- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
15-物聯網設備安全管理配置
本章節下載: 15-物聯網設備安全管理配置 (403.59 KB)
目 錄
隨著科學技術的快速發展,“萬物互聯”的物聯網時代正在來臨。
物聯網(IoT)是數字轉型時代最重要的技術之一,意在將一切都連接到互聯網。相較於傳統的互聯網,物聯網連接的設備種類繁多、數量巨大、作用範圍廣,很多設備都處於偏僻無人看管的狀態。因此它們麵臨的危險和漏洞也隨之增加。例如視頻安全係統中很多的終端攝像機都是處在偏僻角落監控周圍環境。當前物聯網麵臨的安全挑戰主要有以下幾種:
· 非標準設備接入
· 設備被非法替換
· 數據泄露和數據篡改
· 拒絕服務攻擊
而利用物聯網安全管理相關功能可以很好的保障物聯網內部的安全,克服以上挑戰,防止信息泄露和網絡攻擊,保障用戶的財產安全。
圖1-1 視頻安全管理組網
物聯網設備安全管理是一種針對物聯網設備進行智能檢測、安全管理的技術,主要功能包括:
· 標準格式檢查:根據不同的物聯網設備標準,對物聯網設備流量進行檢查,確定流量是否符合相關物聯網標準。此功能可以有效的避免非標準設備的接入。
· 設備準入控製:根據不同的物聯網設備標準以及管理員配置的設備信息對物聯網設備流量進行檢查,從而達到隻有被允許的物聯網設備發出的流量才能通行的目的。此功能可以有效地避免設備被篡改的情況。
· 敏感信令控製:根據不同的物聯網設備標準,對物聯網設備流量進行敏感信令識別,通過將流量信息與管理員配置的敏感信令進行匹配,實現對相關敏感信令進行過濾的功能。此功能可以檢測出物聯網設備流量中的查詢、準入、控製等敏感行為,從而有效的避免數據泄露和數據篡改。
· 標準流量管控:根據不同的標準流量管控策略,對物聯網設備流量進行檢測,通過將單一設備編碼的請求發生次數、頻率等信息與管理員設置的閾值進行比較,實現對請求方設備進行流量管控的功能。此功能可以有效的避免拒絕服務攻擊。
如圖1-2所示,如果設備同時配置了標準格式檢查、設備準入控製、敏感信令控製和標準流量管控中的多個功能,設備會按照上述出現順序依次對報文進行處理,途中如果報文被丟棄將不進行後續處理。
敏感信令控製功能是根據APR(Application Recognition,應用層協議識別)特征庫中的敏感信令信息來對流量進行識別從而實現敏感信令過濾的功能,因此請及時更新APR特征庫到最新版本。
APR特征庫的升級需要購買並正確安裝License後才能使用。License過期後,APR功能可以采用設備中已有的APR特征庫正常工作,但無法升級特征庫。關於APR特征庫升級的方法,請參見“安全配置指導”中的“APR”。
目前,物聯網設備安全管理相關功能僅支持對采用GB/T 28181、GB 35114、GA/T 1400標準的物聯網設備進行智能檢測和管理。
物聯網設備安全管理配置任務如下:
(1) 配置標準格式檢查功能
(2) 配置設備準入控製功能
¡ 配置設備檢測時間
¡ (可選)配置重認證功能
(3) 配置敏感信令控製功能
(4) 配置標準流量管控功能
¡ 配置告警周期
¡ (可選)移動標準流量管控策略的位置
標準格式檢查功能可以根據配置檢查流經設備的物聯網相關流量是否符合相關的物聯網標準,從而避免不符合相關標準的非法設備接入物聯網。
圖1-3 標準格式檢查流程圖
標準格式檢查實現流程如下:
(2) 對於流經設備的物聯網相關流量,設備會判斷它的源地址是否在白名單之內,在白名單內的流量將會直接放行。
(3) 對於不在白名單內的流量,設備會根據它的源地址來判斷是否需要進行格式檢查。不需要進行格式檢查的流量將會直接放行。可以分別配置IPv4、IPv6、MAC源地址對象組作為匹配報文源地址的過濾條件。相同類型的地址對象組隻能存在一個。不同類型的地址對象組之間是“或”的關係,即隻要有一個對象組匹配就算匹配成功。
(4) 如果需要進行格式檢查,設備會根據管理員配置的行政區域屬性、設備編碼、物聯網設備類型、接口方法等檢測屬性來判斷流量是否滿足相關的物聯網標準,所有檢測屬性都滿足標準的流量會直接放行。
(5) 對於不滿足標準的流量,設備會根據管理員配置的動作將其丟棄或者放行。
設備隻對滿足過濾條件的物聯網相關流量進行檢查,其他物聯網相關流量會直接放行。因此建議管理員配置過濾條件時將所有物聯網設備都包含在內。
(1) 進入係統視圖。
system-view
(2) 進入物聯網設備安全管理視圖。
iot security-manage
(3) 進入格式檢查視圖。
format-check
(4) 進入格式檢查標準視圖。
standard standard-type
(5) 配置作為格式檢查過濾條件的源地址對象組。
source-address object-group { ipv4 | ipv6 | mac } object-group-name
缺省情況下,未配置作為格式檢查過濾條件的源地址對象組。
(6) 配置標準檢測屬性。
inspect-attribute { administrative-area | device-id | device-type | interface-method } *
缺省情況下,未配置檢測屬性。
(7) 配置格式檢查失敗執行動作
action { drop | permit } [ logging ]
缺省情況下,格式檢查失敗執行動作為允許,不輸出日誌。
(8) 開啟指定標準的格式檢查功能
enable
缺省情況下,標準的格式檢查功能處於關閉狀態。
(9) 退回格式檢查視圖。
quit
(10) (可選)配置格式檢查白名單
format-allowlist object-group { ipv4 | ipv6 | mac } object-group-name
缺省情況下,未配置格式檢查白名單。
當管理員對物聯網接入設備非常信任或發現格式檢查存在誤報的情況時,可以將選中的地址對象組加入到白名單以提高設備處理效率或減少誤報。
設備準入控製功能可以根據配置的設備認證信息檢查流經設備的所有流量是否可以在設備上轉發。從而避免非信任設備接入物聯網或者設備被替換的情況發生。
圖1-4 設備準入控製流程圖
設備準入控製實現流程如下:
(2) 對於流經設備的全部流量,設備會判斷它的源地址是否在白名單之內,在白名單內的流量將會直接放行。
(3) 對於不在白名單內的流量,設備會根據它的源地址來判斷是否需要進行設備準入控製。不需要進行設備準入控製的流量將會直接丟棄。可以分別配置IPv4、IPv6、MAC源地址對象組作為匹配報文源地址的過濾條件。相同類型的地址對象組隻能存在一個。不同類型的地址對象組之間是“或”的關係,即隻要有一個對象組匹配就算匹配成功。
(4) 如果需要進行設備準入控製,設備會根據管理員配置的IP地址、MAC地址、設備編碼、標準等設備認證信息來判斷流量是否可以在設備上轉發,滿足所有認證信息的流量會直接放行。
(5) 對於不滿足認證信息的流量,設備會根據管理員配置的動作將其丟棄或者放行。
設備準入控製功能會將不滿足過濾條件的所有流量進行阻斷,包括不屬於GB/T 28181、GB 35114、GA/T 1400標準的流量,因此建議用戶在不需要時關閉該功能。
(1) 進入係統視圖。
system-view
(2) 進入物聯網設備安全管理視圖。
iot security-manage
(3) 進入設備準入控製視圖。
access-control
(4) 配置作為設備準入控製過濾條件的源地址對象組。
source-address object-group { ipv4 | ipv6 | mac } object-group-name
缺省情況下,未配置作為設備準入控製過濾條件的源地址對象組。
(5) 配置物聯網設備的認證信息。
device-info { { ipv4 ipv4-address | ipv6 ipv6-address } | mac mac-address } * [ device-id id { standard standard-type } &<1-n> ]
缺省情況下,未配置物聯網設備的認證信息。
(6) (可選)批量導入物聯網設備信息。
import-device-info file-path
(7) 配置認證失敗時設備準入控製所執行的動作。
action { drop | permit } [ logging ]
缺省情況下,認證失敗時設備準入控製所執行的動作為允許,不輸出日誌。
(8) 開啟設備準入控製功能。
enable
缺省情況下,設備準入控製功能處於關閉狀態。
(9) (可選)配置設備準入控製白名單。
access-allowlist object-group { ipv4 | ipv6 | mac } object-group-name
缺省情況下,未配置設備準入控製白名單。
當管理員對物聯網接入設備非常信任或發現設備準入控製存在誤報的情況時,可以將選中的地址對象組加入到白名單以提高設備處理效率或減少誤報。
如果報文中采集到的物聯網設備信息不完整,設備將無法對接入的設備完成認證操作。此時需要配置合適的設備檢測時間。
在檢測時間範圍內,如果設備采集到所需的完整物聯網設備認證信息,設備會進行認證操作。針對暫時無法采集完整物聯網設備信息的報文,設備將會持續采集每個報文中的物聯網設備信息進行認證。如果在超過檢測時間後仍然無法采集到所需的完整信息,則直接標記為認證失敗。設備會將獲取到完整所需信息之前的流量,按照管理員指定的認證失敗動作進行處理。
(1) 進入係統視圖。
system-view
(2) 進入物聯網設備安全管理視圖。
iot security-manage
(3) 進入設備準入控製視圖。
access-control
(4) 配置設備檢測時間
detect-duration time
缺省情況下,設備檢測時間為60秒。
當管理員通過物聯網相關的管理平台修改物聯網設備本身的設備編碼、使用的標準類型等信息時,由於該物聯網設備之前已經認證成功,因此可能會出現修改物聯網設備信息後認證不準確的情況。此時可以使用本功能對指定的流量進行重新認證。
(1) 進入係統視圖。
system-view
(2) 進入物聯網設備安全管理視圖。
iot security-manage
(3) 進入設備準入控製視圖。
access-control
(4) 對配置的物聯網設備進行重認證操作。
re-authenticate { all | { ipv4 ipv4-address | ipv6 ipv6-address } [ mac mac-address ] | mac mac-address }
敏感信令控製功能可以根據配置檢查流經設備的物聯網相關流量是否含有查詢、準入、控製等敏感行為信令,從而有效的避免數據泄露和數據篡改。
圖1-5 敏感信令控製流程圖
敏感信令控製實現流程如下:
(2) 對於流經設備的物聯網相關流量,設備會判斷它的源地址是否在白名單之內,在白名單內的流量將會直接放行。
(3) 對於不在白名單內的流量,設備會根據它的源地址來判斷是否需要進行敏感信令控製。不需要進行敏感信令控製的流量將會直接放行。可以分別配置IPv4、IPv6、MAC源地址對象組作為匹配報文源地址的過濾條件。相同類型的地址對象組隻能存在一個。不同類型的地址對象組之間是“或”的關係,即隻要有一個對象組匹配就算匹配成功。
(4) 如果需要進行敏感信令控製,設備會檢查流量中是否含有用戶指定的敏感信令,不含有敏感信令的流量會直接放行。
(5) 對於含有敏感信令的流量,設備會根據管理員配置的動作將其丟棄或者放行。
設備隻對滿足過濾條件的物聯網相關流量進行檢查,其他物聯網相關流量會直接放行。因此建議管理員配置過濾條件時將所有物聯網設備都包含在內。
(1) 進入係統視圖。
system-view
(2) 進入物聯網設備安全管理視圖。
iot security-manage
(3) 進入敏感信令控製視圖。
signal-control
(4) 進入敏感信令標準視圖。
standard standard-type
(5) 配置作為敏感信令控製過濾條件的源地址對象組。
source-address object-group { ipv4 | ipv6 | mac } object-group-name
缺省情況下,未配置作為敏感信令控製過濾條件的源地址對象組。
(6) 選擇指定標準的敏感信令。
signal-select category category-name [ signal signal-name ]
缺省情況下,未選擇任何標準的敏感信令。
(7) 配置敏感信令執行動作
action { drop | permit } [ logging ]
缺省情況下,敏感信令執行動作為允許,不輸出日誌。
(8) 開啟指定標準的敏感信令控製功能
enable
缺省情況下,敏感信令控製功能處於關閉狀態
(9) 退回敏感信令控製視圖。
quit
(10) (可選)配置敏感信令白名單。
signal-allowlist object-group { ipv4 | ipv6 | mac } object-group-name
缺省情況下,未配置敏感信令白名單。
當管理員對物聯網接入設備非常信任或發現敏感信令控製存在誤報的情況時,可以將選中的地址對象組加入到白名單以提高設備處理效率或減少誤報。
標準流量管控功能可以根據需要來配置不同的標準流量管控策略,對流經設備的物聯網設備流量進行檢測,當出現有物聯網設備大量發送請求或者短期內發送請求頻率過高時可以根據配置將該設備發送的流量丟棄,從而避免係統遭受到拒絕服務攻擊。
圖1-6 標準流量管控流程圖
標準流量管控實現流程如下:
(2) 對於流經設備的物聯網相關流量,設備會根據管理員配置的標準流量管控策略中的請求方設備編碼、IP地址、MAC地址、物聯網相關標準等過濾條件來判斷是否需要進行標準流量管控。
(3) 如果報文與某條標準流量管控策略中所有種類的過濾條件都匹配成功(每種過濾條件的多個匹配項之間是或的關係,即報文與某一類過濾條件中的任意一個匹配項匹配成功,則報文與該類過濾條件匹配成功),則報文與此條標準流量管控策略匹配成功。若有一類過濾條件不匹配,則報文與此條標準流量管控策略匹配失敗,報文繼續匹配下一條標準流量管控策略。以此類推,直到最後一條標準流量管控策略,若報文還未與規則匹配成功,則不對流量進行標準流量管控。
(4) 如果需要進行標準流量管控,設備會根據用戶配置的單設備發出請求次數和單設備發出請求頻率等判定條件來判斷流量是否需要執行管理員配置的標準流量管控策略的執行動作。對於未達到判定條件閾值的流量,設備會直接放行。
(5) 對於達到判定條件閾值的流量,設備會根據管理員配置的動作將其丟棄或者放行。
設備隻對滿足過濾條件的物聯網相關流量進行檢查,其他物聯網相關流量會直接放行。因此建議管理員配置過濾條件時將所有物聯網設備都包含在內。
(1) 進入係統視圖。
system-view
(2) 進入物聯網設備安全管理視圖。
iot security-manage
(3) 進入標準流量管控視圖。
flow-control
(4) 進入標準流量管控策略視圖。
policy name policy-name
(5) 配置作為標準流量管控策略過濾條件的源地址對象組。
match-address-object { ipv4 | ipv6 } object-group-name
缺省情況下,未配置作為標準流量管控策略過濾條件的源地址對象組。
(6) 配置作為標準流量管控策略過濾條件的標準類型。
match-standard standard-type
缺省情況下,未配置作為標準流量管控策略過濾條件的標準類型。
(7) 配置作為標準流量管控策略過濾條件的物聯網設備信息。
match-device-info device-id device-id [ ipv4 ipv4-address | ipv6 ipv6-address ] [ mac mac-address ]
缺省情況下,未配置作為標準流量管控策略過濾條件的物聯網設備信息。
(8) 配置標準流量管控策略執行的判定條件。
judge-condition { requests-per-id number | request-rate-per-id rate } *
缺省情況下,未配置標準流量管控策略執行的判定條件。
(9) 配置策略執行的判定條件關係。
judge-logic { and | or }
缺省情況下,判定條件關係為或的關係。
(10) 配置標準流量管控策略的執行動作。
flow-action { drop | permit } [ logging ]
缺省情況下,標準流量管控策略的執行動作為允許,不輸出日誌。
(11) (可選)禁用指定的標準流量管控策略。
disable
缺省情況下,標準流量管控策略處於開啟狀態。
為了避免設備持續發送大量標準流量管控日誌而對設備性能造成影響,可以通過本功能來設置標準流量管控日誌發送的周期。當有物聯網接入設備命中策略需要發送標準流量管控日誌時,設備會判斷距上一次該接入設備命中相同的策略時發送日誌的時間是否超過告警周期,超過則發送日誌,不超過則不發送日誌。
(1) 進入係統視圖。
system-view
(2) 進入物聯網設備安全管理視圖。
iot security-manage
(3) 進入標準流量管控視圖。
flow-control
(4) 配置告警周期。
warning-period time
缺省情況下,告警周期為5分鍾。
設備根據標準流量管控策略在設備上顯示的順序從上到下對流量進行匹配,一旦匹配上某個標準流量管控策略便結束此匹配過程,並根據該策略中指定的動作對此流量進行處理;如果流量沒有匹配上任何規則,則允許該流量通過。
為了使設備上部署的標準流量管控功能達到更好、更嚴謹的效果,因此配置標準流量管控策略時要遵循“先精細後寬泛”的原則。如果發現設備中已配置的標準流量管控策略之間的順序不符合這個原則,則可以通過移動標準流量管控策略的功能來調整標準流量管控策略之間的順序。
(1) 進入係統視圖。
system-view
(2) 進入物聯網設備安全管理視圖。
iot security-manage
(3) 進入標準流量管控視圖。
flow-control
(4) (可選)移動標準流量管控策略的位置
policy move policy-name1 { after | before } [ policy-name2 ]
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後物聯網設備安全管理處理業務的統計信息。在用戶視圖下,執行reset命令可以清除物聯網設備安全管理的統計信息。
表1-1 物聯網設備安全管理顯示和維護
|
操作 |
命令 |
|
顯示特征庫中支持的所有物聯網設備敏感信令詳情 |
display iot security-manage signal-control signal-detail |
|
顯示標準流量管控功能中策略統計信息 |
display iot security-manage flow-control statistics policy name policy-name [ slot slot-number ] |
|
清除標準流量管控策略內所有請求方設備編碼的統計信息 |
reset iot security-manage flow-control statistics policy name policy-name |
如圖1-7所示,Device分別通過Trust安全域和Untrust安全域與物聯網管理設備和終端設備相連。現要求設備根據GB/T 28181標準對物聯網接入設備流量進行檢查,避免有不使用GB/T 28181標準的物聯網設備接入網絡。
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置地址對象組
# 創建名為abc的IP地址對象組,並將地址為192.168.2.0,掩碼為255.255.255.0的IPv4子網地址加入到對象組中。具體配置步驟如下。
[Device] object-group ip address abc
[Device-obj-grp-ip-web] network subnet 192.168.2.0 255.255.255.0
[Device-obj-grp-ip-web] quit
(4) 配置標準格式檢查功能
# 配置標準格式檢查功能,對物聯網接入設備進行檢查,隻有符合GB/T 28181標準的物聯網設備的流量才會被放行,不符合標準的流量會被丟棄並發送日誌。
[Device] iot security-manage
[Device-iot-sec] format-check
[Device-iot-sec-format-check] standard GBT28181
[Device-iot-sec-format-check-GBT28181] source-address object-group ipv4 abc
[Device-iot-sec-format-check-GBT28181] inspect-attribute administrative-area device-id device-type interface-method
[Device-iot-sec-format-check-GBT28181] action drop logging
[Device-iot-sec-format-check-GBT28181] enable
[Device-iot-sec-format-check-GBT28181] quit
[Device-iot-sec-format-check] quit
[Device-iot-sec] quit
(5) 配置安全策略
# 配置名稱為trust-untrust的安全策略規則,使兩端的物聯網設備可以互訪。具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-1-trust-untrust] source-zone trust
[Device-security-policy-ip-1-trust-untrust] source-zone untrust
[Device-security-policy-ip-1-trust-untrust] destination-zone trust
[Device-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-security-policy-ip-1-trust-untrust] action pass
[Device-security-policy-ip-1-trust-untrust] quit
[Device-security-policy-ip] quit
以上配置生效後,物聯網設備隻有使用GB/T 28181標準格式才可以與管理平台進行通信,不使用GB/T 28181標準格式將無法與管理平台進行通信。
如圖1-8所示,Device分別通過Trust安全域和Untrust安全域與物聯網管理設備和終端設備相連。現要求設備根據不同的物聯網設備標準以及管理員配置的設備信息對物聯網設備流量進行檢查,從而達到隻有允許的物聯網設備發出的流量才能通行的目的,避免物聯網設備被篡改的情況發生。
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置地址對象組
# 創建名為abc的IP地址對象組,並將地址為192.168.2.0,掩碼為255.255.255.0的IPv4子網地址加入到對象組中。具體配置步驟如下。
[Device] object-group ip address abc
[Device-obj-grp-ip-web] network subnet 192.168.2.0 255.255.255.0
[Device-obj-grp-ip-web] quit
(4) 配置設備準入控製功能
# 配置設備準入控製功能,對物聯網接入設備進行檢查,隻有與管理員配置的設備認證信息一致的物聯網設備的流量才會被放行,不一致的物聯網設備的流量會被丟棄並發送日誌(此處僅配置一條設備信息進行舉例)。
[Device] iot security-manage
[Device-iot-sec] access-control
[Device-iot-sec-access-control] source-address object-group ipv4 abc
[Device-iot-sec-access-control] device-info ipv4 192.168.2.2 device-id 12345678901234567890 standard GBT28181 GB35114 GAT1400
[Device-iot-sec-access-control] action drop logging
[Device-iot-sec-access-control] enable
[Device-iot-sec-access-control] quit
[Device-iot-sec] quit
(5) 配置安全策略
# 配置名稱為trust-untrust的安全策略規則,使兩端的物聯網設備可以互訪。具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-1-trust-untrust] source-zone trust
[Device-security-policy-ip-1-trust-untrust] source-zone untrust
[Device-security-policy-ip-1-trust-untrust] destination-zone trust
[Device-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-security-policy-ip-1-trust-untrust] action pass
[Device-security-policy-ip-1-trust-untrust] quit
[Device-security-policy-ip] quit
以上配置生效後,物聯網設備隻有設備信息與管理員配置的設備認證信息一致才可以與管理平台進行通信,認證失敗的設備將無法與管理平台進行通信。
如圖1-9所示,Device分別通過Trust安全域和Untrust安全域與物聯網管理設備和終端設備相連。現要求設備對物聯網接入設備的流量進行敏感信令識別,通過將流量信息與管理員配置的敏感信令進行匹配,查找報文中是否含有查詢信息的敏感行為。對於GB/T 28181標準的流量,如果報文中含有查詢信息的敏感行為,該報文將會被丟棄,從而避免數據泄露。
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置地址對象組
# 創建名為abc的IP地址對象組,並將地址為192.168.2.0,掩碼為255.255.255.0的IPv4子網地址加入到對象組中。具體配置步驟如下。
[Device] object-group ip address abc
[Device-obj-grp-ip-web] network subnet 192.168.2.0 255.255.255.0
[Device-obj-grp-ip-web] quit
(4) 配置敏感信令控製功能
# 配置敏感信令控製功能,對使用GB/T 28181標準的物聯網接入設備發出的流量進行檢查。隻有不包含查詢信息的敏感行為的流量才會被放行,反之設備會丟棄該流量並發送日誌。
[Device] iot security-manage
[Device-iot-sec] signal-control
[Device-iot-sec-signal-control] standard GBT28181
[Device-iot-sec-signal-control-GBT28181] source-address object-group ipv4 abc
[Device-iot-sec-signal-control-GBT28181] signal-select category queryclass
[Device-iot-sec-signal-control-GBT28181] action drop logging
[Device-iot-sec-signal-control-GBT28181] enable
[Device-iot-sec-signal-control-GBT28181] quit
[Device-iot-sec-signal-control] quit
[Device-iot-sec] quit
(5) 配置安全策略
# 配置名稱為trust-untrust的安全策略規則,使兩端的物聯網設備可以互訪。具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-1-trust-untrust] source-zone trust
[Device-security-policy-ip-1-trust-untrust] source-zone untrust
[Device-security-policy-ip-1-trust-untrust] destination-zone trust
[Device-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-security-policy-ip-1-trust-untrust] action pass
[Device-security-policy-ip-1-trust-untrust] quit
[Device-security-policy-ip] quit
以上配置生效後,對於GB/T 28181標準格式的流量,如果含有刪除信息的敏感行為將會被丟棄。
如圖1-10所示,Device分別通過Trust安全域和Untrust安全域與物聯網管理設備和終端設備相連。現要求設備根據不同的標準流量管控策略對流量進行檢測。如果有物聯網接入設備使用GB/T 28181標準並且匹配上了策略中的設備信息,設備會將該物聯網接入設備的請求發生次數等信息與管理員設置的閾值進行比較,實現對請求方設備進行流量管控的功能。從而避免拒絕服務攻擊。
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置地址對象組
# 創建名為abc的IP地址對象組,並將地址為192.168.2.0,掩碼為255.255.255.0的IPv4子網地址加入到對象組中。具體配置步驟如下。
[Device] object-group ip address abc
[Device-obj-grp-ip-web] network subnet 192.168.2.0 255.255.255.0
[Device-obj-grp-ip-web] quit
(4) 配置標準流量管控功能
# 配置標準流量管控策略p1,對物聯網接入設備進行檢查。如果某台物聯網接入設備匹配上了該策略,設備會計算這台物聯網接入設備發出請求的總次數。當發出請求的總次數超出12次時,這台物聯網接入設備發出的流量將會被丟棄(此處僅配置一條設備信息進行舉例)。
[Device] iot security-manage
[Device-iot-sec] flow-control
[Device-iot-sec-flow-control] policy name p1
[Device-iot-sec-flow-control-policy-p1] source-address object-group ipv4 abc
[Device-iot-sec-flow-control-policy-p1] match-standard GBT28181
[Device-iot-sec-flow-control-policy-p1] match-device-info device-id 12345678901234567890 ipv4 192.168.2.2
[Device-iot-sec-flow-control-policy-p1] judge-condition requests-per-id 12
[Device-iot-sec-flow-control-policy-p1] flow-action drop
[Device-iot-sec-flow-control-policy-p1] quit
[Device-iot-sec-flow-control] quit
[Device-iot-sec] quit
(5) 配置安全策略
# 配置名稱為trust-untrust的安全策略規則,使兩端的物聯網設備可以互訪。具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-1-trust-untrust] source-zone trust
[Device-security-policy-ip-1-trust-untrust] source-zone untrust
[Device-security-policy-ip-1-trust-untrust] destination-zone trust
[Device-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-security-policy-ip-1-trust-untrust] action pass
[Device-security-policy-ip-1-trust-untrust] quit
[Device-security-policy-ip] quit
以上配置生效後,當該物聯網設備發出請求次數超出12次時,將無法與管理平台進行通信。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
