- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
18-终端识别配置
本章节下载: 18-终端识别配置 (346.86 KB)
目 录
终端识别是建立物联网安全连接的重要前提,只有识别出终端,管理员才能对其进行控制。当终端流量(例如摄像头和各类传感器等向管理端发送采集到的数据)流经设备时,系统可以提取出终端信息(例如终端的厂商、型号、MAC地址等)进行分析和识别,并在设备的Web界面展示识别出的终端信息。系统可对识别后的终端进行控制,并可以在终端信息发生变更时(包括初次识别终端信息和后续终端信息发生变化)向用户发送日志,以进行告警。
终端识别支持两种工作模式:
· 告警模式:此模式下,系统放行所有终端流量并发送告警信息。若系统检测到终端信息发生变化(包含首次识别出终端设备),则向用户发送日志进行告警。在安全控制要求比较宽松的场景中,可以采用此工作模式。
· 白名单模式:此模式下,系统仅会放行白名单中的终端流量并发送告警信息。若系统检测到白名单中的终端信息发生变化,则向用户发送日志进行告警。在安全控制要求较严格的场景中,可以采用此工作模式。
终端识别基于APR特征库识别终端信息,有关APR特征库的详细介绍,请参见“安全配置指导”中的“APR”。
终端识别的工作流程具体如下:
· 告警模式:如图1-1左图所示,此模式下,系统识别并放行所有终端流量,如果系统识别出终端信息发生变化,则向用户发送日志进行告警;否则,不会发送日志。
· 白名单模式:如图1-1右图所示,此模式下,终端识别对终端流量的处理流程如下:
a. 系统对终端流量进行识别,对于无法识别出具体信息的终端将其归为other类终端。无论识别结果是明确的终端设备信息,还是other类终端,系统均检查终端设备的IP地址是否在白名单内。
b. 如果终端设备IP地址在白名单范围内,系统将检测终端信息是否发生变化。若终端信息没有发生变化,则直接放行该终端流量。
c. 若终端信息发生变化,则向用户发送日志进行告警,系统将继续检测白名单的动作是否为放行。
d. 若白名单的动作为放行,则系统放行终端流量;否则,系统丢弃终端流量。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
系列 |
型号 |
说明 |
|
F5000系列 |
F5000-AI160、F5000-AI-160-G、F5000-AI-130-G、F5000-AI-120-G、F5000-AI-110-G、F5000-AI-55-G、F5000-AI-15-G、F5000-CN160、F5000-CN160-G、F5000-CN-G55、F5000-E-G、F5000-S-G2、F5000-M-G2、F5000-A-G2、F5080、F5030 |
支持 |
|
F1000系列 |
F1000-AK9130 |
不支持 |
|
F1000-AI-90、F1000-AI-90-G、F1000-AI-80-G、F1000-AI-75-G、F1000-AI-65-G、F1000-AI-55-G、F1000-AI-25 |
支持 |
终端识别配置任务如下:
(1) 配置终端识别的工作模式
(2) 配置用于识别终端地址的对象组
(3) 开启终端识别日志记录功能
(4) 配置终端识别白名单
(5) (可选)配置审批合法功能
(6) (可选)配置终端信息重识别
(7) (可选)配置终端组
(1) 进入系统视图。
system-view
(2) 进入终端识别视图。
terminal-identification
(3) 配置终端识别的工作模式。
work-mode { allowlist | warning }
缺省情况下,终端识别处于告警模式。
此功能用于准确识别终端设备的IP地址。缺省情况下,设备将报文的源IP地址识别为终端的IP地址,这种方式有时并不准确。例如,终端设备管理平台主动访问终端设备的报文,系统会把报文的源IP地址当做终端地址,此时就不准确了。可以通过配置地址对象组的方式来准确地确认终端地址。设备支持配置两种识别终端地址的对象组:
· 终端地址对象组:是指终端所在的地址对象组。当报文源/目的IP地址匹配终端地址对象组时,系统将报文的源/目的IP地址识别为终端地址。若报文源IP地址、目的IP地址同时匹配终端地址对象组,则将报文的源IP地址识别为终端地址。
· 管理地址对象组:是指管理终端设备的管理平台所在的地址对象组。当报文源/目的IP地址匹配管理地址对象组时,系统将报文的目的/源IP地址识别为终端地址。若报文源IP地址、目的IP地址同时匹配管理地址对象组,则将报文的目的IP地址识别为终端地址。
管理地址对象组优先级高于终端地址对象组,报文顺序匹配管理地址对象组及终端地址对象组。若成功匹配管理地址对象组,则停止匹配;否则,继续匹配终端地址对象组。如果报文的源/目的IP地址均不在地址对象组中,设备默认将报文的源IP地址识别为终端的IP地址。
进行以下配置之前,请完成终端地址对象组或管理地址对象组引用的IPv4或IPv6地址对象组的配置。有关IPv4或IPv6地址对象组的配置,请参见“安全配置指导”中的“对象组”。
(1) 进入系统视图。
system-view
(2) 进入终端识别视图。
terminal-identification
(3) 配置用于识别终端地址的对象组,请至少选择其中一项进行配置:
¡ 配置终端地址对象组。
terminal object-group { ipv4 | ipv6 } object-group-name
缺省情况下,未配置终端地址对象组。
¡ 配置管理地址对象组。
manage object-group { ipv4 | ipv6 } object-group-name
缺省情况下,未配置管理地址对象组。
当设备检测到终端信息发生变化时,系统产生日志,以进行告警。管理员既可以在设备Web界面查询到终端识别日志,又可以在日志主机上查阅日志信息(系统以快速日志的方式向日志主机发送日志信息),便于管理员及时地对终端进行处理。有关快速日志输出的详细介绍,请参见“网络管理和监控配置指导”中的“快速日志输出”。
(1) 进入系统视图。
system-view
(2) 进入终端识别视图。
terminal-identification
(3) 开启终端识别日志记录功能。
logging enable
缺省情况下,终端识别日志记录功能处于关闭状态。
终端识别白名单用于过滤终端流量,若终端设备的IP地址在白名单范围内,则系统放行该终端流量;否则,系统丢弃该终端流量。终端识别白名单支持配置两种动作,具体如下。
· 放行:放行白名单内的所有终端流量
· 阻断:仅阻断终端信息发生变化的流量;终端信息未发生变化的流量不会被阻断。
此功能仅在白名单模式下生效。
(1) 进入系统视图。
system-view
(2) 进入终端识别视图。
terminal-identification
(3) 引用IP地址对象组生成白名单。
allowlist object-group ipv4 object-group-name
缺省情况下,未引用IP地址对象组生成白名单。
(4) 配置终端识别白名单的动作。
allowlist action { drop | permit }
缺省情况下,放行白名单内的终端流量。
终端识别支持将终端审批为合法,即当管理员认为系统识别的终端信息准确可信时,系统可以将当前识别出的终端信息及其对应的IP地址自动记录下来作为合法凭证并展示在设备Web界面。
如果白名单动作为阻断,当白名单中的终端设备信息变化后,系统会丢弃这些终端的流量。若管理员认为变更后的终端可信,则可以使用该功能对变更后的终端进行审批合法,并放行变更后的流量。
此功能仅在白名单工作模式下生效。
(1) 进入系统视图。
system-view
(2) 进入终端识别视图。
terminal-identification
(3) 配置审批合法功能。
approved { all | ipv4 ipv4-address }
缺省情况下,未对终端进行审批。
当管理员认为终端设备状态不准确需更新时,可使用该功能重新识别终端设备。执行本功能后,系统将先删除前期已识别出的终端信息和已有的合法终端信息,然后对接入的终端进行重新识别与Web展示。
(1) 进入系统视图。
system-view
(2) 进入终端识别视图。
terminal-identification
(3) 配置终端信息重识别。
reidentify { all | ipv4 ipv4-address }
一个终端组,就是若干个终端的集合。可以将具有相似特征的终端添加到一个终端组中,方便管理员配置安全策略时引用终端对象,系统支持预定义终端和自定义终端组,用户可以根据需求自定义终端组。有关安全策略的配置,请参见“安全配置指导”中的“安全策略”。
(1) 进入系统视图。
system-view
(2) 进入终端识别视图。
terminal-identification
(3) 创建终端组,并进入终端组视图。
terminal-group group-name
(4) (可选)配置终端组的描述信息。
description text
缺省情况下,终端组的描述信息为“User-defined terminal group”。
(5) 向终端组内添加终端。
include terminal terminal-name
在完成上述配置后,在任意视图下执行display命令可以显示配置后终端识别的运行情况,通过查看显示信息验证配置的效果。
表1-1 终端识别显示和维护
|
操作 |
命令 |
|
显示预定义终端信息 |
display terminal-identification terminal predefined |
|
显示终端组信息 |
display terminal-identification terminal-group |
某单位视频监控网络中部署一台设备Device,实现对监控终端进行识别和管理,提升视频监控网络的安全防护能力。现需要在设备Device上配置终端识别功能,当有新的监控终端接入或已有终端发生变更时,设备能够识别终端信息,并能够在设备Web界面查看终端识别信息。
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 创建地址对象组
# 创建IPv4地址对象组management,将视频管理平台加入到management地址对象组,具体配置步骤如下。
[Device] object-group ip address management
[Device-obj-grp-ip-management] network host address 10.1.1.2
[Device-obj-grp-ip-management] quit
# 创建IPv4地址对象组terminal,将监控终端加入到terminal地址对象组,具体配置步骤如下。
[Device] object-group ip address terminal
[Device-obj-grp-ip-terminal] network subnet 20.1.1.0 24
[Device-obj-grp-ip-terminal] quit
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Unrust] quit
(4) 配置安全策略放行trust与untrust安全域之间的流量,确保视频管理平台与监控终端之间的流量互通。
# 配置名称为trust-untrsut的安全策规则,使视频管理平台能够访问监控终端,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-1-trust-untrust] source-zone trust
[Device-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-security-policy-ip-1-trust-untrust] source-ip management
[Device-security-policy-ip-1-trust-untrust] destination-ip terminal
[Device-security-policy-ip-1-trust-untrust] action pass
[Device-security-policy-ip-1-trust-untrust] quit
# 配置名称为untrust-trust的安全策略规则,使监控终端能够将监控视频流量发往视频管理平台,具体配置步骤如下。
[Device-security-policy-ip] rule name untrust-trust
[Device-security-policy-ip-2-untrust-trust] source-zone untrust
[Device-security-policy-ip-2-untrust-trust] destination-zone trust
[Device-security-policy-ip-2-untrust-trust] source-ip terminal
[Device-security-policy-ip-2-untrust-trust] destination-ip management
[Device-security-policy-ip-2-untrust-trust] action pass
[Device-security-policy-ip-2-untrust-trust] quit
[Device-security-policy-ip] quit
(5) 配置终端识别地址对象组
# 配置管理地址对象组及终端地址对象组,具体配置步骤如下。
[Device] terminal-identification
[Device-terminal-identification] manage object-group ipv4 management
[Device-terminal-identification] terminal object-group ipv4 terminal
(6) 配置终端识别的工作模式为告警模式,并开启终端识别日志记录功能。
[Device-terminal-identification] work-mode warning
[Device-terminal-identification] logging enable
[Device-terminal-identification] quit
配置完成后,新的监控终端接入或已有终端发生变更时,可以在设备Web界面查看终端识别信息。进入设备Web界面,选择“监控 > 终端信息 > 终端状态”,进入终端状态页面。选择“终端热力图”页签,可以查看终端识别信息。
某单位视频监控网络中部署一台设备Device,实现对监控终端进行识别和管理,提升视频监控网络的安全防护能力。现需要在设备Device上配置终端识别功能,满足以下业务需求:
· 监控终端首次上线时,设备识别出监控终端并阻断终端流量,在设备Web界面上可以查看终端信息。
· 设备将被阻断终端标识为合法终端并放行终端流量。
· 若监控终端发生变更,设备阻断其流量。
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 创建地址对象组
# 创建IPv4地址对象组management,将视频管理平台加入到management地址对象组,具体配置步骤如下。
[Device] object-group ip address management
[Device-obj-grp-ip-management] network host address 10.1.1.2
[Device-obj-grp-ip-management] quit
# 创建IPv4地址对象组terminal,将监控终端加入到terminal地址对象组,具体配置步骤如下。
[Device] object-group ip address terminal
[Device-obj-grp-ip-terminal] network subnet 20.1.1.0 24
[Device-obj-grp-ip-terminal] quit
# 创建IPv4地址对象组allowlist,将指定IP地址范围内的监控终端加入到allowlist地址对象组,具体配置步骤如下。
[Device] object-group ip address allowlist
[Device-obj-grp-ip-allowlist] network range 20.1.1.2 20.1.1.4
[Device-obj-grp-ip-allowlist] quit
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Unrust] quit
(4) 配置安全策略放行trust与untrust安全域之间的流量,确保视频管理平台与监控终端之间的流量互通。
# 配置名称为trust-untrsut的安全策规则,使视频管理平台能够访问监控终端,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-1-trust-untrust] source-zone trust
[Device-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-security-policy-ip-1-trust-untrust] source-ip management
[Device-security-policy-ip-1-trust-untrust] destination-ip terminal
[Device-security-policy-ip-1-trust-untrust] action pass
[Device-security-policy-ip-1-trust-untrust] quit
# 配置名称为untrust-trust的安全策略规则,使监控终端能够将监控视频流量发往视频管理平台,具体配置步骤如下。
[Device-security-policy-ip] rule name untrust-trust
[Device-security-policy-ip-2-untrust-trust] source-zone untrust
[Device-security-policy-ip-2-untrust-trust] destination-zone trust
[Device-security-policy-ip-2-untrust-trust] source-ip terminal
[Device-security-policy-ip-2-untrust-trust] destination-ip management
[Device-security-policy-ip-2-untrust-trust] action pass
[Device-security-policy-ip-2-untrust-trust] quit
[Device-security-policy-ip] quit
(5) 配置终端识别的工作模式为白名单模式,引用白名单地址对象组allowlist,白名单的动作为阻断,并开启终端识别日志记录功能。
[Device] terminal-identification
[Device-terminal-identification] work-mode allowlist
[Device-terminal-identification] allowlist object-group ipv4 allowlist
[Device-terminal-identification] allowlist action drop
[Device-terminal-identification] logging enable
(6) 配置终端识别地址对象组
# 配置管理地址对象组及终端地址对象组,具体配置步骤如下。
[Device-terminal-identification] manage object-group ipv4 management
[Device-terminal-identification] terminal object-group ipv4 terminal
(7) 配置审批合法功能
# 当监控终端首次上线时,系统识别终端信息并阻断终端流量。此时需配置审批合法功能,放行终端流量并将该终端标识为合法终端,具体配置步骤如下。
[Device-terminal-identification] approved all
[Device-terminal-identification] quit
配置完成后,当监控终端首次上线时,系统识别终端信息并阻断终端流量,可以在设备Web界面查看终端信息。进入设备Web界面,选择“监控 > 终端信息 > 终端状态”,进入终端状态页面。选择“终端热力图”页签,可以查看终端识别信息。执行审批合法功能后,系统放行终端流量并将其标识为合法终端,在“终端热力图”页签,可以查看合法终端信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
