• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

04-DPI深度安全配置指导

目录

15-物联网设备安全管理配置

本章节下载 15-物联网设备安全管理配置  (403.59 KB)

15-物联网设备安全管理配置


1 物联网设备安全管理

1.1  物联网设备安全管理简介

1.1.1  背景介绍

随着科学技术的快速发展,“万物互联”的物联网时代正在来临。

物联网(IoT)是数字转型时代最重要的技术之一,意在将一切都连接到互联网。相较于传统的互联网,物联网连接的设备种类繁多、数量巨大、作用范围广,很多设备都处于偏僻无人看管的状态。因此它们面临的危险和漏洞也随之增加。例如视频安全系统中很多的终端摄像机都是处在偏僻角落监控周围环境。当前物联网面临的安全挑战主要有以下几种:

·     非标准设备接入

·     设备被非法替换

·     数据泄露和数据篡改

·     拒绝服务攻击

而利用物联网安全管理相关功能可以很好的保障物联网内部的安全,克服以上挑战,防止信息泄露和网络攻击,保障用户的财产安全。

图1-1 视频安全管理组网

1.1.2  主要功能

物联网设备安全管理是一种针对物联网设备进行智能检测、安全管理的技术,主要功能包括:

·     标准格式检查:根据不同的物联网设备标准,对物联网设备流量进行检查,确定流量是否符合相关物联网标准。此功能可以有效的避免非标准设备的接入。

·     设备准入控制:根据不同的物联网设备标准以及管理员配置的设备信息对物联网设备流量进行检查,从而达到只有被允许的物联网设备发出的流量才能通行的目的。此功能可以有效地避免设备被篡改的情况。

·     敏感信令控制:根据不同的物联网设备标准,对物联网设备流量进行敏感信令识别,通过将流量信息与管理员配置的敏感信令进行匹配,实现对相关敏感信令进行过滤的功能。此功能可以检测出物联网设备流量中的查询、准入、控制等敏感行为,从而有效的避免数据泄露和数据篡改。

·     标准流量管控:根据不同的标准流量管控策略,对物联网设备流量进行检测,通过将单一设备编码的请求发生次数、频率等信息与管理员设置的阈值进行比较,实现对请求方设备进行流量管控的功能。此功能可以有效的避免拒绝服务攻击。

图1-2所示,如果设备同时配置了标准格式检查、设备准入控制、敏感信令控制和标准流量管控中的多个功能,设备会按照上述出现顺序依次对报文进行处理,途中如果报文被丢弃将不进行后续处理。

图1-2 各功能处理顺序图

 

1.2  物联网设备安全管理的License要求

敏感信令控制功能是根据APR(Application Recognition,应用层协议识别)特征库中的敏感信令信息来对流量进行识别从而实现敏感信令过滤的功能,因此请及时更新APR特征库到最新版本。

APR特征库的升级需要购买并正确安装License后才能使用。License过期后,APR功能可以采用设备中已有的APR特征库正常工作,但无法升级特征库。关于APR特征库升级的方法,请参见“安全配置指导”中的“APR”。

1.3  物联网设备安全管理配置限制和指导

目前,物联网设备安全管理相关功能仅支持对采用GB/T 28181、GB 35114、GA/T 1400标准的物联网设备进行智能检测和管理。

1.4  配置任务简介

物联网设备安全管理配置任务如下:

(1)     配置标准格式检查功能

(2)     配置设备准入控制功能

¡     配置设备准入控制基础功能

¡     配置设备检测时间

¡     (可选)配置重认证功能

(3)     配置敏感信令控制功能

(4)     配置标准流量管控功能

¡     配置标准流量管控基础功能

¡     配置告警周期

¡     (可选)移动标准流量管控策略的位置

1.5  配置标准格式检查功能

1. 功能简介

标准格式检查功能可以根据配置检查流经设备的物联网相关流量是否符合相关的物联网标准,从而避免不符合相关标准的非法设备接入物联网。

图1-3 标准格式检查流程图

 

标准格式检查实现流程如下:

(2)     对于流经设备的物联网相关流量,设备会判断它的源地址是否在白名单之内,在白名单内的流量将会直接放行。

(3)     对于不在白名单内的流量,设备会根据它的源地址来判断是否需要进行格式检查。不需要进行格式检查的流量将会直接放行。可以分别配置IPv4、IPv6、MAC源地址对象组作为匹配报文源地址的过滤条件。相同类型的地址对象组只能存在一个。不同类型的地址对象组之间是“或”的关系,即只要有一个对象组匹配就算匹配成功。

(4)     如果需要进行格式检查,设备会根据管理员配置的行政区域属性、设备编码、物联网设备类型、接口方法等检测属性来判断流量是否满足相关的物联网标准,所有检测属性都满足标准的流量会直接放行。

(5)     对于不满足标准的流量,设备会根据管理员配置的动作将其丢弃或者放行。

2. 配置限制和指导

设备只对满足过滤条件的物联网相关流量进行检查,其他物联网相关流量会直接放行。因此建议管理员配置过滤条件时将所有物联网设备都包含在内。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入物联网设备安全管理视图。

iot security-manage

(3)     进入格式检查视图。

format-check

(4)     进入格式检查标准视图。

standard standard-type

(5)     配置作为格式检查过滤条件的源地址对象组。

source-address object-group { ipv4 | ipv6 | mac } object-group-name

缺省情况下,未配置作为格式检查过滤条件的源地址对象组。

(6)     配置标准检测属性。

inspect-attribute { administrative-area | device-id | device-type | interface-method } *

缺省情况下,未配置检测属性。

(7)     配置格式检查失败执行动作

action { drop | permit } [ logging ]

缺省情况下,格式检查失败执行动作为允许,不输出日志。

(8)     开启指定标准的格式检查功能

enable

缺省情况下,标准的格式检查功能处于关闭状态。

(9)     退回格式检查视图。

quit

(10)     (可选)配置格式检查白名单

format-allowlist object-group { ipv4 | ipv6 | mac } object-group-name

缺省情况下,未配置格式检查白名单。

当管理员对物联网接入设备非常信任或发现格式检查存在误报的情况时,可以将选中的地址对象组加入到白名单以提高设备处理效率或减少误报。

1.6  配置设备准入控制功能

1.6.1  配置设备准入控制基础功能

1. 功能简介

设备准入控制功能可以根据配置的设备认证信息检查流经设备的所有流量是否可以在设备上转发。从而避免非信任设备接入物联网或者设备被替换的情况发生。

图1-4 设备准入控制流程图

 

设备准入控制实现流程如下:

(2)     对于流经设备的全部流量,设备会判断它的源地址是否在白名单之内,在白名单内的流量将会直接放行。

(3)     对于不在白名单内的流量,设备会根据它的源地址来判断是否需要进行设备准入控制。不需要进行设备准入控制的流量将会直接丢弃。可以分别配置IPv4、IPv6、MAC源地址对象组作为匹配报文源地址的过滤条件。相同类型的地址对象组只能存在一个。不同类型的地址对象组之间是“或”的关系,即只要有一个对象组匹配就算匹配成功。

(4)     如果需要进行设备准入控制,设备会根据管理员配置的IP地址、MAC地址、设备编码、标准等设备认证信息来判断流量是否可以在设备上转发,满足所有认证信息的流量会直接放行。

(5)     对于不满足认证信息的流量,设备会根据管理员配置的动作将其丢弃或者放行。

2. 配置限制和指导

设备准入控制功能会将不满足过滤条件的所有流量进行阻断,包括不属于GB/T 28181、GB 35114、GA/T 1400标准的流量,因此建议用户在不需要时关闭该功能。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入物联网设备安全管理视图。

iot security-manage

(3)     进入设备准入控制视图。

access-control

(4)     配置作为设备准入控制过滤条件的源地址对象组。

source-address object-group { ipv4 | ipv6 | mac } object-group-name

缺省情况下,未配置作为设备准入控制过滤条件的源地址对象组。

(5)     配置物联网设备的认证信息。

device-info { { ipv4 ipv4-address | ipv6 ipv6-address } | mac mac-address } * [ device-id id { standard standard-type } &<1-n> ]

缺省情况下,未配置物联网设备的认证信息。

(6)     (可选)批量导入物联网设备信息。

import-device-info file-path

(7)     配置认证失败时设备准入控制所执行的动作。

action { drop | permit } [ logging ]

缺省情况下,认证失败时设备准入控制所执行的动作为允许,不输出日志。

(8)     开启设备准入控制功能。

enable

缺省情况下,设备准入控制功能处于关闭状态。

(9)     (可选)配置设备准入控制白名单。

access-allowlist object-group { ipv4 | ipv6 | mac } object-group-name

缺省情况下,未配置设备准入控制白名单。

当管理员对物联网接入设备非常信任或发现设备准入控制存在误报的情况时,可以将选中的地址对象组加入到白名单以提高设备处理效率或减少误报。

1.6.2  配置设备检测时间

1. 功能简介

如果报文中采集到的物联网设备信息不完整,设备将无法对接入的设备完成认证操作。此时需要配置合适的设备检测时间。

在检测时间范围内,如果设备采集到所需的完整物联网设备认证信息,设备会进行认证操作。针对暂时无法采集完整物联网设备信息的报文,设备将会持续采集每个报文中的物联网设备信息进行认证。如果在超过检测时间后仍然无法采集到所需的完整信息,则直接标记为认证失败。设备会将获取到完整所需信息之前的流量,按照管理员指定的认证失败动作进行处理。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入物联网设备安全管理视图。

iot security-manage

(3)     进入设备准入控制视图。

access-control

(4)     配置设备检测时间

detect-duration time

缺省情况下,设备检测时间为60秒。

1.6.3  配置重认证功能

1. 功能简介

当管理员通过物联网相关的管理平台修改物联网设备本身的设备编码、使用的标准类型等信息时,由于该物联网设备之前已经认证成功,因此可能会出现修改物联网设备信息后认证不准确的情况。此时可以使用本功能对指定的流量进行重新认证。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入物联网设备安全管理视图。

iot security-manage

(3)     进入设备准入控制视图。

access-control

(4)     对配置的物联网设备进行重认证操作。

re-authenticate { all | { ipv4 ipv4-address | ipv6 ipv6-address } [ mac mac-address ] | mac mac-address }

1.7  配置敏感信令控制功能

1. 功能简介

敏感信令控制功能可以根据配置检查流经设备的物联网相关流量是否含有查询、准入、控制等敏感行为信令,从而有效的避免数据泄露和数据篡改。

图1-5 敏感信令控制流程图

 

敏感信令控制实现流程如下:

(2)     对于流经设备的物联网相关流量,设备会判断它的源地址是否在白名单之内,在白名单内的流量将会直接放行。

(3)     对于不在白名单内的流量,设备会根据它的源地址来判断是否需要进行敏感信令控制。不需要进行敏感信令控制的流量将会直接放行。可以分别配置IPv4、IPv6、MAC源地址对象组作为匹配报文源地址的过滤条件。相同类型的地址对象组只能存在一个。不同类型的地址对象组之间是“或”的关系,即只要有一个对象组匹配就算匹配成功。

(4)     如果需要进行敏感信令控制,设备会检查流量中是否含有用户指定的敏感信令,不含有敏感信令的流量会直接放行。

(5)     对于含有敏感信令的流量,设备会根据管理员配置的动作将其丢弃或者放行。

2. 配置限制和指导

设备只对满足过滤条件的物联网相关流量进行检查,其他物联网相关流量会直接放行。因此建议管理员配置过滤条件时将所有物联网设备都包含在内。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入物联网设备安全管理视图。

iot security-manage

(3)     进入敏感信令控制视图。

signal-control

(4)     进入敏感信令标准视图。

standard standard-type

(5)     配置作为敏感信令控制过滤条件的源地址对象组。

source-address object-group { ipv4 | ipv6 | mac } object-group-name

缺省情况下,未配置作为敏感信令控制过滤条件的源地址对象组。

(6)     选择指定标准的敏感信令。

signal-select category category-name [ signal signal-name ]

缺省情况下,未选择任何标准的敏感信令。

(7)     配置敏感信令执行动作

action { drop | permit } [ logging ]

缺省情况下,敏感信令执行动作为允许,不输出日志。

(8)     开启指定标准的敏感信令控制功能

enable

缺省情况下,敏感信令控制功能处于关闭状态

(9)     退回敏感信令控制视图。

quit

(10)     (可选)配置敏感信令白名单。

signal-allowlist object-group { ipv4 | ipv6 | mac } object-group-name

缺省情况下,未配置敏感信令白名单。

当管理员对物联网接入设备非常信任或发现敏感信令控制存在误报的情况时,可以将选中的地址对象组加入到白名单以提高设备处理效率或减少误报。

1.8  配置标准流量管控功能

1.8.1  配置标准流量管控基础功能

1. 功能简介

标准流量管控功能可以根据需要来配置不同的标准流量管控策略,对流经设备的物联网设备流量进行检测,当出现有物联网设备大量发送请求或者短期内发送请求频率过高时可以根据配置将该设备发送的流量丢弃,从而避免系统遭受到拒绝服务攻击。

图1-6 标准流量管控流程图

 

标准流量管控实现流程如下:

(2)     对于流经设备的物联网相关流量,设备会根据管理员配置的标准流量管控策略中的请求方设备编码、IP地址、MAC地址、物联网相关标准等过滤条件来判断是否需要进行标准流量管控。

(3)     如果报文与某条标准流量管控策略中所有种类的过滤条件都匹配成功(每种过滤条件的多个匹配项之间是或的关系,即报文与某一类过滤条件中的任意一个匹配项匹配成功,则报文与该类过滤条件匹配成功),则报文与此条标准流量管控策略匹配成功。若有一类过滤条件不匹配,则报文与此条标准流量管控策略匹配失败,报文继续匹配下一条标准流量管控策略。以此类推,直到最后一条标准流量管控策略,若报文还未与规则匹配成功,则不对流量进行标准流量管控。

(4)     如果需要进行标准流量管控,设备会根据用户配置的单设备发出请求次数和单设备发出请求频率等判定条件来判断流量是否需要执行管理员配置的标准流量管控策略的执行动作。对于未达到判定条件阈值的流量,设备会直接放行。

(5)     对于达到判定条件阈值的流量,设备会根据管理员配置的动作将其丢弃或者放行。

2. 配置限制和指导

设备只对满足过滤条件的物联网相关流量进行检查,其他物联网相关流量会直接放行。因此建议管理员配置过滤条件时将所有物联网设备都包含在内。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入物联网设备安全管理视图。

iot security-manage

(3)     进入标准流量管控视图。

flow-control

(4)     进入标准流量管控策略视图。

policy name policy-name

(5)     配置作为标准流量管控策略过滤条件的源地址对象组。

match-address-object { ipv4 | ipv6 } object-group-name

缺省情况下,未配置作为标准流量管控策略过滤条件的源地址对象组。

(6)     配置作为标准流量管控策略过滤条件的标准类型。

match-standard standard-type

缺省情况下,未配置作为标准流量管控策略过滤条件的标准类型。

(7)     配置作为标准流量管控策略过滤条件的物联网设备信息。

match-device-info device-id device-id [ ipv4 ipv4-address | ipv6 ipv6-address ] [ mac mac-address ]

缺省情况下,未配置作为标准流量管控策略过滤条件的物联网设备信息。

(8)     配置标准流量管控策略执行的判定条件。

judge-condition { requests-per-id number | request-rate-per-id rate } *

缺省情况下,未配置标准流量管控策略执行的判定条件。

(9)     配置策略执行的判定条件关系。

judge-logic { and | or }

缺省情况下,判定条件关系为或的关系。

(10)     配置标准流量管控策略的执行动作。

flow-action { drop | permit } [ logging ]

缺省情况下,标准流量管控策略的执行动作为允许,不输出日志。

(11)     (可选)禁用指定的标准流量管控策略。

disable

缺省情况下,标准流量管控策略处于开启状态。

1.8.2  配置告警周期

1. 功能简介

为了避免设备持续发送大量标准流量管控日志而对设备性能造成影响,可以通过本功能来设置标准流量管控日志发送的周期。当有物联网接入设备命中策略需要发送标准流量管控日志时,设备会判断距上一次该接入设备命中相同的策略时发送日志的时间是否超过告警周期,超过则发送日志,不超过则不发送日志。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入物联网设备安全管理视图。

iot security-manage

(3)     进入标准流量管控视图。

flow-control

(4)     配置告警周期。

warning-period time

缺省情况下,告警周期为5分钟。

1.8.3  移动标准流量管控策略的位置

1. 功能简介

设备根据标准流量管控策略在设备上显示的顺序从上到下对流量进行匹配,一旦匹配上某个标准流量管控策略便结束此匹配过程,并根据该策略中指定的动作对此流量进行处理;如果流量没有匹配上任何规则,则允许该流量通过。

为了使设备上部署的标准流量管控功能达到更好、更严谨的效果,因此配置标准流量管控策略时要遵循“先精细后宽泛”的原则。如果发现设备中已配置的标准流量管控策略之间的顺序不符合这个原则,则可以通过移动标准流量管控策略的功能来调整标准流量管控策略之间的顺序。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入物联网设备安全管理视图。

iot security-manage

(3)     进入标准流量管控视图。

flow-control

(4)     (可选)移动标准流量管控策略的位置

policy move policy-name1 { after | before } [ policy-name2 ]

1.9  物联网设备安全管理显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后物联网设备安全管理处理业务的统计信息。在用户视图下,执行reset命令可以清除物联网设备安全管理的统计信息。

表1-1 物联网设备安全管理显示和维护

操作

命令

显示特征库中支持的所有物联网设备敏感信令详情

display iot security-manage signal-control signal-detail

显示标准流量管控功能中策略统计信息

display iot security-manage flow-control statistics policy name policy-name [ slot slot-number ]

清除标准流量管控策略内所有请求方设备编码的统计信息

reset iot security-manage flow-control statistics policy name policy-name

 

1.10  物联网设备安全管理配置举例

1.10.1  标准格式检查功能配置举例

1. 组网需求

图1-7所示,Device分别通过Trust安全域和Untrust安全域与物联网管理设备和终端设备相连。现要求设备根据GB/T 28181标准对物联网接入设备流量进行检查,避免有不使用GB/T 28181标准的物联网设备接入网络。

2. 组网图

图1-7 标准格式检查功能配置组网图

3. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

(2)     配置接口加入安全域

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(3)     配置地址对象组

# 创建名为abc的IP地址对象组,并将地址为192.168.2.0,掩码为255.255.255.0的IPv4子网地址加入到对象组中。具体配置步骤如下。

[Device] object-group ip address abc

[Device-obj-grp-ip-web] network subnet 192.168.2.0 255.255.255.0

[Device-obj-grp-ip-web] quit

(4)     配置标准格式检查功能

# 配置标准格式检查功能,对物联网接入设备进行检查,只有符合GB/T 28181标准的物联网设备的流量才会被放行,不符合标准的流量会被丢弃并发送日志。

[Device] iot security-manage

[Device-iot-sec] format-check

[Device-iot-sec-format-check] standard GBT28181

[Device-iot-sec-format-check-GBT28181] source-address object-group ipv4 abc

[Device-iot-sec-format-check-GBT28181] inspect-attribute administrative-area device-id device-type interface-method

[Device-iot-sec-format-check-GBT28181] action drop logging

[Device-iot-sec-format-check-GBT28181] enable

[Device-iot-sec-format-check-GBT28181] quit

[Device-iot-sec-format-check] quit

[Device-iot-sec] quit

(5)     配置安全策略

# 配置名称为trust-untrust的安全策略规则,使两端的物联网设备可以互访。具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name trust-untrust

[Device-security-policy-ip-1-trust-untrust] source-zone trust

[Device-security-policy-ip-1-trust-untrust] source-zone untrust

[Device-security-policy-ip-1-trust-untrust] destination-zone trust

[Device-security-policy-ip-1-trust-untrust] destination-zone untrust

[Device-security-policy-ip-1-trust-untrust] action pass

[Device-security-policy-ip-1-trust-untrust] quit

[Device-security-policy-ip] quit

4. 验证配置

以上配置生效后,物联网设备只有使用GB/T 28181标准格式才可以与管理平台进行通信,不使用GB/T 28181标准格式将无法与管理平台进行通信。

1.10.2  设备准入控制功能配置举例

1. 组网需求

图1-8所示,Device分别通过Trust安全域和Untrust安全域与物联网管理设备和终端设备相连。现要求设备根据不同的物联网设备标准以及管理员配置的设备信息对物联网设备流量进行检查,从而达到只有允许的物联网设备发出的流量才能通行的目的,避免物联网设备被篡改的情况发生。

2. 组网图

图1-8 设备准入控制功能配置组网图

3. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

(2)     配置接口加入安全域

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(3)     配置地址对象组

# 创建名为abc的IP地址对象组,并将地址为192.168.2.0,掩码为255.255.255.0的IPv4子网地址加入到对象组中。具体配置步骤如下。

[Device] object-group ip address abc

[Device-obj-grp-ip-web] network subnet 192.168.2.0 255.255.255.0

[Device-obj-grp-ip-web] quit

(4)     配置设备准入控制功能

# 配置设备准入控制功能,对物联网接入设备进行检查,只有与管理员配置的设备认证信息一致的物联网设备的流量才会被放行,不一致的物联网设备的流量会被丢弃并发送日志(此处仅配置一条设备信息进行举例)。

[Device] iot security-manage

[Device-iot-sec] access-control

[Device-iot-sec-access-control] source-address object-group ipv4 abc

[Device-iot-sec-access-control] device-info ipv4 192.168.2.2 device-id 12345678901234567890 standard GBT28181 GB35114 GAT1400

[Device-iot-sec-access-control] action drop logging

[Device-iot-sec-access-control] enable

[Device-iot-sec-access-control] quit

[Device-iot-sec] quit

(5)     配置安全策略

# 配置名称为trust-untrust的安全策略规则,使两端的物联网设备可以互访。具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name trust-untrust

[Device-security-policy-ip-1-trust-untrust] source-zone trust

[Device-security-policy-ip-1-trust-untrust] source-zone untrust

[Device-security-policy-ip-1-trust-untrust] destination-zone trust

[Device-security-policy-ip-1-trust-untrust] destination-zone untrust

[Device-security-policy-ip-1-trust-untrust] action pass

[Device-security-policy-ip-1-trust-untrust] quit

[Device-security-policy-ip] quit

4. 验证配置

以上配置生效后,物联网设备只有设备信息与管理员配置的设备认证信息一致才可以与管理平台进行通信,认证失败的设备将无法与管理平台进行通信。

1.10.3  敏感信令控制功能配置举例

1. 组网需求

图1-9所示,Device分别通过Trust安全域和Untrust安全域与物联网管理设备和终端设备相连。现要求设备对物联网接入设备的流量进行敏感信令识别,通过将流量信息与管理员配置的敏感信令进行匹配,查找报文中是否含有查询信息的敏感行为。对于GB/T 28181标准的流量,如果报文中含有查询信息的敏感行为,该报文将会被丢弃,从而避免数据泄露。

2. 组网图

图1-9 敏感信令控制功能配置组网图

3. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

(2)     配置接口加入安全域

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(3)     配置地址对象组

# 创建名为abc的IP地址对象组,并将地址为192.168.2.0,掩码为255.255.255.0的IPv4子网地址加入到对象组中。具体配置步骤如下。

[Device] object-group ip address abc

[Device-obj-grp-ip-web] network subnet 192.168.2.0 255.255.255.0

[Device-obj-grp-ip-web] quit

(4)     配置敏感信令控制功能

# 配置敏感信令控制功能,对使用GB/T 28181标准的物联网接入设备发出的流量进行检查。只有不包含查询信息的敏感行为的流量才会被放行,反之设备会丢弃该流量并发送日志。

[Device] iot security-manage

[Device-iot-sec] signal-control

[Device-iot-sec-signal-control] standard GBT28181

[Device-iot-sec-signal-control-GBT28181] source-address object-group ipv4 abc

[Device-iot-sec-signal-control-GBT28181] signal-select category queryclass

[Device-iot-sec-signal-control-GBT28181] action drop logging

[Device-iot-sec-signal-control-GBT28181] enable

[Device-iot-sec-signal-control-GBT28181] quit

[Device-iot-sec-signal-control] quit

[Device-iot-sec] quit

(5)     配置安全策略

# 配置名称为trust-untrust的安全策略规则,使两端的物联网设备可以互访。具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name trust-untrust

[Device-security-policy-ip-1-trust-untrust] source-zone trust

[Device-security-policy-ip-1-trust-untrust] source-zone untrust

[Device-security-policy-ip-1-trust-untrust] destination-zone trust

[Device-security-policy-ip-1-trust-untrust] destination-zone untrust

[Device-security-policy-ip-1-trust-untrust] action pass

[Device-security-policy-ip-1-trust-untrust] quit

[Device-security-policy-ip] quit

4. 验证配置

以上配置生效后,对于GB/T 28181标准格式的流量,如果含有删除信息的敏感行为将会被丢弃。

1.10.4  标准流量管控功能配置举例

1. 组网需求

图1-10所示,Device分别通过Trust安全域和Untrust安全域与物联网管理设备和终端设备相连。现要求设备根据不同的标准流量管控策略对流量进行检测。如果有物联网接入设备使用GB/T 28181标准并且匹配上了策略中的设备信息,设备会将该物联网接入设备的请求发生次数等信息与管理员设置的阈值进行比较,实现对请求方设备进行流量管控的功能。从而避免拒绝服务攻击。

2. 组网图

图1-10 标准流量管控功能配置组网图

3. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

(2)     配置接口加入安全域

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(3)     配置地址对象组

# 创建名为abc的IP地址对象组,并将地址为192.168.2.0,掩码为255.255.255.0的IPv4子网地址加入到对象组中。具体配置步骤如下。

[Device] object-group ip address abc

[Device-obj-grp-ip-web] network subnet 192.168.2.0 255.255.255.0

[Device-obj-grp-ip-web] quit

(4)     配置标准流量管控功能

# 配置标准流量管控策略p1,对物联网接入设备进行检查。如果某台物联网接入设备匹配上了该策略,设备会计算这台物联网接入设备发出请求的总次数。当发出请求的总次数超出12次时,这台物联网接入设备发出的流量将会被丢弃(此处仅配置一条设备信息进行举例)。

[Device] iot security-manage

[Device-iot-sec] flow-control

[Device-iot-sec-flow-control] policy name p1

[Device-iot-sec-flow-control-policy-p1] source-address object-group ipv4 abc

[Device-iot-sec-flow-control-policy-p1] match-standard GBT28181

[Device-iot-sec-flow-control-policy-p1] match-device-info device-id 12345678901234567890 ipv4 192.168.2.2

[Device-iot-sec-flow-control-policy-p1] judge-condition requests-per-id 12

[Device-iot-sec-flow-control-policy-p1] flow-action drop

[Device-iot-sec-flow-control-policy-p1] quit

[Device-iot-sec-flow-control] quit

[Device-iot-sec] quit

(5)     配置安全策略

# 配置名称为trust-untrust的安全策略规则,使两端的物联网设备可以互访。具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name trust-untrust

[Device-security-policy-ip-1-trust-untrust] source-zone trust

[Device-security-policy-ip-1-trust-untrust] source-zone untrust

[Device-security-policy-ip-1-trust-untrust] destination-zone trust

[Device-security-policy-ip-1-trust-untrust] destination-zone untrust

[Device-security-policy-ip-1-trust-untrust] action pass

[Device-security-policy-ip-1-trust-untrust] quit

[Device-security-policy-ip] quit

4. 验证配置

以上配置生效后,当该物联网设备发出请求次数超出12次时,将无法与管理平台进行通信。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们