登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

04-对象

目录

13-终端识别

本章节下载 13-终端识别  (309.56 KB)

13-终端识别

 

本帮助主要介绍以下内容:

·     特性简介

     基本概念

     工作模式

     工作流程

·     vSystem相关说明

·     License支持情况

·     使用限制和注意事项

·     配置指南

     配置终端组

     配置终端识别对象组

     配置终端识别白名单

特性简介

终端识别是建立物联网安全连接的重要前提,主要用于识别物联网中的终端,例如视频摄像头和各类传感器等。当终端流量流经设备时,设备可以分析并提取出终端信息,例如终端的厂商、型号、MAC地址等,并支持在终端信息发生变更时(包括初次识别终端信息和后续终端信息发生变化)向用户发送日志进行告警,提示用户。

基本概念

终端

设备特征库中支持预定义终端,用于标识终端的特征信息。

选择“对象 > 应用安全> 终端识别 > 终端”,可查看设备支持的终端。单击<开启终端识别日志功能>按钮,可开启终端识别日志功能。

终端组

可以将具有相似特征的终端添加到一个终端组中。一个终端组,就是若干个终端的集合。如果报文被识别为属于某个终端,而该终端又属于某个终端组,则报文相当于被识别为属于某个终端组。基于终端的业务可以对属于同一个终端组的报文做统一处理。

终端识别对象组

终端识别对象组用于确认终端的IP地址。包括如下类型:

·     终端地址对象组:是指终端所在的地址对象组。当报文源/目的IP地址匹配终端地址对象组时,则源/目的IP地址为终端地址。

·     管理地址对象组:是指管理终端设备的管理员所在的地址对象组,当报文源/目的IP地址匹配管理地址对象组时,则目的/IP地址为终端地址。

终端识别白名单

终端识别白名单用于过滤终端流量,若终端设备IP地址在白名单范围内,则系统放行该终端流量;否则,系统丢弃该终端流量。终端识别白名单支持配置两种动作,具体如下。

·     放行:放行白名单内的所有终端流量

·     阻断:仅白名单内的终端设备信息发生变化后,才丢弃终端流量;否则,放行终端流量。

工作模式

终端识别支持如下工作模式:

·     告警模式:此模式下,系统放行所有终端流量。若系统检测到终端信息发生变化(包含首次识别出终端设备),则向用户发送日志进行告警。在安全控制要求比较宽松的场景中,可以采用此工作模式。

·     白名单模式:此模式下,系统仅会放行白名单中的终端流量。若系统检测到白名单中的终端信息发生变化,则向用户发送日志进行告警。在安全控制要求较严格的场景中,可以采用此工作模式。

选择“对象 > 应用安全 > 终端识别 > 终端”,进入终端页面。在终端页面,单击<工作模式>按钮,在弹出的工作模式页面上,选择相应的工作模式。

工作流程

图-1 终端识别两种工作模式流程图

 

终端识别的工作流程具体如下:

·     告警模式下:系统识别并放行所有终端流量,如果系统识别出终端信息发生变化,则向用户发送日志进行告警;否则,不会发送日志。

·     白名单模式下,终端识别对终端流量的处理流程如下:

a.     系统对终端流量进行识别,对于无法识别出具体信息的终端将其归为other类终端。无论识别结果是明确的终端设备信息,还是other类终端,系统均检查终端设备的IP地址是否在白名单内。

b.     若终端设备IP地址不在白名单范围内,系统将直接丢弃终端流量;否则,系统将检测终端信息是否发生变化。若终端信息没有发生变化,则直接放行该终端流量。

c.     若终端信息发生变化,则向用户发送日志进行告警,系统将继续检测白名单的动作是否为放行。

d.     若白名单的动作为放行,则系统放行终端流量;否则,系统丢弃终端流量。

vSystem相关说明

非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。

License支持情况

终端识别基于APR特征库识别终端信息。License过期后,终端识别功能可以采用设备中已有的APR特征库正常工作,但无法升级特征库。关于License的详细介绍请参见“License联机帮助”。

 

使用限制和注意事项

·     在白名单模式下,如果白名单动作为阻断,当白名单中的终端设备初次上线时,系统会丢弃这些终端设备的流量。此时用户需要将其审批为合法,系统才能放行终端流量。

·     若管理地址对象组和终端地址对象组同时配置,管理地址对象组的优先级更高。

配置指南

配置终端组

配置终端组的具体步骤如下:

1.     选择“对象 > 应用安全 > 终端识别 > 终端组”,进入终端组页面。

2.     单击<新建>按钮,进入新建终端组页面。

3.     在左侧可选终端列表中选择指定的终端,单击右侧的<选择>按钮,将终端加入终端组。

配置终端识别对象组

配置终端识别对象组的具体步骤如下:

1.     选择“对象 > 应用安全 > 终端识别 > 终端”,进入终端页面。

2.     单击<配置终端识别对象组>按钮,进入配置终端识别对象组页面。

3.     配置管理地址对象组和终端地址对象组,请至少选择其中一种进行配置。

配置终端识别白名单

配置终端识别白名单的具体步骤如下:

1.     选择“对象 > 应用安全 > 终端识别 > 终端”,进入终端页面。

2.     单击<工作模式>按钮,进入工作模式配置页面。

3.     选择白名单工作模式,并配置白名单的动作。

4.     单击<确定>按钮,返回到终端页面。

5.     单击<配置终端识别对象组>按钮,进入配置终端识别对象组页面。

6.     配置终端白名单地址对象组。

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们