01-正文
本章节下载: 01-正文 (3.76 MB)
目 录
本平台通过配置SNMP模板和SOAP模板获取并展示网络中的安全设备信息,方便用户实时监控部署于各关键位置的安全设备状态。其中,SNMP协议可获取设备CPU、内存等信息;通过NETCONF over SOAP协议可对设备进行特征库升级、回滚等操作。
为方便本平台统一管理网络中的安全设备,必须在设备上开启SNMP功能或NETCONF over SOAP功能并将设备日志主机配置为本平台。
· 设备上配置的SNMP功能或NETCONF over SOAP功能相关参数必须与本平台配置的SNMP模板或SOAP模板参数一致,否则会导致信息交互失败。
· 本手册以配置SNMPv2c版本的SNMP为例。
· 设备是否支持Web配置方式请以设备实际情况为准。
· 不同设备型号及软件版本的Web界面可能有差异,请以设备实际情况为准。
(1) 在设备上执行display current-configuration | include snmp命令查看是否已配置SNMP协议,显示信息如下表示已配置,否则执行第二步开启该功能。
<sysname> display current-configuration | include SNMP
SNMP-agent
SNMP-agent local-engineid 800063A280586AB108779500000001
SNMP-agent community write private
SNMP-agent community read public
SNMP-agent sys-info version v2c v3
(2) 依次执行以下命令开启SNMP功能。
a. 配置SNMP版本为v2c。
[Sysname] SNMP-agent sys-info version v2c
b. 配置只读团体字,默认为public,用户需根据实际情况配置。
[Sysname] SNMP-agent community read public
c. 配置读写团体字,默认为private,用户需根据实际情况配置。
[Sysname] SNMP-agent community write private
(1) 选择“系统 > 维护 > 系统设置 > SNMP”进入SNMP页面,配置相关参数。
按下面说明配置全局配置参数:
¡ SNMP:勾选开启SNMP功能。
¡ 版本:版本选择SNMPv2c。
¡ Trap报文源地址:保持默认配置。
¡ 设备位置:保持默认配置。
¡ 联系信息:保持默认配置。
(2) 配置完成后点击<应用>按钮。
(3) 按如下说明配置版本配置参数:
¡ SNMP只读团体名:默认public,根据实际情况填写。SNMP只读团体和SNMP读写团体至少输入一个。
¡ SNMP读写团体名:默认private,根据实际情况填写。SNMP只读团体和SNMP读写团体至少输入一个。
¡ Trap接收主机:保持默认配置。
(4) 配置完成后点击<应用>按钮。
(1) 执行display current-configuration | include soap命令查看是否已开启NETCONF over SOAP功能,显示信息如下表示已配置,否则执行第二步开启该功能。
<sysname> display current-configuration | include soap
netconf soap http enable
netconf soap https enable
(2) 依次执行如下命令开启NETCONF over SOAP功能。
a. 开启基于HTTP的NETCONF over SOAP功能。
[Sysname] netconf soap http enable
b. 开启基于HTTPS的NETCONF over SOAP功能
[Sysname] netconf soap https enable
为了平台侧可以顺利接收到设备侧的各类日志数据,不仅要将本平台添加为对应的日志主机,部分类型的日志还需要在设备侧进行日志配置,如威胁日志、NAT日志以及应用审计日志。因此在设备侧需要进行以下两方面的设置:
· 威胁日志、NAT日志等需要进行日志输出配置。
· 需要将本平台添加为日志主机,用于接收设备的日志。
· 对于同时支持发送系统日志快速日志的业务,建议配置各业务输出快速日志。
· 日志主机地址需要配置为本平台的IP地址,端口号则需根据实际情况进行如下配置:
¡ NAT流日志的日志主机端口号为9002。
¡ 其他日志主机端口号为514或30514。
(1) 日志输出配置
在系统 > 日志设置 > 威胁日志页面,勾选入侵防御日志和防病毒日志输出快速日志。配置完成后,点击<应用>按钮。
图3-1 配置威胁日志
(2) 配置日志主机
a. 在系统 > 日志设置 > 基本配置 > 快速日志页面,设置日志主机为本平台地址,端口为514。(图中仅作为举例,实际日志主机地址和日志类型请以实际情况为准)。
b. 勾选需要输出的日志类型。单击<确定>按钮完成配置。
图3-2 配置快速日志主机
在设备的命令行界面进行执行如下配置(日志主机参数仅作为举例,具体参数请以实际情况为准):
[Sysname] customlog format dpi anti-virus
[Sysname] customlog format dpi ips
[Sysname] customlog host 10.123.53.240 port 514 export dpi anti-virus ips
快速日志与流日志互斥,如果配置了快速日志则不发送流日志。下面分别介绍两种日志发送方式,请用户根据实际情况进行配置。
(1) NAT日志输出配置
在系统 > 日志设置 > NAT日志页面,配置NAT日志参数,配置完成后,点击<应用>按钮。
图3-3 配置NAT日志发送快速日志
(2) NAT日志的快速日志主机配置
a. 在系统 > 日志设置 > 基本配置 > 快速日志页面,设置日志主机为本平台地址,端口为514。(图中仅作为举例,实际日志主机地址和日志类型请以实际情况为准)。
b. 勾选需要输出的日志类型。单击<确定>按钮完成配置。
图3-4 配置快速日志主机
system-view
(2) 开启NAT日志功能。
nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ]
缺省情况下,NAT日志功能处于关闭状态。
(3) 开启NAT相关日志功能。请至少选择其中一项进行配置。
¡ 开启NAT新建会话的日志功能。
nat log flow-begin
¡ 开启NAT删除会话的日志功能。
nat log flow-end
¡ 开启NAT活跃流的日志功能,并设置生成活跃流日志的时间间隔。
nat log flow-active time-value
缺省情况下,创建、删除NAT会话或存在NAT活跃流时,均不生成NAT日志。
(4) 开启端口块用户日志功能。请至少选择其中一项进行配置。
¡ 开启端口块分配的NAT444用户日志功能。
nat log port-block-assign
¡ 开启端口块回收的NAT444用户日志功能。
nat log port-block-withdraw
缺省情况下,分配和回收端口块时,均不输出NAT444用户日志。
(5) 开启NAT告警信息的日志功能。
nat log alarm
缺省情况下,NAT告警信息日志功能处于关闭状态。
NAT资源用尽时,系统会输出告警日志。
(6) (可选)配置动态NAT444端口块使用率的阈值。
nat log port-block usage threshold threshold-value
缺省情况下,动态NAT444的端口块使用率的阈值为90%。
创建动态端口块表项时,若端口块的使用率大于阈值,系统会输出告警日志。
(7) 开启NO-PAT方式下NAT地址组中地址成员使用率的日志信息功能,并设置NAT地址组中地址成员使用率的阈值。
nat log no-pat ip-usage [ threshold value ]
缺省情况下,NAT地址组中地址成员使用率的日志信息功能处于关闭状态。
(8) 开启NAT模块快速日志功能。
customlog format nat { cmcc | telecom | unicom }
(9) 配置快速日志主机。
customlog host [ vpn-instance vpn-instance-name ] { hostname | ipv4-address | ipv6 ipv6-address } [ port port-number ] export { telecom-sessionlog | telecom-userlog | unicom-sessionlog | unicom-userlog } *
如果希望使用流日志发送NAT日志,则不能勾选“输出快速日志”。当不输出快速日志时,NAT日志的输出方式由会话日志模块所选的方式决定。会话日志默认输出方式为流日志。为确保可以使用流日志输出NAT日志,管理员需要确认,会话日志的输出方式为流日志。
(1) 在系统 > 日志设置 > NAT日志页面,配置NAT日志参数,配置完成后,点击<应用>按钮。
图3-5 配置NAT日志发送流日志(不勾选输出快速日志)
(2) 在系统 > 日志设置 > 会话日志页面,确认会话日志的日志类型为流日志。
图3-6 确认会话日志输出方式
(3) 在系统 > 日志设置 > 基本配置 > 流日志页面,选择日志版本为3.0,勾选日志负载分担。新建日志主机为本平台地址,端口为9002,点击<应用>按钮(图中参数仅作为参考,实际日志主机地址请以实际情况为准)。
图3-7 配置流日志
参数说明:
¡ 日志主机:接收设备日志的本平台的IP地址(必填项)。
¡ 端口:NAT流日志端口为9002。
¡ VRF:默认为公网(必填项)。
(1) 进入系统视图。
system-view
(2) 开启NAT日志功能。
nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ]
缺省情况下,NAT日志功能处于关闭状态。
(3) 开启NAT相关日志功能。请至少选择其中一项进行配置。
¡ 开启NAT新建会话的日志功能。
nat log flow-begin
¡ 开启NAT删除会话的日志功能。
nat log flow-end
¡ 开启NAT活跃流的日志功能,并设置生成活跃流日志的时间间隔。
nat log flow-active time-value
缺省情况下,创建、删除NAT会话或存在NAT活跃流时,均不生成NAT日志。
(4) 开启NAT告警信息的日志功能。
nat log alarm
缺省情况下,NAT告警信息日志功能处于关闭状态。
NAT资源用尽时,系统会输出告警日志。
(5) 开启NO-PAT方式下NAT地址组中地址成员使用率的日志信息功能,并设置NAT地址组中地址成员使用率的阈值。
nat log no-pat ip-usage [ threshold value ]
缺省情况下,NAT地址组中地址成员使用率的日志信息功能处于关闭状态。
(6) 配置Flow日志输出到日志主机。
userlog flow export [ vpn-instance vpn-instance-name ] host { hostname | ipv4-address | ipv6 ipv6-address } port udp-port
缺省情况下,未配置Flow日志主机的IP地址和UDP端口号。
需要注意,流日志的日志主机地址必须配置为安全业务管理平台的地址,且端口号必须配置为9002。
(7) 配置Flow日志报文的版本号。
userlog flow export version version-number
缺省情况下,Flow日志报文的版本号为1.0。
(8) 配置Flow日志报文的源地址。
userlog flow export source-ip { ipv4-address | ipv6 ipv6-address }
缺省情况下,Flow日志报文的源地址为发送该报文的出接口IP地址。
(9) 配置Flow日志的负载分担。
userlog flow export load-balancing
缺省情况下,Flow日志输出到所有已配置的日志主机。
参数模板类型包括SNMP模板和SOAP模板,通过参数模板,本平台可监控资产状态和管理资产特征库。
(1) 在资产监控页面,点击页面右上角<模板参数管理>按钮进入模板参数管理界面。
(2) 点击<新增>按钮,进入新增SNMP模板页面。
图3-8 新增SNMP模板
(3) 用户可根据需要配置SNMP模板。
参数说明:
¡ 模板名称:模板的名称。
¡ SNMP版本:SNMPv1、SNMPv2、SNMPv3。
¡ 只读团体字:若配置该参数,必须与设备上配置的只读团体名一致。
¡ SNMP端口号:本平台接收SNMP报文的本地端口号,默认为161。
¡ 模板描述:模板的描述信息。
(4) 配置上述参数后,单击<确认>按钮,完成新增SNMP模板。
(1) 在资产监控页面,点击页面右上角<模板参数管理>按钮进入模板参数管理界面。
(2) 点击<新增>按钮,进入新增SSH模板页面。
图3-9 新增SSH模板
(3) 用户可根据实际需求配置如下参数。
参数说明:
¡ 模板名称:模板的名称。
¡ SSH端口号:SSH功能使用的端口号,缺省值22。
¡ 认证模式:当前仅支持用户名+密码模式。
¡ 用户名:SSH方式登录设备的账号。
¡ 密码:SSH方式登录设备的密码。
¡ 模板描述:模板的描述信息。
(4) 配置上述参数后,单击<确认>按钮,完成新增SSH模板。
(1) 在资产监控页面,点击页面右上角<模板参数管理>按钮进入模板参数管理界面。
(2) 点击<新增>按钮,进入新增SOAP模板页面。
图3-10 新增SOAP模板
(3) 用户可根据实际需求配置如下参数。
参数说明:
¡ 模板名称:模板的名称。
¡ 访问URL协议:选择开启基于HTTPS或HTTP的NETCONF over SOAP功能。
¡ 端口号:NETCONF over SOAP功能使用的端口号,基于HTTP的NETCONF over SOAP功能使用的端口号为80,基于HTTPS的NETCONF over SOAP功能使用的端口号为832。
¡ 用户名:SOAP方式的登录账号。
¡ 用户密码:SOAP方式的登录密码。
¡ 模板描述:模板的描述长度。
(4) 配置如上参数后,单击<确认>按钮,完成新增SOAP模板。
本功能用于定期或即时生成报表文件,管理员可根据实际需求,配置报表类型、生成报表的时间以及引用的报表模板等。
(1) 选择“报表管理 > 报表管理 > 报表任务”进入报表任务页面,点击<新增>按钮,新增报表任务,配置基本信息。
图4-1 新增报表任务(基本信息)
(2) 用户可根据实际需求配置如下参数。
参数说明:
¡ 任务名称:报表任务名称。
¡ 任务类型:任务执行周期,可选择日报、周报、月报及立即执行,不同的任务类型需要配置的参数如下:
- 选择日报,需要指定任务执行时间,例如,指定任务执行时间为20:30:00,本平台将会在每天20:30:00执行报表任务,并统计最近一天的安全事件信息,生成报表。
- 选择周报,需要指定任务执行时间和在每周周几的执行,例如指定任务执行时间为20:30:00每周字段选择周一,本平台将会在每周一的20:30:00执行报表任务,并统计最近一周的安全事件信息,生成报表。
- 选择月报,需要指定任务执行时间,例如,指定任务执行时间为20:30:00,本平台将会在每月1号20:30:00执行报表任务,并统计最近一个月的安全事件信息,生成报表。
- 选择立即执行,需要指定统计类型,即选择统计周期(最近一小时、最近一天、最近一周、最近一个月或自定义时间段),配置完成后任务将立即执行并按统计周期统计安全事件信息,生成报表。
¡ 报表格式:选择生成的报表文件的格式,目前仅支持生成.docx文件。
(3) 完成上述参数配置后,单击<下一步>按钮,进入模板选择页面。
图4-2 新增报表任务(模板选择)
(4) 用户可根据实际需求,选择报表模板。选择后,平台可根据选择的模板生成相应的报表文件。
(5) 当用户选择IPS安全事件报表与IPS攻击IP报表时,需要进行如下参数配置。
¡ IPS安全事件筛选条件:
- 动作:含全部、允许与阻断选项。根据动作设置决定生成的报表类型,选择动作为允许、阻断的即对应IPS允许放通事件、IPS阻断事件,选择动作为全部的即对应IPS攻击事件;
- 源IP:支持按照具体源IP查找对应的TOPN事件排名;
- 目的IP:支持按照目的IP查找对应的TOPN事件排名;
- 真实源IP:支持按照真实源IP查找对应的TOPN事件排名;
源IP、目的IP以及真实源IP支持多个IP查询,用英文逗号分隔。
¡ IPS攻击IP筛选条件:
- 动作:含全部、允许与阻断选项。
- 方向:包括源IP 与目的IP。选择源IP,即对应IPS攻击源IP事件;选择目的IP,即对应IPS攻击目的IP事件。
- 事件名称:支持按照事件名称查找对应的TOPN事件排名。
- 攻击ID:按照攻击ID查找对应的TOPN事件排名。
(6) 完成上述配置后,单击<下一步>按钮,进入统计对象页面。
(7) 配置统计对象。本平台将根据选择的模板以及统计对象统计相应的事件信息生成报表文件。
图4-3 新增报表任务(统计对象)
参数说明:
¡ 事件列表TOP N:统计排名TOP N的事件。
¡ 统计对象:统计指定的对象,目前仅支持设备。
¡ 设备:统计指定的设备。
¡ 检索标签:统计指定的日志检索标签(黑白灰名单)。
¡ 源安全域:统计指定的源安全域。(筛选设备后显现配置项)
¡ 目的安全域:统计指定的目的安全域。(筛选设备后显现配置项)
(8) 完成上述配置后,单击<确认>按钮,完成新增报表任务。
(9) 任务配置完成后,用户可到报表任务页面查看任务运行结果。
图4-4 报表任务运行结果
在报表任务页面,点击删除按钮可删除该条任务信息;点击<删除>按钮可以批量删除任务。
在报表任务页面,点击<启用>按钮或<停用>按钮可以批量启用或暂停报表任务。只能启用或停用周期性报表任务。
该功能用于对用户网络进行划分区域管理,用户可根据实际需要将网络划分为不同区域,并为区域配置子区域、资产及区域采集器。一个父区域下最多可嵌套5层子区域,可配置多个同一层级的子区域。区域内资产可通过区域采集器与本平台交互信息。
(1) 选择“运维管理 > 区域管理”进入区域管理页面。
(2) 点击<新增>按钮进入新增区域页面。
图5-1 新增区域页面
(3) 配置如下参数后,单击<确认>按钮,完成操作。
参数说明:
¡ 区域名称:区域的名称。
¡ 区域描述:区域的描述信息。
¡ 区域地理位置:区域所在的省市县。
¡ 区域采集器:当前区域所部署的采集器IP地址。平台通过区域采集器与资产进行信息交互。
¡ 区域IP范围:当前区域包含的IP地址范围。单击<添加>按钮,进入添加IP界面,并配置如下参数。
¡ 开始IP:IP地址范围的起始IPv4或IPv6地址。
¡ 结束IP:IP地址范围的结束IPv4或IPv6地址,结束IP必须大于或等于起始IP。
¡ IP类型:可选择配置IPv4或IPv6。
在区域管理页面,点击操作列的按钮即可为所选的区域添加子区域。子区域的配置步骤区域相同。
选择“运维管理 > 区域管理”进入区域管理页面即可查看区域相关信息,包括区域的名称、类型、创建者。点击按钮即可展开父级区域,查看该区域拥有的子区域信息。
图5-2 区域管理页面
在区域管理页面,点击区域后面的按钮可删除该条区域信息;点击<删除>按钮可以批量删除区域。当区域下面带有子区域时,删除父区域下的子区域也会被删除。当区域下面存在资产时,不允许删除区域。
本功能用于对用户资产进行分组管理,用户可根据实际需要将资产划分为不同组,方便管理员对属于同一组的多个资产进行安全分析、查询日志、生成报表等。
(1) 选择“运维管理 > 设备组管理”,单击<新增>按钮,进入新增设备组页面。
(2) 配置参数后,单击<确认>按钮,完成操作。
图6-1 新增设备组页面
参数说明:
· 设备组名称:设备组的名称。
· 资产设备:设备组中包含的资产。
· 设备组描述:设备组的描述信息,合理的设备组的描述信息有利于管理员快速了解和使用设备组。
注意:默认设备组无法删除,当设备组下面存在设备时,也不能删除该设备组。
在设备组管理页面,可通过如下方式删除设备组:
(1) 选中需要删除的设备组,单击<删除>按钮。
(2) 单击指定设备组右侧的<删除>按钮。
图6-2 删除设备组方式
该功能用于管理和监控用户设备信息,包括新增、编辑删除设备。其中,添加设备可通过用户手动添加或批量导入。
在设备管理列表,可查看已添加设备的CPU利用率和内存利用率。
图7-1 查看资产CPU和内存利用率
点击按钮可查看资产在所选统计周期的流量趋势、新建会话趋势和并发会话趋势、CPU/内存利用率趋势。
图7-2 查看资产详情
点击进入“运维管理 > 设备管理”,进入设备管理页面,进行资产的添加。支持单个手动添加与批量导入方式。为了操作的方便,建议在添加资产之前,先配置认证模板参数。
本平台配置SNMP模板或SOAP模板参数必须与资产上配置的SNMP功能或NETCONF over SOAP功能相关参数一致,否则会导致信息交互失败。
一般手动添加资产的流程如下:
(1) 点击设备管理页面的<新增>按钮;
(2) 在新增设备页面中输入配置参数,确保必填项都已填写;
(3) 点开认证模板配置框,点击设置按钮,设置SNMP、SOAP参数,支持手动编辑与从已有模板中选择。(SSH参数根据需要填写)
(4) 点击确认按钮,完成添加。
(5) 资产添加后,顺利在设备管理列表显示。此时,业务配置按钮显示为灰色,表示未进行同步。选中资产,点击同步按钮。
(6) 同步过程中,业务配置按钮会显示为蓝色,同步成功后显示为绿色。为绿色状态时可以进行业务配置、特征库管理等操作。
资产添加支持批量导入的方式,具体操作步骤如下:
(1) 点击导入 > 资产批量导入模板下载,下载模板;
(2) 下载模板后,填写资产导入模板;
(3) 点击导入 > 资产导入,选择填写好的模板文件,确认导入;
导入成功后,资产可以顺利显示在设备管理列表中,导入结果可点击“导入 > 操作结果“进行查看。
在设备管理页签中,点击设备的CPU与内存利用率数字,可以进入到性能信息页面,查看设备的性能与磁盘数据。
图7-3 通过点击CPU与内存利用率数字查看性能与磁盘数据
平台会对一段时间内采集的日志按照一定的规则进行关联分析,匹配关联规则的日志将会输出一个安全事件,并在安全事件页面进行展示。生成的安全事件也可以以邮件的方式发送到指定的收件人。
系统支持以下两种类型的关联规则:
· 预定义关联规则:系统内置的关联规则算法,可以在海量日志和流量中关联分析出异常信息。
· 自定义关联规则:用户可根据实际需求自定义关联规则并对其进行管理,包括新增、删除、启用、停用关联规则。
可以根据需要创建自定义关联规则,关联分析出指定的异常信息。自定义关联规则创建主要包括规则定义、事件输出和规则配置三个部分。
操作步骤如下:
(1) 选择“威胁处置 > 关联规则”进入关联规则页面。
(2) 单击<新增>按钮,进入新增关联规则页面。配置相关参数后单击<确认>按钮完成操作。
图8-1 创建自定义关联规则
(3) 单击<添加>按钮,进入添加子规则页面。配置相关参数后,单击<确认>按钮完操作。
图8-2 添加子规则
(4) 启用关联规则。选择新增的关联规则,单击<启用>按钮。
设备的威胁日志顺利接收后,为了方便用户可以根据事件的描述、关注点等字段对威胁攻击进行有针对性的排查并采取相应的措施,确保网络安全,需要将威胁日志匹配关联规则生成一个个的安全事件。
安全事件的顺利产生,需要满足以下两点配置:
· 内外网区分;
· 可用的关联规则;
下面分别对这两点进行配置说明。
本平台内外网的判定标准为:在区域IP范围内的IP识别为内网,区域IP范围外的IP识别为外网。
表8-1 内外网判定原则
IP类型 |
是否在区域IP范围内 |
内外网标识 |
源IP |
是 |
内网 |
源IP |
否 |
外网 |
目的IP |
是 |
内网 |
目的IP |
否 |
外网 |
平台自带一个默认区域,默认区域的区域IP范围列表自带5个IP范围,即默认以下IP范围内的IP会被识别为内网。
用户可以根据需要对IP范围进行删减。
新增/编辑区域时,也可以在创建的区域-区域IP范围中进行IP的添加、修改。
添加区域IP范围步骤如下:
(1) 进入运维管理>区域管理,点击新增按钮,或者选择区域,点击编辑按钮;
(2) 在新增/编辑区域管理的页面 区域IP范围中点击添加IP范围。
此外,资产监控下的资产IP默认显示在所属区域的区域IP范围内,即平台纳管的设备IP自动识别为内网。
威胁日志只有匹配上对应的关联规则,才能生成安全事件。如匹配“内网漏洞利用攻击”规则生成安全事件。
(1) 首选规则必须为启用状态
(2) 查看规则详情如下
(3) 规则与日志比对
匹配说明:匹配条件关系与,匹配条件与日志内容完全匹配,可以生成安全事件。
表8-2 内外网判定原则
规则匹配条件 |
日志内容 |
匹配说明 |
攻击分类:漏洞 |
Category:Vulnerability |
匹配 |
源区域:内网 |
SrcIPAddr=182.9.100.221 |
匹配,源IP 182.9.100.221在区域IP范围内,源区域识别为内网 |
特征命中方向:客户端到服务端 |
HitDirection=original |
匹配 |
(4) 安全事件查询
本功能用于将安全事件以邮件的方式发送到指定的收件人。用于配置发送安全事件邮件的条件以及邮件参数。
安全事件邮件中,仅显示按照原始事件数降序排行的top50个安全事件。
配置本功能前,需要完成以下配置:
· 选择“系统配置 > 全局配置 > 邮件服务器”,在邮件服务器配置页面中,配置邮件服务器参数。
· 邮箱设置为“从已有的收件人中选取”时,需要在“系统配置 > 全局配置 > 角色及权限管理”的用户管理页面中,配置用户的邮箱。
(1) 选择“威胁处置 > 告警通知 > 告警策略”,单击<新增>按钮,进入新增告警策略页面。配置告警策略的基本信息、触发条件和邮件参数。配置各参数后,单击<确认>按钮完成操作。
图8-3 新增告警策略
(2) 选择“威胁处置 > 告警通知 > 告警记录”,可查看安全事件邮件的发送记录,包括发送时间、告警策略名称、收件人等。
图8-4 告警记录
平台支持将生成的安全事件以邮件的方式发送到指定的收件人。邮件告警需要满足以下配置:
· 邮件服务器配置
· 收件人配置;
· 告警策略设置:
配置流程如下:
(1) 进入系统配置>系统管理>全局配置>邮件服务器,进行邮件服务器配置。
(2) 进入系统配置>系统管理>角色及权限管理,新增或编辑用户,为用户绑定邮箱。
(3) 进入威胁处置>告警通知>告警策略,创建告警策略。
配置完成后,生成的安全事件满足邮件告警触发条件,即可向对应的收件人发送告警邮件。邮件告警发送记录可在告警记录列表查看。
安全策略下发支持两种模式,一种是在设备管理-业务配置模块直接对设备侧下发(又称为单设备视图),一种是全局下发(全局视图)。
在资产顺利添加、同步完成后,可以进入设备的业务配置模块,对设备进行各种安全业务的增删改查操作,下面来讲解在设备的业务配置模块进行安全策略的下发。
(1) 首选保证资产可以同步成功。
(2) 然后点击绿色按钮,进入该设备的业务配置。选择安全策略tab页,可以看到安全策略与设备侧一致,在本页面即可对设备进行安全策略管理了。
全局视图下,支持对多设备进行安全策略的下发,首先,需要配置安全策略使用的各业务资源,如安全域、IP地址组、服务组等。
(1) 点击进入运维管理>安全业务管理>全局资源,选择要创建的资源图标,进入对应资源的管理页,进行资源添加。
(2) 资源添加后,进入运维管理>安全业务管理>安全策略,创建安全策略。
(3) 点击策略下发任务页面,创建安全策略下发任务。
(4) 选择安全策略下发到所选设备侧。
(5) 下发结果可在策略下发任务列表查看。
平台下发入侵防御白名单的方式有三种:
· 设备业务配置 > 入侵防御白名单页签中下发;
· 全局资源 > 入侵防御白名单中下发;
· 日志中心 > 漏洞攻击日志,进行联动下发;
入侵防御白名单功能需要在系统配置>系统管理>全局配置>系统参数中开启高级模式配置方可使用。
在资产顺利添加、同步完成后,可以进入设备的业务配置模块,对设备进行各种安全业务的增删改查操作,入侵防御白名单的下发,在设备业务配置 > 入侵防御白名单页签中进行。
步骤如下:
(1) 首选保证资产可以同步成功。
(2) 然后点击绿色按钮,进入该设备的业务配置。选择入侵防御白名单tab页,进行增删改查操作。
全局视图下支持同时对多台设备下发入侵防御白名单。
(1) 进入运维管理>安全业务管理>全局资源 > 入侵防御白名单。
(2) 新增或修改入侵防御白名单,进行配置,选择关联设备,进行下发。
点击进入日志中心>安全日志>漏洞攻击日志,点击日志操作列的新增白名单按钮。
即可对此条日志的设备新增入侵防御白名单。
在设备特征库页面,选中需要升级的设备,点击<升级>按钮,选择特征库文件。
图10-1 特征库升级
选择设备,点击<同步>,可以立即同步设备当前的各类特征库版本信息到平台侧。
图10-2 特征库同步
在设备特征库页面,选中需要回滚的设备,点击<回滚>按钮,可选择将该设备上的IPS、AV、APR以及URL特征库回滚到上一版本或出厂版本。
图10-3 特征库回滚
该功能适用于安全业务管理平台与安全设备之间的网络存在NAT转换或者VPN隧道的场景。该场景下,管理员需要配置本功能,设置服务器地址和VPN等参数,设备才可以连接安全业务管理平台。非上述场景不需要配置此功能。
点击升级文件服务器配置按钮,打开升级文件服务器配置窗口,配置正确后,在NAT场景或VPN场景中仍然可以对设备成功升级。
图10-4 升级文件服务器配置
参数说明:
· 服务器地址:默认为tftp://本服务器地址/。仅在NAT场景中,配置为本服务器对设备网络中NAT转换后的地址和端口,格式为:tftp://转换地址:换端口/
· VPN配置:默认为空。仅在VPN场景中,配置成设备与本服务器网络配置中的VPN名称。
选择“运维管理 > 特征库管理 > 特征库文件”进入特征库文件页面,可管理特征库文件,包括上传、删除特征库文件,推送特征库文件信息。
在特征库文件页面,点击<文件上传>按钮,选择需要导入的特征库文件,填写特征库文件类型、版本及适用的设备系列。
图10-5 特征库文件上传页面
参数说明:
· 选择文件:选择从本地上传的特征库文件。
· 特征库文件类型、版本、设备系列通过文件自动解析识别。
可以将特征库文件推送到子级平台,分为立即推送与定时推送。
图10-6 特征库文件推送
在特征库文件页面,选择需要推送的特征库文件,点击<文件推送>选择立即推送,选择推送的子级平台,系统会立即将特征库文件推送到子级平台。
图10-7 特征库文件立即推送
在特征库文件页面,选择需要推送的特征库文件,点击<文件推送>选择定时推送,选择推送的子级平台,设置定时推送的时间,系统将在指定时间将特征库文件推送到子级平台。
图10-8 特征库文件定时推送页面
点击特征库文件操作列的详情按钮可以查看该文件的推送结果
图10-9 查看特征库文件推送结果
特征库自动下载,即自动下载H3C官网最新版本的IPS特征库(V7),病毒特征库(V7),病毒特征库H版本(V7),应用版本特征库(V7),URL分类库版本(V7),URL分类库H版本(V7)以上6个文件到平台侧。此项功能的使用,需要满足平台网络环境与H3C官网环境连通,因此当网络不通时,需要手动在系统配置>系统管理>全局配置>平台网络设置中手动配置DNS服务器,以满足网络要求。
(1) 进入系统配置>系统管理>全局配置>平台网络设置中手动配置DNS服务器。下图中地址仅作为举例,请根据实际情况进行配置。
(2) 进入运维管理>特征库管理>特征库文件页签,开启“官网自动下载”,开启后立即执行一次自动下载任务。在官网自动下载开关开启状态下,每天凌晨4点执行一次定时下载任务,检测到有最新的特征库文件时就会自动下载到特征库文件列表。
所有纳管防火墙自动升级,支持检测到新版本特征库即立即升级。本功能必须要在“官网自动下载”开关开启状态下方可显示,若自动下载功能关闭,则自动升级也随之关闭。
(1) 开启“官网自动下载”开关
(2) 打开自动升级开关
支持通过代理自动获取特征库文件新版本集成到平台,针对网络情况复杂的环境,支持用户手动配置DNS服务器。用户可自主选择是否打开在线下载的开关和配置代理服务器,默认为关闭。
图10-10 配置代理服务器
参数说明:
· 代理服务器地址:配置代理服务器的IP地址或域名。
· 代理服务器端口:取值范围为1-65535,请填写为代理服务器的端口。
· 用户名:代理服务器访问账号,长度为1-31字符。
密码:代理服务器登录密码。
对设备下发配置部署任务,需要设备配置SSH认证参数。然后通过任务的形式,引用部署模板,下发配置到设备侧。
使用配置下发功能前必须确保设备已开启SSH功能,且设备已被平台添加为资产并指定所属区域和引用SSH参数。
部署模板中包含需要下发到目标设备的配置命令以及目标设备的厂商信息和设备类型。其中,命令支持以脚本的形式进行配置。
(1) 选择“运维管理 > 配置管理 > 配置下发 > 部署模板”。
(2) 单击<新增>按钮,进入新增配置模板界面。配置参数如下。
¡ 模板名称:部署模板的名称。
¡ 描述:部署模板的描述信息,便于管理员快速理解和识别模板的作用,有利于后期维护。
¡ 适用设备:设备所属的厂商和设备类型。
¡ 配置脚本:需要下发到设备的配置命令,多条命令间使用逗号或换行符进行分割。平台支持在命令中使用变量,这样可提升模板的复用性。变量格式为:${变量名称},管理员需要在配置部署任务时为各个变量设置实际的内容,当平台向设备下发配置脚本时,变量会被替换为管理员设置的实际内容。例如,脚本内容为“blacklist ip ${阻断IP}”,管理员为“阻断IP”这个变量设置的实际内容为“1.1.1.1”,则平台最终会将“blacklist ip 1.1.1.1”下发到目标设备。
(3) 单击<确认>按钮,完成新增部署模板。
用于关联配置模板与目标设备。管理员可通过在部署任务中引用配置模板,实现向多台设备批量下发相同的配置。
新增部署任务的步骤如下:
(1) 选择“运维管理 > 配置管理 > 配置下发 > 部署任务”。
(2) 单击<新增>按钮,进入新增部署任务界面。
(3) 在基本配置区域配置如下参数。
¡ 名称:部署任务的名称。
¡ 描述:部署任务的描述信息,便于管理员快速理解和识别任务的作用,有利于后期维护。
(4) 在选择模板区域,选择已创建的配置模板。
(5) 在选择设备区域,单击<选择设备>按钮,进入关联设备界面,按照实际需求,选择需要下发配置的目标设备。
(6) 如果引用的配置模板中使用了变量,则需要在设备列表中单击指定目标设备右侧的<>按钮,在弹出的配置参数框中,根据变量名称,为各个变量赋予需要下发到目标设备上的实际值。单击<确认>按钮,完成变量赋值。
(7) 单击<确认>按钮,完成目标设备的选择。
(8) 单击<确认>按钮,完成新增部署任务。
(9) 查看下发结果。可以在部署任务列表直观的看到每条部署选择的配置模板,关联的设备数,以及下发结果。点击部署设备数,可以看到所关联的设备,点击下发结果,查看具体下发详情。
图11-1 下发结果查看
选择任务点击<回滚>按钮,可以对该条任务执行回滚操作。注意一次只能选择一条任务进行回滚。
图11-2 配置任务回滚
配置文件列表用于查看所有在设备管理中添加的资产的配置文件。操作方法为:
(1) 选择设备,点击同步按钮(支持多选同步);
(2) 同步成功后,点击设备的详情按钮,即可查看对应的配置详情。
图11-3 配置文件详情
(3) 鼠标移动到同步状态的显示结果上,可以浮动显示同步成功失败的信息。当同步失败时,可以根据同步失败的原因进行问题排查。
图11-4 同步状态浮动提示
此功能用于实时进行设备抓包,以便进行故障诊断分析。
需要注意,如果配置抓包策略后,未在抓包文件信息页中看到获取的包文件,可在设备侧 系统>诊断中心>报文捕获,查看“报文捕获参数”是否配置正确。
(1) 登录设备web,进入系统>诊断中心>报文捕获,点击“配置报文捕获参数”。
(2) 选择“保存到外部服务器”,在路径中输入:“ tftp://安全业务管理平台IP/capFiles/ ”。安全业务管理平台IP必须配置正确,否则无法在该平台中成功下发抓包策略,抓取包文件。下图中的参数仅作为举例,请管理员根据实际需求进行配置。
(3) 进入运维管理>抓包取证,在设备列表中点击对应设备操作列的配置按钮。在配置抓包策略窗口中,设置接口与时间,点击开始抓包。
(4) 策略下发成功后,可以在抓包文件信息页签中查看抓包文件,可点击下载按钮,下载到本地进行查看。
该功能用于配置统一管理平台信息,用于本平台注册至上层管控平台。
配置流程如下:
(1) 登录态势感知侧,进入系统配置>全局配置 > 平台网络设置>查看平台IP与端口
(2) 在安全业务管理平台的系统配置>系统管理>全局配置>统一平台配置中,输入态势感知侧的IP与端口后,进行注册,完成注册,提示注册成功。
该功能用于在视频安全场景中,对终端资产和视频网关设备进行统一监测管理以及对终端资产的安全风险进行分析并下发相应的策略。
(1) 选择“视频监控 > 终端资产管理 > 所有终端”,单击<新增>按钮,进入新增终端信息页面。
(2) 配置终端信息。
图14-1 新增终端信息
参数说明:
¡ 名称:终端设备的名称。
¡ IP地址:终端设备IP地址;
¡ MAC地址:终端设备的MAC地址;
¡ 终端类型:设置终端的类型,例如摄像头、WIFI探针等。默认为普通监控。
¡ 协议:终端使用的协议,例如GB28181、HTTP等。
¡ 操作系统:终端的操作系统。
¡ 厂商:终端设备厂商信息,默认为其他厂商。
¡ 终端型号:终端的具体型号。
¡ 区域:终端所属的区域。
¡ 管理网关:终端所属的网关设备。
(3) 单击<确认>按钮,完成新增终端信息。
(1) 选择“视频监控 > 终端资产管理 > 所有终端”,单击<导入>按钮,选择终端批量导入模板下载。
图14-2 导入终端
(2) 按照模板中的说明填写终端信息后,再次单击<导入>按钮,选择终端导入。单击<选择>按钮,选择已经填写终端信息的模板文件,即可批量导入终端。
(3) 完成以上操作后,单击<导入>按钮,选择操作结果,可查看终端导入结果。
(1) 在“所有终端列表”、“新发现终端”和“非法终端”页面中,可以单击某一个终端信息右侧“通行状态”下的<放通>或<封堵>按钮。
(2) 通过单击上述按钮,可修改终端的通行状态为封堵或放通。即阻断或放行该终端流量。
¡ 修改为封堵:会将此终端的IP地址作为黑名单下发给该终端的视频网关。
¡ 修改为放通:会将此终端的IP地址从该终端的视频网关黑名单中删除。
图14-3 变更通行状态
修改合规状态为非法时,平台会将终端的IP地址下发到其视频网关设备的黑名单中。将会导致此该终端无法访问视频网关设备。
(1) 在“所有终端列表”、“新发现终端”和“非法终端”页面中,可以单击某一个终端信息右侧“合规状态”下的<合法>或<非法>按钮。
(2) 通过单击上述按钮,可修改终端的合规状态。
¡ 合法:表示管理员信任当前识别出的终端信息,将其标识为合法,便于在终端信息变化时,作为参考。
¡ 非法:表示管理员不信任当前识别出的终端信息。并将该终端信息显示在非法终端列表中。
图14-4 修改合规状态
本功能可用户批量修改终端的合规状态。
在“所有终端列表”、“新发现终端”和“非法终端”页面中,可以选择一个或多个终端信息,单击<批量审批>按钮,可批量修改终端的合规状态。
图14-5 批量审批
在“所有终端列表”、“新发现终端”和“非法终端”页面中,可以单击某一个终端信息右侧“变更状态”下链接,可查看终端的变更信息。
NAT网中网是指对通过NAT方式私接网络的场景。本功能通过对异常流量日志和终端识别日志的分析,基于“流量阈值“以及”终端指纹信息变化频率“两个维度来检测是否存在“NAT网中网”。
本功能支持对检测出NAT网中网的终端进行批量处理、一键处理、封堵/放通功能,原始事件数的下钻页查看。
(1) 在视频监控 > 业务分析 > NAT网中网页面,单击<配置>按钮,配置检测参数。
(2) 勾选<启用流量监测>,开启流量监测功能。
(3) 配置流量阈值,当检测到的终端流量高于阈值时,则认为可能存在NAT网中网。
(4) 勾选<启用终端变更监测>,开启流终端信息变更监测功能。
(5) 配置时间周期与阈值,用于检测终端信息的变化频率,即在指定的时间周期内,终端指纹信息(例如MAC地址、厂商等)变化的次数若达到上限,则认为可能存在NAT网中网。
(6) 单击<确认>按钮,完成配置。
图14-6 NAT网中网检测参数
(7) 配置完成后,平台将展示NAT网中网检测信息。
图14-7 NAT网中网检测信息
本功能用于展示本平台管理的视频网关设备信息,可对视频网关设备下发IP白名单、MAC白名单以及通过配置脚本直接下发命令,同时支持终端识别模式的修改和查看设备的封堵详情。
使用本功能之前,需要保证视频网关设备是在线状态并且在设备管理中是同步成功的状态。
(1) 在网关管理页面中点击<全局配置>按钮,设置白名单模式。
(2) 可配置白名单模式为IP或MAC模式。
图14-8 白名单模式设置
¡ MAC白名单模式:表示仅放行匹配MAC白名单的终端流量。
¡ IP白名单模式:表示仅放行匹配IP白名单的终端流量。此模式下可以继续配置识别模式。单击“终端识别模式”列下的<白名单模式>按钮。进入编辑识别模式页面,可以配置白名单的识别模式。
图14-9 白名单识别模式
- 告警模式:该模式下,当终端信息发生变化时,视频网关设备会向用户发送日志进行告警。
- 白名单模式:该模式下,设备仅放行匹配白名单的终端流量,未匹配白名单的终端流量将被阻断。其中,对于匹配白名单的终端流量,当终端信息变化时,用户可以根据实际需求,对终端执行放通或阻断动作。
(3) 单击<确定>按钮,完成配置。
在网关管理页面中,单击设备右侧的<白名单配置>按钮,可进入IP/MAC白名单配置页面。可新增、修改或删除IP/MAC白名单成员。
图14-10 白名单配置
在网关管理页面中,单击设备右侧的<脚本配置下发>按钮,进入脚本配置下发页面。平台默认提供预定义的配置片段,管理员可根据实际需求修改配置,单击<确认>按钮后,平台会将配置直接下发给视频网关设备。
图14-11 脚本配置下发
在网关管理页面中,单击设备右侧的<封堵详情>按钮后,可查看指定视频网关设备的封堵详情。
图14-12 封堵详情
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!