信息是否发生变化。若终端信息没有发生变化,则直接放行该终端流量。
c. 若终端信息发生变化,则向用户发送日志进行告警,系统将继续检测白名单的动作是否为放行。
d. 若白名单的动作为放行,则系统放行终端流量;否则,系统丢弃终端流量。
在配置终端识别功能之前,需要升级APR特征库到最新版本(请参见“安全配置指导”中的“APR”)。
终端识别配置任务如下:
(1) 配置终端识别的工作模式
(2) (可选)配置终端组
(3) 配置用于识别终端地址的对象组
(4) 开启终端识别日志记录功能
(5) 配置终端识别白名单
(6) (可选)配置审批合法功能
(7) (可选)配置终端信息重识别
(1) 进入系统视图。
system-view
(2) 进入终端识别视图。
terminal-identification
(3) 配置终端识别的工作模式。
work-mode { allowlist | warning }
缺省情况下,终端识别处于告警模式。
一个终端组,就是若干个终端的集合。可以将具有相似特征的终端添加到一个终端组中,方便用户统一管理。如果报文被识别为属于某个终端,而该终端又属于某个终端组,则报文相当于被识别为属于某个终端组。设备支持预定义终端组和自定义终端组,当特征库中的预定义终端组无法满足需求时,用户可以根据需求自定义终端组。
(1) 进入系统视图。
system-view
(2) 进入终端识别视图。
terminal-identification
(3) 创建终端组,并进入终端组视图。
terminal-group group-name
(4) (可选)配置终端组的描述信息。
description text
缺省情况下,终端组的描述信息为“User-defined terminal group”。
(5) 向终端组内添加终端。
include terminal terminal-name
此功能用于准确识别终端设备的IP地址。缺省情况下,设备将报文的源IP地址识别为终端的IP地址,这种方式有时并不准确。例如,终端设备管理平台主动访问终端设备的报文,系统会把报文的源IP地址当做终端地址,此时就不准确了。可以通过配置地址对象组的方式来准确地确认终端地址。设备支持配置两种识别终端地址的对象组:
· 终端地址对象组:是指终端所在的地址对象组。当报文源/目的IP地址匹配终端地址对象组时,系统将报文的源/目的IP地址识别为终端地址。若报文源IP地址、目的IP地址同时匹配终端地址对象组,则将报文的源IP地址识别为终端地址。
· 管理地址对象组:是指管理终端设备的管理平台所在的地址对象组。当报文源/目的IP地址匹配管理地址对象组时,系统将报文的目的/源IP地址识别为终端地址。若报文源IP地址、目的IP地址同时匹配管理地址对象组,则将报文的目的IP地址识别为终端地址。
管理地址对象组优先级高于终端地址对象组,报文顺序匹配管理地址对象组及终端地址对象组。若成功匹配管理地址对象组,则停止匹配;否则,继续匹配终端地址对象组。如果报文的源/目的IP地址均不在地址对象组中,设备默认将报文的源IP地址识别为终端的IP地址。
进行以下配置之前,请完成终端地址对象组或管理地址对象组引用的IPv4或IPv6地址对象组的配置。有关IPv4或IPv6地址对象组的配置,请参见“安全配置指导”中的“对象组”。
(1) 进入系统视图。
system-view
(2) 进入终端识别视图。
terminal-identification
(3) 配置用于识别终端地址的对象组,请至少选择其中一项进行配置:
¡ 配置终端地址对象组。
terminal object-group { ipv4 | ipv6 } object-group-name
缺省情况下,未配置终端地址对象组。
¡ 配置管理员地址对象组。
manage object-group { ipv4 | ipv6 } object-group-name
缺省情况下,未配置管理员地址对象组。
当设备检测到终端信息(例如厂商、型号等)发生变化时,可以使用快速日志输出的方式向日志主机发送日志信息,便于用户及时地对终端进行处理。有关快速日志输出的详细介绍,请参见“网络管理和监控配置指导”中的“快速日志输出”。
(1) 进入系统视图。
system-view
(2) 进入终端识别视图。
terminal-identification
(3) 开启终端识别日志记录功能。
logging enable
缺省情况下,终端识别日志记录功能处于关闭状态。
终端识别白名单用于过滤终端流量,若终端设备的IP地址在白名单范围内,则系统放行该终端流量;否则,系统丢弃该终端流量。终端识别白名单支持配置两种动作,具体如下。
· 放行:放行白名单内的所有终端流量
· 阻断:仅阻断终端信息发生变化的流量;终端信息未发生变化的流量不会被阻断。
此功能仅在白名单模式下生效。
(1) 进入系统视图。
system-view
(2) 进入终端识别视图。
terminal-identification
(3) 引用IP地址对象组生成白名单。
allowlist object-group ipv4 object-group-name
缺省情况下,未引用IP地址对象组生成白名单。
(4) 配置终端识别白名单的动作。
allowlist action { drop | permit }
缺省情况下,放行白名单内的终端流量。
终端识别支持将终端审批为合法,即当管理员认为系统识别的终端信息准确可信时,系统可以将当前识别出的终端信息及其对应的IP地址自动记录下来作为合法凭证并展示在设备Web界面。
如果白名单动作为阻断,当白名单中的终端设备信息变化后,系统会丢弃这些终端的流量。若管理员认为变更后的终端可信,则可以使用该功能对变更后的终端进行审批合法,并放行变更后的流量。
此功能仅在白名单工作模式下生效。
(1) 进入系统视图。
system-view
(2) 进入终端识别视图。
terminal-identification
(3) 配置审批合法功能。
approved { all | ipv4 ipv4-address }
缺省情况下,未对终端进行审批。
当管理员认为终端设备状态不准确需更新时,可使用该功能重新识别终端设备。执行本功能后,系统将先删除前期已识别出的终端信息和已有的合法终端信息,然后对接入的终端进行重新识别与Web展示。
(1) 进入系统视图。
system-view
(2) 进入终端识别视图。
terminal-identification
(3) 配置终端信息重识别。
reidentify { all | ipv4 ipv4-address }
在完成上述配置后,在任意视图下执行display命令可以显示配置后终端识别的运行情况,通过查看显示信息验证配置的效果。
表1-1 终端识别显示和维护
|
操作 |
命令 |
|
显示预定义终端信息 |
display terminal-identification terminal predefined |
|
显示终端组信息 |
display terminal-identification terminal-group |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
