终端识别

特性简介

终端识别是建立物联网安全连接的重要前提，主要用于识别物联网中的终端，例如视频摄像头和各类传感器等。当终端流量流经设备时，设备可以分析并提取出终端信息，例如终端的厂商、型号、MAC地址等，并支持在终端信息发生变更时（包括初次识别终端信息和后续终端信息发生变化）向用户发送日志进行告警，提示用户。

基本概念

终端

设备特征库中支持预定义终端，用于标识终端的特征信息。

选择“对象 > 安全配置文件 > 终端识别 > 终端”，可查看设备支持的终端。单击<开启终端识别日志功能>按钮，可开启终端识别日志功能。

终端组

可以将具有相似特征的终端添加到一个终端组中。一个终端组，就是若干个终端的集合。如果报文被识别为属于某个终端，而该终端又属于某个终端组，则报文相当于被识别为属于某个终端组。基于终端的业务可以对属于同一个终端组的报文做统一处理。

终端识别对象组

终端识别对象组用于确认终端的IP地址。包括如下类型：

• 终端地址对象组：是指终端所在的地址对象组。当报文源/目的IP地址匹配终端地址对象组时，则源/目的IP地址为终端地址。

• 管理地址对象组：是指管理终端设备的管理员所在的地址对象组，当报文源/目的IP地址匹配管理地址对象组时，则目的/源IP地址为终端地址。

终端识别白名单

终端识别白名单用于过滤终端流量，若终端设备IP地址在白名单范围内，则系统放行该终端流量；否则，系统丢弃该终端流量。终端识别白名单支持配置两种动作，具体如下。

• 放行：放行白名单内的所有终端流量

• 阻断：仅白名单内的终端设备信息发生变化后，才丢弃终端流量；否则，放行终端流量。

工作模式

终端识别支持如下工作模式：

• 告警模式：此模式下，系统放行所有终端流量。若系统检测到终端信息发生变化（包含首次识别出终端设备），则向用户发送日志进行告警。在安全控制要求比较宽松的场景中，可以采用此工作模式。

• 白名单模式：此模式下，系统仅会放行白名单中的终端流量。若系统检测到白名单中的终端信息发生变化，则向用户发送日志进行告警。在安全控制要求较严格的场景中，可以采用此工作模式。

选择“对象 > 安全配置文件 > 终端识别 > 终端”，进入终端页面。在终端页面，单击<工作模式>按钮，在弹出的工作模式页面上，选择相应的工作模式。

工作流程

图-1 终端识别两种工作模式流程图

终端识别的工作流程具体如下：

• 告警模式下：系统识别并放行所有终端流量，如果系统识别出终端信息发生变化，则向用户发送日志进行告警；否则，不会发送日志。

• 白名单模式下，终端识别对终端流量的处理流程如下：

  1. 系统对终端流量进行识别，对于无法识别出具体信息的终端将其归为other类终端。无论识别结果是明确的终端设备信息，还是other类终端，系统均检查终端设备的IP地址是否在白名单内。

  2. 若终端设备IP地址不在白名单范围内，系统将直接丢弃终端流量；否则，系统将检测终端信息是否发生变化。若终端信息没有发生变化，则直接放行该终端流量。

  3. 若终端信息发生变化，则向用户发送日志进行告警，系统将继续检测白名单的动作是否为放行。

  4. 若白名单的动作为放行，则系统放行终端流量；否则，系统丢弃终端流量。

vSystem相关说明

非缺省vSystem对于本特性的支持情况，请以页面的实际显示为准。

License支持情况

终端识别基于APR特征库识别终端信息。License过期后，终端识别功能可以采用设备中已有的APR特征库正常工作，但无法升级特征库。关于License的详细介绍请参见“License联机帮助”。

使用限制和注意事项

• 在白名单模式下，如果白名单动作为阻断，当白名单中的终端设备初次上线时，系统会丢弃这些终端设备的流量。此时用户需要将其审批为合法，系统才能放行终端流量。

• 若管理地址对象组和终端地址对象组同时配置，管理地址对象组的优先级更高。

配置指南

配置准备

在配置本特性之前，需要完成以下任务：

• 配置接口IP地址。接口在“网络 > 接口与VRF > 接口”页面配置。

• 配置路由，保证路由可达。路由在“网络 > 路由”页面配置。

• 创建安全域。安全域在“网络 > 安全域”页面配置。

• 配置接口加入安全域。可在安全域页面添加接口，也可在接口页面选择接口所属的安全域。

• 配置安全策略，放行业务流量。安全策略在“策略 > 安全策略”页面配置。

配置白名单模式终端识别

在白名单模式下，设备仅会放行白名单中的终端流量。若设备检测到到白名单中的终端信息（例如厂商、型号、MAC地址等）发生变化，将以快速日志的方式向日志主机发送日志信息。在安全控制要求比较严格的场景中，建议采用此工作模式。

配置工作模式

1. 选择“对象 > 安全配置文件 > 终端识别 > 终端”，进入终端页面。

2. 单击<工作模式>按钮，进入工作模式配置页面。

   图-2 工作模式

   

   图-3 工作模式配置页面

   

3. 选择“白名单模式”，并配置白名单的动作。

4. 单击<确定>按钮，返回到终端页面。

配置终端识别对象组

1. 选择“对象 > 安全配置文件 > 终端识别 > 终端”，进入终端页面。

2. 单击<配置终端识别对象组>按钮，进入配置终端识别对象组页面。具体配置内容如下所示：

   图-4 配置终端识别对象组

   

   图-5 配置终端识别对象组页面

   

   表-1 终端识别对象组配置参数表

   参数		说明
   IPv4地址对象组	管理地址对象组	管理终端设备的管理员所在的地址对象组
   	终端地址对象组	终端所在的地址对象组
   	终端白名单地址对象组	终端白名单地址对象组用于过滤终端流量，若终端设备IP地址在白名单范围内，则系统放行该终端流量；否则，系统丢弃该终端流量 此功能仅在白名单模式下生效。
   IPv6地址对象组	管理地址对象组	管理终端设备的管理员所在的地址对象组
   	终端地址对象组	终端所在的地址对象组

3. 单击<确定>按钮，完成配置。

配置告警模式终端识别

在告警模式下，若设备检测到终端信息（例如厂商、型号、MAC地址等）发生变化，将以快速日志的方式向日志主机发送日志信息。在安全控制要求比较宽松的场景中，可以采用此工作模式。

配置工作模式

1. 选择“对象 > 安全配置文件 > 终端识别 > 终端”，进入终端页面。

2. 单击<工作模式>按钮，进入工作模式配置页面。

   图-6 工作模式

   

   图-7 工作模式配置页面

   

3. 选择“告警模式”。

4. 单击<确定>按钮，返回到终端页面。

配置终端识别对象组

配置管理地址对象组和终端地址对象组，请至少选择其中一种进行配置。具体配置内容请参见“配置终端识别对象组”章节。

配置终端组

一个终端组，就是若干个终端的集合。可以将具有相似特征的终端添加到一个终端组中，方便管理员配置安全策略时引用终端对象。

配置终端组的具体步骤如下：

1. 选择“对象 > 安全配置文件 > 终端识别 > 终端组”，进入终端组页面。

2. 单击<新建>按钮，进入新建终端组页面，具体配置内容如下所示：

   图-8 新建终端组

   

   图-9 新建终端组页面

   

   表-2 终端组配置参数表

   参数	说明
   终端组名称	配置终端组名称
   描述	合理的描述信息能够帮助管理员快速理解此终端组的作用
   可选终端	可以加入终端组的终端
   已选终端	已经加入终端组的终端

3. 单击<确定>按钮，完成配置。