登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(R6618)-5W100

目录

73-物联网终端识别典型配置举例

本章节下载 73-物联网终端识别典型配置举例  (701.97 KB)

73-物联网终端识别典型配置举例

目  录

1 简介

2 配置前提

3 使用限制

4 终端资产管理配置举例

4.1 组网需求

4.2 配置思路

4.3 使用版本

4.4 配置步骤

4.5 配置注意事项

4.6 验证配置

 

1  简介

设备的终端资产管理功能,支持以资产为核心的安全监控和分析,通过资产梳理、主动风险发现、被动流量检测,帮助用户构建对IT资产实现多维度的安全分析监控。

设备终端资产管理的主要功能如下:

(1)     设备通过终端识别特征库对终端特征进行分析提取,识别终端信息,并支持特征库的在线自动升级和离线升级。

(2)     在终端资产列表中展示网络中终端的类型、操作系统等终端信息。

(3)     企业应根据自身业务需求和网络安全状况,制定合适的终端准入安全策略,确保终端设备满足企业网络安全要求。

(4)     可以基于识别出的终端信息,指定相应的控制策略和审计策略,对终端设备进行安全管控。

终端资产识别支持主动扫描和被动分析流量识别:

Ÿ     主动扫描识别:设备通过NMAP扫描终端,基于终端响应信息和终端特征库进行识别,主动发现资产,可以将扫描结果同步到资产信息中。

Ÿ     被动流量识别:设备通过被动分析监控网段中的流量,并结合终端识别特征库,识别流量中的终端信息。支持基于DHCP协议进行识别。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解终端资产管理的特性。

3  使用限制

·     开启流量识别资产后对流量进行被动识别,如需开启主动扫描识别终端资产,需要在端口扫描界面配置扫描任务,同时开启资产同步。

·     DHCP报文必须经过设备或者到设备本机的流量,否则识别率和准确率会下降。

·     HA模式下,资产数据不能配置同步,配置同步只能同步资产配置。

·     如果配置自动删除离线终端,当存在大量资产时,资产离线时间达到设定的时间后,每隔一小时会删除1000条资产。

·     配置文件不会保存资产数据,资产数据每隔15分钟写入CSV文件中进行保存。

4  终端资产管理配置举例

4.1  组网需求

图1所示,设备以网关模式部署在网络中,内部网络中使用PC、移动终端、物联网终端等设备,内网终端通过设备访问外网。

·     对内网终端设备进行识别,识别到资产添加到终端资产管理列表中,对其进行统一的管理。

·     对识别到的内网资产进行管控:允许内外PC终端通过设备访问网站,并记录终端的上网行为及终端类型等信息;

·     禁止内网中使用IOS终端的用户访问网站,并记录日志。

图1 组网图

4.2  配置思路

·     基础网络配置

·     配置用户识别范围

·     升级终端识别特征库

·     配置控制策略

4.3  使用版本

本举例是在R6618版本上进行配置和验证的。

4.4  配置步骤

1. 配置基础网络

(1)     配置接口地址

进入“网络配置>接口配置”页面,配置ge0接口的地址为10.0.219.3/24。ge2接口的地址为172.16.1.1/24。

(2)     进入“网络配置>路由管理>静态路由”配置访问外网的默认路由。

图2 配置静态路由

 

(3)     配置NAT

进入“策略配置>NAT转换策略”,点击“新建”,配置源NAT规则。

图3 配置NAT

 

2. 配置用户识别范围

进入“用户管理>认证管理>高级选项”页面,识别范围选择“any”,识别模式配置为“启发模式”,提交配置。

图4 配置用户识别范围

 

 

3. 升级终端识别特征库

进入“系统管理>系统维护>系统升级”页面,升级终端识别特征库。

4. 配置终端资产识别

进入“数据中心>系统监控 > 终端资产管理 > 终端资产识别设定”,进入终端资产识别设定页面,勾选“开启”,配置识别地址范围,选择“流量识别资产”,如下图所示。

图5 配置终端资产识别

 

5. 配置控制策略

(1)     进入“策略配置>控制策略”页面,新建一条控制策略,在匹配条件中,终端类型选择“PC

图6 新建控制策略-终端PC

 

选择“URL过滤”页签,点击“新建”创建URL过滤策略,URL分类选择“全部”,点击“提交”。

图7 创建URL允许策略

 

点击“提交”完成配置。

(2)     进入“策略配置>控制策略”页面,新建一条控制策略,在匹配条件中,终端类型选择“移动终端 > IOS

图8 新建控制策略-终端IOS

 

选择“URL过滤”页签,点击“新建”创建URL过滤策略,URL分类选择“全部”,动作配置为“拒绝”,点击“提交”。

图9 创建URL拒绝策略

点击“提交”完成配置。

 

4.5  配置注意事项

·     设备基于终端识别特征库对终端信息进行识别,设备升级版本后,建议将终端识别特征库升级到最新版本,否则会影响终端的识别结果。

·     升级特征库版本的前提需要申请终端识别特征库升级服务的授权许可,导入授权后才可以升级终端识别特征库的版本。

4.6  验证配置

(1)     通过内网PC终端及移动终端等访问外网、触发流量。

(2)     查看终端资产识别结果

进入“数据中心>系统监控>终端资产管理”,查看终端资产列表,可以查看设备上被动识别到的终端资产信息。

图10 查看终端资产列表

 

点击详情,可以查看资产详细信息。

图11 资产详情页面

 

(3)     查看应用控制日志,详细中可以记录终端类型。

进入“数据中心 > 日志中心 > 控制日志 > 应用控制日志”,查看应用控制日志,通过PC终端访问网站行为被放行,如图12所示。通过IOS终端访问网站的行为被阻断,如图13所示。

图12 应用控制日志-放行

 

图13 应用控制日志-阻断

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们