• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

03-安全配置指导

目录

18-终端识别配置

本章节下载 18-终端识别配置  (346.86 KB)

18-终端识别配置


1 终端识别

1.1  终端识别简介

终端识别是建立物联网安全连接的重要前提,只有识别出终端,管理员才能对其进行控制。当终端流量(例如摄像头和各类传感器等向管理端发送采集到的数据)流经设备时,系统可以提取出终端信息(例如终端的厂商、型号、MAC地址等)进行分析和识别,并在设备的Web界面展示识别出的终端信息。系统可对识别后的终端进行控制,并可以在终端信息发生变更时(包括初次识别终端信息和后续终端信息发生变化)向用户发送日志,以进行告警。

1.1.1  工作模式

终端识别支持两种工作模式:

·     告警模式:此模式下,系统放行所有终端流量并发送告警信息。若系统检测到终端信息发生变化(包含首次识别出终端设备),则向用户发送日志进行告警。在安全控制要求比较宽松的场景中,可以采用此工作模式。

·     白名单模式:此模式下,系统仅会放行白名单中的终端流量并发送告警信息。若系统检测到白名单中的终端信息发生变化,则向用户发送日志进行告警。在安全控制要求较严格的场景中,可以采用此工作模式。

1.1.2  工作机制

1. 特征库

终端识别基于APR特征库识别终端信息,有关APR特征库的详细介绍,请参见“安全配置指导”中的“APR”。

2. 工作流程

终端识别的工作流程具体如下:

·     告警模式:如图1-1左图所示,此模式下,系统识别并放行所有终端流量,如果系统识别出终端信息发生变化,则向用户发送日志进行告警;否则,不会发送日志。

·     白名单模式:如图1-1右图所示,此模式下,终端识别对终端流量的处理流程如下:

a.     系统对终端流量进行识别,对于无法识别出具体信息的终端将其归为other类终端。无论识别结果是明确的终端设备信息,还是other类终端,系统均检查终端设备的IP地址是否在白名单内。

b.     如果终端设备IP地址在白名单范围内,系统将检测终端信息是否发生变化。若终端信息没有发生变化,则直接放行该终端流量。

c.     若终端信息发生变化,则向用户发送日志进行告警,系统将继续检测白名单的动作是否为放行。

d.     若白名单的动作为放行,则系统放行终端流量;否则,系统丢弃终端流量。

图1-1 终端识别两种工作模式流程图

 

1.2  终端识别与硬件适配关系

本特性的支持情况与设备型号有关,请以设备的实际情况为准。

系列

型号

说明

F5000系列

F5000-AI160、F5000-AI-160-G、F5000-AI-130-G、F5000-AI-120-G、F5000-AI-110-G、F5000-AI-55-G、F5000-AI-15-G、F5000-CN160、F5000-CN160-G、F5000-CN-G55、F5000-E-G、F5000-S-G2、F5000-M-G2、F5000-A-G2、F5080、F5030

支持

F1000系列

F1000-AK9130

不支持

F1000-AI-90、F1000-AI-90-G、F1000-AI-80-G、F1000-AI-75-G、F1000-AI-65-G、F1000-AI-55-G、F1000-AI-25

支持

 

 

1.3  终端识别配置任务简介

终端识别配置任务如下:

(1)     配置终端识别的工作模式

(2)     配置用于识别终端地址的对象组

(3)     开启终端识别日志记录功能

(4)     配置终端识别白名单

(5)     (可选)配置审批合法功能

(6)     (可选)配置终端信息重识别

(7)     (可选)配置终端组

1.4  配置终端识别的工作模式

1. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入终端识别视图。

terminal-identification

(3)     配置终端识别的工作模式。

work-mode { allowlist | warning }

缺省情况下,终端识别处于告警模式。

1.5  配置用于识别终端地址的对象组

1. 功能简介

此功能用于准确识别终端设备的IP地址。缺省情况下,设备将报文的源IP地址识别为终端的IP地址,这种方式有时并不准确。例如,终端设备管理平台主动访问终端设备的报文,系统会把报文的源IP地址当做终端地址,此时就不准确了。可以通过配置地址对象组的方式来准确地确认终端地址。设备支持配置两种识别终端地址的对象组:

·     终端地址对象组:是指终端所在的地址对象组。当报文源/目的IP地址匹配终端地址对象组时,系统将报文的源/目的IP地址识别为终端地址。若报文源IP地址、目的IP地址同时匹配终端地址对象组,则将报文的源IP地址识别为终端地址。

·     管理地址对象组:是指管理终端设备的管理平台所在的地址对象组。当报文源/目的IP地址匹配管理地址对象组时,系统将报文的目的/源IP地址识别为终端地址。若报文源IP地址、目的IP地址同时匹配管理地址对象组,则将报文的目的IP地址识别为终端地址。

管理地址对象组优先级高于终端地址对象组,报文顺序匹配管理地址对象组及终端地址对象组。若成功匹配管理地址对象组,则停止匹配;否则,继续匹配终端地址对象组。如果报文的源/目的IP地址均不在地址对象组中,设备默认将报文的源IP地址识别为终端的IP地址。

2. 配置准备

进行以下配置之前,请完成终端地址对象组或管理地址对象组引用的IPv4或IPv6地址对象组的配置。有关IPv4或IPv6地址对象组的配置,请参见“安全配置指导”中的“对象组”。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入终端识别视图。

terminal-identification

(3)     配置用于识别终端地址的对象组,请至少选择其中一项进行配置:

¡     配置终端地址对象组。

terminal object-group { ipv4 | ipv6 } object-group-name

缺省情况下,未配置终端地址对象组。

¡     配置管理地址对象组。

manage object-group { ipv4 | ipv6 } object-group-name

缺省情况下,未配置管理地址对象组。

1.6  开启终端识别日志记录功能

1. 功能简介

当设备检测到终端信息发生变化时,系统产生日志,以进行告警。管理员既可以在设备Web界面查询到终端识别日志,又可以在日志主机上查阅日志信息(系统以快速日志的方式向日志主机发送日志信息),便于管理员及时地对终端进行处理。有关快速日志输出的详细介绍,请参见“网络管理和监控配置指导”中的“快速日志输出”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入终端识别视图。

terminal-identification

(3)     开启终端识别日志记录功能。

logging enable

缺省情况下,终端识别日志记录功能处于关闭状态。

1.7  配置终端识别白名单

1. 功能简介

终端识别白名单用于过滤终端流量,若终端设备的IP地址在白名单范围内,则系统放行该终端流量;否则,系统丢弃该终端流量。终端识别白名单支持配置两种动作,具体如下。

·     放行:放行白名单内的所有终端流量

·     阻断:仅阻断终端信息发生变化的流量;终端信息未发生变化的流量不会被阻断。

2. 配置限制和指导

此功能仅在白名单模式下生效。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入终端识别视图。

terminal-identification

(3)     引用IP地址对象组生成白名单。

allowlist object-group ipv4 object-group-name

缺省情况下,未引用IP地址对象组生成白名单。

(4)     配置终端识别白名单的动作。

allowlist action { drop | permit }

缺省情况下,放行白名单内的终端流量。

1.8  配置审批合法功能

1. 功能简介

终端识别支持将终端审批为合法,即当管理员认为系统识别的终端信息准确可信时,系统可以将当前识别出的终端信息及其对应的IP地址自动记录下来作为合法凭证并展示在设备Web界面。

如果白名单动作为阻断,当白名单中的终端设备信息变化后,系统会丢弃这些终端的流量。若管理员认为变更后的终端可信,则可以使用该功能对变更后的终端进行审批合法,并放行变更后的流量。

2. 配置限制和指导

此功能仅在白名单工作模式下生效。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入终端识别视图。

terminal-identification

(3)     配置审批合法功能。

approved { all | ipv4 ipv4-address }

缺省情况下,未对终端进行审批。

1.9  配置终端信息重识别

1. 功能简介

当管理员认为终端设备状态不准确需更新时,可使用该功能重新识别终端设备。执行本功能后,系统将先删除前期已识别出的终端信息和已有的合法终端信息,然后对接入的终端进行重新识别与Web展示。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入终端识别视图。

terminal-identification

(3)     配置终端信息重识别。

reidentify { all | ipv4 ipv4-address }

1.10  配置终端组

1. 功能简介

一个终端组,就是若干个终端的集合。可以将具有相似特征的终端添加到一个终端组中,方便管理员配置安全策略时引用终端对象,系统支持预定义终端和自定义终端组,用户可以根据需求自定义终端组。有关安全策略的配置,请参见“安全配置指导”中的“安全策略”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入终端识别视图。

terminal-identification

(3)     创建终端组,并进入终端组视图。

terminal-group group-name

(4)     (可选)配置终端组的描述信息。

description text

缺省情况下,终端组的描述信息为“User-defined terminal group”。

(5)     向终端组内添加终端。

include terminal terminal-name

1.11  终端识别显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后终端识别的运行情况,通过查看显示信息验证配置的效果。

表1-1 终端识别显示和维护

操作

命令

显示预定义终端信息

display terminal-identification terminal predefined

显示终端组信息

display terminal-identification terminal-group

 

1.12  终端识别配置举例

1.12.1  终端识别支持告警模式配置举例

1. 组网需求

某单位视频监控网络中部署一台设备Device,实现对监控终端进行识别和管理,提升视频监控网络的安全防护能力。现需要在设备Device上配置终端识别功能,当有新的监控终端接入或已有终端发生变更时,设备能够识别终端信息,并能够在设备Web界面查看终端识别信息。

2. 组网图

3. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

(2)     创建地址对象组

# 创建IPv4地址对象组management,将视频管理平台加入到management地址对象组,具体配置步骤如下。

[Device] object-group ip address management

[Device-obj-grp-ip-management] network host address 10.1.1.2

[Device-obj-grp-ip-management] quit

# 创建IPv4地址对象组terminal,将监控终端加入到terminal地址对象组,具体配置步骤如下。

[Device] object-group ip address terminal

[Device-obj-grp-ip-terminal] network subnet 20.1.1.0 24

[Device-obj-grp-ip-terminal] quit

(3)     配置接口加入安全域

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Unrust] quit

(4)     配置安全策略放行trust与untrust安全域之间的流量,确保视频管理平台与监控终端之间的流量互通。

# 配置名称为trust-untrsut的安全策规则,使视频管理平台能够访问监控终端,具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name trust-untrust

[Device-security-policy-ip-1-trust-untrust] source-zone trust

[Device-security-policy-ip-1-trust-untrust] destination-zone untrust

[Device-security-policy-ip-1-trust-untrust] source-ip management

[Device-security-policy-ip-1-trust-untrust] destination-ip terminal

[Device-security-policy-ip-1-trust-untrust] action pass

[Device-security-policy-ip-1-trust-untrust] quit

# 配置名称为untrust-trust的安全策略规则,使监控终端能够将监控视频流量发往视频管理平台,具体配置步骤如下。

[Device-security-policy-ip] rule name untrust-trust

[Device-security-policy-ip-2-untrust-trust] source-zone untrust

[Device-security-policy-ip-2-untrust-trust] destination-zone trust

[Device-security-policy-ip-2-untrust-trust] source-ip terminal

[Device-security-policy-ip-2-untrust-trust] destination-ip management

[Device-security-policy-ip-2-untrust-trust] action pass

[Device-security-policy-ip-2-untrust-trust] quit

[Device-security-policy-ip] quit

(5)     配置终端识别地址对象组

# 配置管理地址对象组及终端地址对象组,具体配置步骤如下。

[Device] terminal-identification

[Device-terminal-identification] manage object-group ipv4 management

[Device-terminal-identification] terminal object-group ipv4 terminal

(6)     配置终端识别的工作模式为告警模式,并开启终端识别日志记录功能。

[Device-terminal-identification] work-mode warning

[Device-terminal-identification] logging enable

[Device-terminal-identification] quit

4. 验证配置

配置完成后,新的监控终端接入或已有终端发生变更时,可以在设备Web界面查看终端识别信息。进入设备Web界面,选择“监控 > 终端信息 > 终端状态”,进入终端状态页面。选择“终端热力图”页签,可以查看终端识别信息。

1.12.2  终端识别支持白名单模式配置举例

1. 组网需求

某单位视频监控网络中部署一台设备Device,实现对监控终端进行识别和管理,提升视频监控网络的安全防护能力。现需要在设备Device上配置终端识别功能,满足以下业务需求:

·     监控终端首次上线时,设备识别出监控终端并阻断终端流量,在设备Web界面上可以查看终端信息。

·     设备将被阻断终端标识为合法终端并放行终端流量。

·     若监控终端发生变更,设备阻断其流量。

2. 组网图

3. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

(2)     创建地址对象组

# 创建IPv4地址对象组management,将视频管理平台加入到management地址对象组,具体配置步骤如下。

[Device] object-group ip address management

[Device-obj-grp-ip-management] network host address 10.1.1.2

[Device-obj-grp-ip-management] quit

# 创建IPv4地址对象组terminal,将监控终端加入到terminal地址对象组,具体配置步骤如下。

[Device] object-group ip address terminal

[Device-obj-grp-ip-terminal] network subnet 20.1.1.0 24

[Device-obj-grp-ip-terminal] quit

# 创建IPv4地址对象组allowlist,将指定IP地址范围内的监控终端加入到allowlist地址对象组,具体配置步骤如下。

[Device] object-group ip address allowlist

[Device-obj-grp-ip-allowlist] network range 20.1.1.2 20.1.1.4

[Device-obj-grp-ip-allowlist] quit

(3)     配置接口加入安全域

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Unrust] quit

(4)     配置安全策略放行trust与untrust安全域之间的流量,确保视频管理平台与监控终端之间的流量互通。

# 配置名称为trust-untrsut的安全策规则,使视频管理平台能够访问监控终端,具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name trust-untrust

[Device-security-policy-ip-1-trust-untrust] source-zone trust

[Device-security-policy-ip-1-trust-untrust] destination-zone untrust

[Device-security-policy-ip-1-trust-untrust] source-ip management

[Device-security-policy-ip-1-trust-untrust] destination-ip terminal

[Device-security-policy-ip-1-trust-untrust] action pass

[Device-security-policy-ip-1-trust-untrust] quit

# 配置名称为untrust-trust的安全策略规则,使监控终端能够将监控视频流量发往视频管理平台,具体配置步骤如下。

[Device-security-policy-ip] rule name untrust-trust

[Device-security-policy-ip-2-untrust-trust] source-zone untrust

[Device-security-policy-ip-2-untrust-trust] destination-zone trust

[Device-security-policy-ip-2-untrust-trust] source-ip terminal

[Device-security-policy-ip-2-untrust-trust] destination-ip management

[Device-security-policy-ip-2-untrust-trust] action pass

[Device-security-policy-ip-2-untrust-trust] quit

[Device-security-policy-ip] quit

(5)     配置终端识别的工作模式为白名单模式,引用白名单地址对象组allowlist,白名单的动作为阻断,并开启终端识别日志记录功能。

[Device] terminal-identification

[Device-terminal-identification] work-mode allowlist

[Device-terminal-identification] allowlist object-group ipv4 allowlist

[Device-terminal-identification] allowlist action drop

[Device-terminal-identification] logging enable

(6)     配置终端识别地址对象组

# 配置管理地址对象组及终端地址对象组,具体配置步骤如下。

[Device-terminal-identification] manage object-group ipv4 management

[Device-terminal-identification] terminal object-group ipv4 terminal

(7)     配置审批合法功能

# 当监控终端首次上线时,系统识别终端信息并阻断终端流量。此时需配置审批合法功能,放行终端流量并将该终端标识为合法终端,具体配置步骤如下。

[Device-terminal-identification] approved all

[Device-terminal-identification] quit

4. 验证配置

配置完成后,当监控终端首次上线时,系统识别终端信息并阻断终端流量,可以在设备Web界面查看终端信息。进入设备Web界面,选择“监控 > 终端信息 > 终端状态”,进入终端状态页面。选择“终端热力图”页签,可以查看终端识别信息。执行审批合法功能后,系统放行终端流量并将其标识为合法终端,在“终端热力图”页签,可以查看合法终端信息。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们