|
#原创分享#旁路镜像部署模式下视频防火墙实施部署文档 (只做资产识别&资产识别+管控) 实施原拓扑 实施方案 在上述拓扑中汇聚交换机(主)旁挂一台AF(视频防火墙)进行视频终端资产识别和管控 实施步骤 1. 配置一个镜像口,对端交换机需要镜像其他端口的出入向流量。 2. 配置一个路由口(做管理和扫描,可不配地址,如果要配置,需要保证和下一步中的子接口IP均不在同一vlan),并启用它的子接口(有几个vlan启用几个) 3. 根据定义好的接口和区域,配置好应用控制策略(本处因业务关系,暂时permit any)和安全防护策略 4. 第四步就是配置视频终端接入了,这一步尤为重要 (1) 首先新增启用视频扫描器,根据提示填写好IP地址 (2) 根据实际情况,看是二层扫描还是三层扫描,如果是二层扫描,需要定义好多个路由子接口,以应用于本处的信任VLAN和非信任VLAN。(如果只有一个vlan,可以随便定义一个子接口vlan做非信任vlan,建议交换机上也启用响应vlan),如果不定义好子接口,信任vlan和非信任vlan选不了 (3) 启用高级设置和扫描设置的时间(严格场景建议可设置长一点,范围1-1440,默认60) l 违规处理:【视频终端接入】-【高级设置】配置“异常接入检测(仿冒、私接)”,“协议检测”审计到具体协议类型,管理员收到告警通知,在【策略】-【访问控制】-【应用控制策略】配置阻断策略进行阻断。 l 其他:出现网络异常时,为优先保障业务正常使用,【视频终端接入】-【MAC认证设置】配置“启动认证bypass”功能,放通不进行认证。 (4) 启用认证策略 (5) 配置用户组,必须创建‘已审核’‘未审核’两个用户组 (6) 交换机配置 ① 流量镜像口配置,并街道防火墙的镜像口上 ② 管理口配置,注意要配置成trunk模式,放通所需vlan,并接到上述路由口上 (7) 如需要MAC认证做管控 ① AF启用MAC认证 ② 交换机配置mac认证 1) 举例 l 添加vlan H3C交换机示例: # vlan 1000为与SACG串联的接口 vlan。 # vlan 1001 和 2001为接入交换机1 trunk口对应的vlan # vlan 1002 和 2002 为接入交换机2 trunk口对应的vlan vlan 1000 to 1002 vlan 2001 to 2002 l 设置SACG串联接口 设置hybird模式 删除端口的缺省vlan 设置pvid 设置untagged vlan H3C交换机示例: interface GigabitEthernet1/0/23 port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 1000 untagged port hybrid pvid vlan 1000 l 设置接入交换机接入接口 设置trunk模式 设置允许通过的vlan H3C交换机示例: # 接入交换机1 interface GigabitEthernet1/0/11 port link-type trunk port trunk permit vlan 1 1001 2001 # 接入交换机 2 interface GigabitEthernet1/0/15 port link-type trunk port trunk permit vlan 1 1002 2002 l 设置SACG对接扫描口(MAC认证开启时,则当前接口也作为认证口) 设置trunk模式 设置允许通过的vlan H3C交换机示例: interface GigabitEthernet1/0/24 port link-type trunk port trunk permit vlan 1 1000 to 1002 2001 to 2002 l 设置vlanIP地址(MAC认证开启时,不需要配置guest vlan IP地址),为交换机3层连通做准备。 H3C交换机示例: # SACG串联口 vlan 1000, 192.168.97.210/24 interface Vlan-interface1000 ip address 192.168.97.210 255.255.255.0 # 接入交换1 work vlan 1001, 192.168.99.210/24 interface Vlan-interface1001 ip address 192.168.99.210 255.255.255.0 # 接入交换2 work vlan 2001, 192.168.100.210/24 interface Vlan-interface1002 ip address 192.168.100.210 255.255.255.0 l 配置静态路由,将不同的接入交换机3层连通。 H3C交换机示例: # 接入交换机1 ip route-static 192.168.99.0 24 192.168.99.210 # 接入交换机2 ip route-static 192.168.100.0 24 192.168.100.210 # 与SACG串联接口 ip route-static 192.168.97.0 24 192.168.97.210 (8) 接入网络中后,正常可以扫描到资产,认证策略将用户信息保存到【未审核】组下,通过用户端人工判断后,可以准确识别到哪些设备终端是安全的,可以加入到【已审核】组中,不安全的可以进行封堵操作等。 (9) 注意事项 ① 扫描一定注意需要明确扫描的IP范围是用户可控的范围,并与用户确认清楚。不允许在IP范围不明确的清楚下开启扫描,以免带来不必要的风险; ② 在一些敏感的环境下(公安网),扫描间隔需要设置为60分钟以上,一般一天扫描两三次就够了,避免因为扫描发包过多; ③ 如果扫描的目标范围为二层网络,但是使用的策略未开启二层扫描, 也是能够拿到mac地址的,所以能否拿到mac地址与扫描策略无关, 只与设备所处的网络是否为二层网络有关。需要注意有些摄像头的一些协议消息中包含了mac地址,所有在三层网络的情况下,有些摄像头设备也能够拿到mac地址; ④ 二层网络默认通过arp发现资产,三层网络默认通过icmp发现资产,而发现资产后,还会继续采用应用层的扫描来获取更多详细的资产数据 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-8-31 15:35
发表于 2020-8-31 19:22
技术员3级 
