- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
76-ESM推送策略典型配置举例
本章节下载: 76-ESM推送策略典型配置举例 (853.47 KB)
目录
设备支持与ESM平台进行联动:
· ESM平台会检测网络主机上是否安装ESM客户端,并将检测结果同步到设备,设备根据ESM推送策略配置向未安装ESM的主机推送客户端下载界面,对于未安装ESM的主机,可以禁止或允许访问网络。
· 设备与ESM平台联动,可以从ESM平台自动获取终端信息。
· 根据ESM上的单点登录接口,实现单点登录跳转。在设备界面可一键跳转至ESM平台页面,查看更多详细信息。
· 设备定时每5分钟从ESM平台同步终端列表至ESM用户组织结构,在设备上可以对ESM组用户进行管控。
· 在设备上对在线终端可执行“隔离网络”操作,调用ESM平台的隔离接口,可以将隔离命令同步至ESM平台,实现对终端的隔离。
本文档介绍设备与ESM平台联动的配置举例。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解ESM推送策略的特性及ESM平台的相关功能。
· 通过设备上网的用户PC安装ESM客户端后,设备5分钟同步一次用户,同步后才会放通上网。
· ESM联动功能不支持旁路部署模式。
· 同步至ESM用户组织结构时,在ESM用户结构中,相同的终端名会合并为一条用户记录,终端地址信息在用户的“绑定范围”中合并展示,界面上最多只展示5个绑定范围。
· 用户被引用后,终端用户下线时不会删除该用户及其绑定的地址,并处于禁用状态,下次录入该用户时会将新地址合并绑定。
· ESM终端列表中,用户的状态取决于对应终端是否在线;ESM用户结构中的用户,用户的状态取决于所有绑定地址的对应终端是否在线,因此,如果名称相同的终端,绑定范围中有多个地址,如果其中一个地址的终端离线,该用户的状态仍是“在线”状态。
· 设备中同一个地址只能绑定一个用户,按平台回应结果顺序录入,如果地址重复,后面录入的用户存在已经绑定到其他用户中的地址,该用户的地址则不会录入。
· HTTPS重定向只支持IPv4。
· 访问HTTPS网页时有安全告警,需要点击“继续前往”,百度淘宝京东等网站使用了HSTS不能跳转,与浏览器行为有关。
·
设备以三层路由模式部署在网络中。当PC未安装ESM客户端软件时,设备会阻断PC访问互联网的请求。
· 若PC通过Web浏览器访问网页,设备向PC重定向至ESM安装页面。
· PC安装ESM软件后,设备接收到ESM平台推送的信息,放行PC的流量。PC可以正常上网,不会弹出推送页面。
图1 ESM推送策略配置举例组网图
· 配置ESM推送策略
· 配置证书
· 下挂PC访问网络,看ESM推送策略是否生效
本举例是在R6618版本上进行配置和验证的。
选择“策略配置>策略配置>ESM推送策略>ESM接入配置”,配置ESM接入信息。勾选是否接入、是否录入用户,配置ESM平台的地址、用户名、密码、推送时间间隔、安装URL,点击提交。
图2 ESM接入配置页面
选择“策略配置>策略配置>ESM推送策略>ESM推送策略”,新建ESM推送策略。名称为“ESM”,源地址any,目的地址选any,行为选择“阻断并提示”,勾选日志,配置完成后点击提交。
图3 配置ESM推送策略
(1) 进入“策略配置 > 对象管理 > CA服务器> 根CA配置管理”,点击“生成CA根证书”,配置相关信息,点击“提交”。 再点击“导出CA根证书”,将CA根证书导出到本地。
图4 生成CA根证书
(2) 进入“策略配置 > 对象管理 > 本地证书> 证书”,点击“导入”将已生成的CA根证书导入。
图5 导入本地证书
(3) 进入“系统管理 > 系统设定 > 管理设定”,修改HTTPS端口为非443端口。
图6 设置HTTPS端口页面
(4) 进入“策略配置 > SSL解密策略 ”,客户端证书选择已导入的本地证书。
图7 引用客户端证书
(1) 验证ESM单点登录功能
登录设备的Web管理页面,选择“策略配置>策略配置>ESM推送策略>ESM接入配置”,点击“前往ESM管理平台”按钮,可免登录一键跳转至ESM平台页面,如下图所示。
图8 ESM管理平台页面
(2) 验证ESM推广策略
使用未安装ESM安全终端的PC上网被阻断,且弹出ESM的安装URL,如下图所示。
图9 ESM推送页面
下载安装ESM客户端后,可以正常上网。
登录设备的Web管理页面,选择“数据中心>日志中心>安全中心>ESM联动日志”,可以查看设备与ESM联动的日志,如下图所示。
图10 ESM联动日志
(3) 查看ESM终端列表
设备可以读取ESM平台上的上线终端信息,在设备Web管理界面,选择“策略配置>ESM推送策略>ESM终端列表”可以查看获取的终端信息。
图11 ESM终端列表页面
(4) 查看ESM同步用户
设备与ESM平台联动成功后,设备会自动从ESM平台同步ESM用户至本地用户组织结构中。
选择“用户管理>用户组织结构”,在用户组织结构树状列表中,选择“ESM用户结构”组,可以查看到同步到本地的ESM用户信息,如下图所示。
图12 ESM用户组织结构
选择“数据中心>系统监控>在线用户”,可以查看在线ESM用户,EMS用户录入后,终端流量过设备会静态绑定上线。
图13 ESM在线用户
· ESM功能依赖用户模块,配置ESM推送策略时,需要保证下挂PC的IP地址在用户识别范围内。
· 需要配置DNS服务器,用以域名解析。
· 终端需要与ESM网络可达,才可以访问到推送的ESM安装推送界面。
· 需要在“ESM接入配置”中开启“是否接入”,ESM推送策略才会有效。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
