10 ADCampus V500R002B01鷹視EPS配置指導(dǎo)

密級(jí)【內(nèi)參】ADCampusV500R002B01鷹視EPS配置指導(dǎo) TIME\@"yyyy'年'M'月'd'日'"2020年5月9日Internal內(nèi)參第頁新華三技術(shù)有限公司H3CTechnologiesCo.,Ltd.解決方案名稱Solutionname密級(jí)Confidentialitylevel解決方案ADCampusV500R002B01內(nèi)部公開解決方案版本Solutionversion共28頁Total28pagesV500R002B01 ADCampusV500R002B01 鷹視EPS配置指導(dǎo)擬制陳佳佳/鄭萍萍日期2020/4/15評(píng)審人日期批準(zhǔn)日期新華三技術(shù)有限公司H3CTechnologiesCo.,Ltd.版權(quán)所有侵權(quán)必究Allrightsreserved

修訂記錄RevisionRecord日期修訂版本修改章節(jié)修改描述作者2019/7/310.9全文初稿鄭萍萍2020/4/151.0全文初稿陳佳佳

目錄1 EPS簡(jiǎn)介 1-52 EPS掃描器安裝 2-62.1 操作系統(tǒng)補(bǔ)丁包 2-62.2 掃描器安裝 2-63 EPS掃描器添加 3-84 網(wǎng)關(guān)信息配置 4-114.1 手動(dòng)增加 4-124.2 批量導(dǎo)入 4-125 IP網(wǎng)段設(shè)置 5-146 EPS與EIA聯(lián)動(dòng)參數(shù)配置 6-166.1 EIA認(rèn)證用戶上報(bào)EPS 6-166.1.1 EPS上配置 6-166.1.2 EIA上配置 6-176.2 EPS非法用戶通知EIA 6-196.2.1 關(guān)聯(lián)服務(wù)器參數(shù)配置 6-196.2.2 加入黑名單參數(shù)配置 6-207 所有端點(diǎn) 7-228 端點(diǎn)變更記錄 8-249 掃描器掃描 9-249.1 手動(dòng)掃描 9-249.2 EIA上報(bào)用戶觸發(fā)掃描 9-259.3 掃描器周期掃描 9-2610 配置注意事項(xiàng) 10-26

EPS簡(jiǎn)介鷹視EPS（EndpointsProfilingSystem）端點(diǎn)探測(cè)系統(tǒng)，包含EPS服務(wù)器和EPS掃描器。主要實(shí)現(xiàn)以下三個(gè)功能：●主動(dòng)識(shí)別——準(zhǔn)確識(shí)別網(wǎng)絡(luò)中所有端點(diǎn)的類型，操作系統(tǒng)等信息；●實(shí)時(shí)監(jiān)控——網(wǎng)絡(luò)端點(diǎn)的可視化管理，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)的各種變更情況；●接入控制——對(duì)于非法接入端點(diǎn)進(jìn)行接入控制，強(qiáng)制其下線?；緲I(yè)務(wù)流程如下:管理員在EPS服務(wù)器上配置掃描任務(wù)，并下發(fā)給掃描器。掃描器根據(jù)掃描任務(wù)中的掃描方式進(jìn)行掃描，并根據(jù)自己獨(dú)有的指紋庫(kù)去識(shí)別端點(diǎn)信息，并將信息上報(bào)給EPS服務(wù)器納入管理。EPS服務(wù)器將掃描結(jié)果與端點(diǎn)基線信息進(jìn)行匹配，其中不一致的端點(diǎn)就會(huì)被認(rèn)定為非法端點(diǎn)。EPS服務(wù)器根據(jù)對(duì)配置參數(shù)對(duì)非法端點(diǎn)產(chǎn)生告警，并可以將非法端點(diǎn)阻斷或通過與EIA聯(lián)動(dòng)強(qiáng)制下線非法端點(diǎn)。管理員可以根據(jù)需要將非法端點(diǎn)重置為合法端點(diǎn)，重置成功后EPS就會(huì)對(duì)該端點(diǎn)解除限制，允許接入網(wǎng)絡(luò)，同時(shí)EPS也會(huì)記錄管理員的以上操作，便于日后審計(jì)使用。注意：EPS服務(wù)器建議獨(dú)立部署，不和EIA部署在同一服務(wù)器上，且需保持網(wǎng)絡(luò)互通；EPS掃描器必須單獨(dú)安裝，不能與EIA、DHCP安裝在同一服務(wù)器上，且需保持網(wǎng)絡(luò)互通。EPS掃描器安裝操作系統(tǒng)補(bǔ)丁包安裝掃描器7.3E0602P05及以上版本時(shí)，windows2008R2與windows2012R2操作系統(tǒng)需要安裝補(bǔ)丁才能正常安裝EPS掃描器（具體操作步驟見以下附件），linux系統(tǒng)需要安裝glibc2.17以上版本。掃描器安裝掃描器的安裝軟件，隨EPS安裝包一起發(fā)布，在EPS安裝包的tools文件夾中，有Linux和Windows兩種操作系統(tǒng)的掃描器，如下圖所示：將掃描器的安裝文件拷貝到PC或虛擬機(jī)上，這里以windows操作系統(tǒng)為例，右鍵選擇“以管理員身份運(yùn)行”掃描器安裝文件EPSScanner_V7.3xxxx.exe，開始安裝。在接下來的安裝步驟中，單擊<下一步>按鈕，直到安裝完成。安裝完成后，進(jìn)行掃描器的配置，按下圖順序進(jìn)行掃描器的配置。第一步：輸入服務(wù)器IP，填寫EPS服務(wù)器所在的IP地址；第二步：修改日志等級(jí)，默認(rèn)配置即可，第三步：保存配置，“本機(jī)與服務(wù)器通信IP”自動(dòng)填寫；第四步：點(diǎn)擊“停止服務(wù)”。再點(diǎn)擊“啟動(dòng)服務(wù)”，完成EPS掃描器的配置?！案呒?jí)配置”參數(shù)默認(rèn)以服務(wù)器下發(fā)的為主，除非調(diào)試問題，否則不建議對(duì)其中的參數(shù)進(jìn)行任何修改。注:EPS掃描器不支持安裝在我司CAS虛擬機(jī)上，物理機(jī)以及vmware虛擬機(jī)可支持。若安裝好EPS掃描器后，EScanConfig配置頁面有問題，請(qǐng)嘗試再次執(zhí)行2.1操作系統(tǒng)補(bǔ)丁包中的clearcompressionflag.exe文件。EPS掃描器添加路徑：【用戶】->【端點(diǎn)探測(cè)管理】->【掃描配置】->【掃描器管理】，打開“掃描器管理”頁面；在“掃描器管理”頁面中，有一個(gè)【增加】和【網(wǎng)關(guān)信息】按鈕，如下圖所示：點(diǎn)擊【增加】按鈕，打開“增加掃描器”頁面；在“增加掃描器”頁面中，有一個(gè)“端口深度”和“協(xié)議深度”的下拉框，下拉框有“輕度”、“中度”和“深度”三個(gè)選項(xiàng)，程度越深，掃描探測(cè)端口數(shù)量/探測(cè)使用協(xié)議越多，但是掃描的時(shí)間也會(huì)越長(zhǎng)。請(qǐng)根據(jù)情況進(jìn)行設(shè)置。增加掃描器時(shí)，必須至少關(guān)聯(lián)一個(gè)IP網(wǎng)關(guān)/IP地址段，可以通過“選擇網(wǎng)關(guān)”/“選擇子網(wǎng)”/“增加”三種方式進(jìn)行設(shè)置，“選擇網(wǎng)關(guān)”/“選擇子網(wǎng)”需要預(yù)先配置網(wǎng)關(guān)/配置子網(wǎng)段。注意：ADCampus園區(qū)網(wǎng)方案中，建議使用選擇網(wǎng)關(guān)，并且在網(wǎng)關(guān)中設(shè)置掃描網(wǎng)段的方式進(jìn)行掃描。但是，設(shè)置網(wǎng)關(guān)掃描時(shí)會(huì)有一個(gè)問題，掃描器會(huì)把網(wǎng)關(guān)設(shè)備的IP地址也作為掃描網(wǎng)段進(jìn)行掃描，因此會(huì)把網(wǎng)關(guān)設(shè)備也掃描出來作為一個(gè)端點(diǎn)。若未預(yù)先配置網(wǎng)關(guān)和子網(wǎng)段，可以點(diǎn)擊【增加】按鈕，增加IP段。后續(xù)可以通過修改掃描器的方式，重新設(shè)置需要的掃描方式。配置完成，點(diǎn)擊【確定】按鈕，完成基于IP網(wǎng)段掃描的掃描器配置。新增加的掃描器狀態(tài)為“未知”，只要確保掃描器配置正確以及網(wǎng)絡(luò)連接正常，稍刻自動(dòng)會(huì)變?yōu)椤霸诰€”狀態(tài)。增加掃描器后，可以通過手動(dòng)點(diǎn)擊圖標(biāo)進(jìn)行掃描；掃描器也會(huì)根據(jù)EPS掃描器“系統(tǒng)參數(shù)”中配置的掃描周期進(jìn)行掃描。網(wǎng)關(guān)信息配置在“掃描器管理”頁面中，點(diǎn)擊【網(wǎng)關(guān)信息】按鈕，打開“網(wǎng)關(guān)信息”頁面；在“網(wǎng)關(guān)信息”頁面中，可通過【增加】或【導(dǎo)入】的方式配置網(wǎng)關(guān)信息。由于五期是通過VCFC-Campus進(jìn)行設(shè)備納管，獨(dú)立于iMC平臺(tái)，因此iMC平臺(tái)沒有納管設(shè)備相關(guān)的數(shù)據(jù)，不能通過【選擇】的方式進(jìn)行配置。手動(dòng)增加在“增加網(wǎng)關(guān)信息”頁面中，輸入“網(wǎng)關(guān)名稱”、“網(wǎng)關(guān)IP地址”，“設(shè)備類型”選擇“網(wǎng)關(guān)”，其他參數(shù)默認(rèn)即可。批量導(dǎo)入在“導(dǎo)入網(wǎng)關(guān)信息”頁面中，點(diǎn)擊“下載模板文件”，下載模板。根據(jù)模板文件填寫需要導(dǎo)入的設(shè)備信息，導(dǎo)入修改模板文件；分隔符選擇默認(rèn)的“，”；勾選“過濾標(biāo)題行”；點(diǎn)擊【下一步】按鈕；根據(jù)模板導(dǎo)入，所有輸入框都已選擇導(dǎo)入模板文件中的列，不需要設(shè)置，直接點(diǎn)擊【確定】即可。下圖為導(dǎo)入的設(shè)備信息：IP網(wǎng)段設(shè)置路徑：【用戶】->【端點(diǎn)探測(cè)管理】->【IP子網(wǎng)管理】，打開“IP子網(wǎng)管理”頁面；點(diǎn)擊【增加】->【增加IP子網(wǎng)】，增加IP子網(wǎng)段。增加IP子網(wǎng)后，在路徑：【用戶】->【端點(diǎn)探測(cè)管理】->【掃描配置】->【掃描器管理】，可以通過“增加掃描器”頁面/“修改掃描器”頁面中，點(diǎn)擊【選擇子網(wǎng)】按鈕，選擇創(chuàng)建的IP子網(wǎng)段。EPS與EIA聯(lián)動(dòng)參數(shù)配置EPS和EIA的聯(lián)動(dòng)，需要在EIA和EPS上都進(jìn)行相應(yīng)的參數(shù)配置。通過設(shè)置EPS與EIA服務(wù)器的聯(lián)動(dòng)，可以對(duì)EIA認(rèn)證上線的用戶進(jìn)行監(jiān)控和管理，包括非法用戶、黑名單等。EIA認(rèn)證用戶上報(bào)EPSEIA認(rèn)證用戶上報(bào)EPS，需要在EPS上進(jìn)行“EIA上線消息聯(lián)動(dòng)配置”以及在EIA上進(jìn)行“用戶通知參數(shù)配置”。配置完這兩個(gè)參數(shù)后，EIA上線的用戶信息會(huì)上報(bào)通知EPS。注意：當(dāng)用戶為MAC-Portal認(rèn)證時(shí)，每個(gè)終端用戶上線，EIA會(huì)上報(bào)byod用戶和帳號(hào)用戶信息給EPS，由于EPS目前實(shí)現(xiàn)根據(jù)IP區(qū)分端點(diǎn)，不能根據(jù)MAC信息區(qū)分端點(diǎn)，因此EPS上會(huì)顯示2個(gè)端點(diǎn)信息。EPS上配置路徑：【用戶】->【端點(diǎn)探測(cè)管理】->【系統(tǒng)管理】->【系統(tǒng)參數(shù)】；在“參數(shù)配置”頁面中有一個(gè)“EIA上線消息聯(lián)動(dòng)配置”，如下圖所示：“啟動(dòng)接收上線消息”:啟用后能接收EIA的上線用戶信息；“消息源IP地址”：填寫EIA服務(wù)器IP地址；EIA上配置路徑：【用戶】->【接入策略管理】->【業(yè)務(wù)參數(shù)配置】->【系統(tǒng)配置】->【用戶通知參數(shù)配置】；點(diǎn)擊【增加】，配置用戶通知參數(shù)。通知參數(shù)配置如下，點(diǎn)擊【確定】保存配置：“通知方式”：選擇“UDP”；“通知事件”：選擇“用戶上線”、“計(jì)費(fèi)開始”、“計(jì)費(fèi)更新”；“服務(wù)器IP”：填寫EPS服務(wù)器的IP地址；“服務(wù)器端口”：填寫23000；“通知內(nèi)容”：拷貝以下內(nèi)容到輸入macAddress=${macAddress};terminalType=${terminalType};terminalVendor=${terminalVendor};terminalOs=${terminalOs};framedIp=${framedIp}配置完成后，所有通過EIA認(rèn)證上線的用戶，都可以在路徑：【用戶】->【端點(diǎn)探測(cè)管理】->【所有端點(diǎn)】中查看到。EIA上報(bào)的端點(diǎn)“在線狀態(tài)”為“未知”，通過“EPS掃描器”掃描到端口后，狀態(tài)會(huì)更新為“在線”。EPS非法用戶通知EIA設(shè)置非法用戶聯(lián)動(dòng)EIA組件后，與EIA聯(lián)動(dòng)后，當(dāng)EPS檢測(cè)非法用戶時(shí)，會(huì)把非法用戶會(huì)通告給EIA，EIA收到EPS通告消息后會(huì)把非法用戶加入黑名單并且強(qiáng)制用戶下線。該功能器需進(jìn)行“關(guān)聯(lián)服務(wù)器參數(shù)配置”和“加入黑名單參數(shù)配置”。配置路徑：【用戶】->【端點(diǎn)探測(cè)管理】->【系統(tǒng)管理】->【系統(tǒng)參數(shù)】；關(guān)聯(lián)服務(wù)器參數(shù)配置在參數(shù)配置頁面中有一個(gè)“關(guān)聯(lián)服務(wù)器參數(shù)配置”，如下圖所示：“關(guān)聯(lián)服務(wù)器”：默認(rèn)為“禁用”；啟用參數(shù)后，可以對(duì)其他iMC服務(wù)器相關(guān)數(shù)據(jù)進(jìn)行獲取?！癐P地址”：填寫的是EIA服務(wù)器的IP地址；“端口”：關(guān)聯(lián)EIA服務(wù)器的通信端口8080；“用戶名/密碼”：EIA頁面登錄的用戶名/密碼，EIA的默認(rèn)登錄賬戶/密碼為：admin/admin?！奥?lián)動(dòng)PLAT組件”：?jiǎn)⒂煤罂梢耘c關(guān)聯(lián)服務(wù)進(jìn)行PLAT組件相關(guān)業(yè)務(wù)。“聯(lián)動(dòng)EIA組件”：?jiǎn)⒂煤罂梢耘c關(guān)聯(lián)服務(wù)進(jìn)行EIA組件相關(guān)業(yè)務(wù)。“同步數(shù)據(jù)”：更新設(shè)備接口信息，該功能依賴于“聯(lián)動(dòng)PLAT組件”,從關(guān)聯(lián)服務(wù)器獲取現(xiàn)有通信設(shè)備的接口信息。所有能與設(shè)備接口的IP地址匹配的端點(diǎn)將被隱藏。加入黑名單參數(shù)配置在參數(shù)配置頁面中有一個(gè)“加入黑名單參數(shù)配置”，可設(shè)置端點(diǎn)加入黑名單的方式，如下圖所示：“加入黑名單方式”：默認(rèn)為EIA聯(lián)動(dòng)，不要進(jìn)行修改?！皹I(yè)務(wù)場(chǎng)景”：加入黑名單操作的工作場(chǎng)景，僅在EIA或掃描器聯(lián)動(dòng)方式下有效，可選項(xiàng)有“業(yè)務(wù)優(yōu)先”和“安全優(yōu)先”，默認(rèn)為“業(yè)務(wù)優(yōu)先”。業(yè)務(wù)優(yōu)先：僅支持手工加入黑名單操作；安全優(yōu)先：允許設(shè)置是否將端點(diǎn)自動(dòng)加入黑名單?！胺欠ǘ它c(diǎn)自動(dòng)加入黑名單”：與EIA聯(lián)動(dòng)后，系統(tǒng)將掃描到的非法端點(diǎn)通告EIA，EIA把用戶加入黑名單并強(qiáng)制用戶下線?！靶掳l(fā)現(xiàn)端點(diǎn)自動(dòng)加入黑名單”：?jiǎn)⒂煤螅到y(tǒng)進(jìn)行定時(shí)任務(wù)，將掃描到的上次掃描時(shí)間超過“新發(fā)現(xiàn)設(shè)備掃描時(shí)間過期天數(shù)”的新端點(diǎn)上的在線用戶強(qiáng)制下線，并加入黑名單?！半x線端點(diǎn)自動(dòng)加入黑名單”：?jiǎn)⒂煤?，系統(tǒng)進(jìn)行定時(shí)任務(wù)，將離線時(shí)間超過“離線端點(diǎn)保留時(shí)長(zhǎng)”的端點(diǎn)上的在線用戶強(qiáng)制下線，并加入黑名單?！靶掳l(fā)現(xiàn)端點(diǎn)保留時(shí)長(zhǎng)”：該參數(shù)依賴于是否啟用新發(fā)現(xiàn)端點(diǎn)自動(dòng)加入黑名單；如果啟用，在設(shè)置的過期天數(shù)后，服務(wù)器會(huì)在凌晨3點(diǎn)進(jìn)行檢測(cè)，將新發(fā)現(xiàn)的端點(diǎn)加入黑名單；如果不啟用，則新發(fā)現(xiàn)設(shè)備掃描時(shí)間過期天數(shù)不生效，服務(wù)器將不會(huì)對(duì)此端點(diǎn)進(jìn)行過期天數(shù)檢查?！半x線端點(diǎn)保留時(shí)長(zhǎng)”：系統(tǒng)每天定時(shí)檢查所有端點(diǎn)，如果端點(diǎn)的離線時(shí)間距離當(dāng)前時(shí)間超過保留時(shí)長(zhǎng)，系統(tǒng)將自動(dòng)將該端點(diǎn)加入黑名單。配置完參數(shù)后，EPS上檢測(cè)到的非法端點(diǎn)會(huì)通告給EIA，EIA把非法端點(diǎn)的用戶加入黑名單，并且強(qiáng)制用戶下線?？稍贓IA上通過路徑：【用戶】>【接入用戶管理】>【黑名單用戶】，查看到被加入黑名單端點(diǎn)用戶。所有端點(diǎn)路徑：【用戶】->【端點(diǎn)探測(cè)管理】->【所有端點(diǎn)】，打開在“所有端點(diǎn)”頁面。在“所有端點(diǎn)”頁面中，可查詢到所有EIA上報(bào)的端點(diǎn)信息，以及掃描器掃描的端點(diǎn)信息。“所有端點(diǎn)”頁面中有很多的按鈕，可根據(jù)實(shí)際需求進(jìn)行操作。審批為合法：掃描器第一次掃描到的端點(diǎn)“合規(guī)狀態(tài)”均為“新發(fā)現(xiàn)”，可以通過選中端點(diǎn)，點(diǎn)擊“審批為合法”按鈕更改為“合法”，此時(shí)會(huì)生成端點(diǎn)的基線信息。后續(xù)掃描器以基線信息為準(zhǔn)，掃描獲取端點(diǎn)的指紋信息與基線信息進(jìn)行比較，若指紋信息與基線信息不一致，則該端點(diǎn)會(huì)被自動(dòng)標(biāo)記為“非法”。加入黑名單：與EIA聯(lián)動(dòng)后，手動(dòng)設(shè)置端點(diǎn)“加入黑名單”，會(huì)把端點(diǎn)信息通告給EIA，EIA把端點(diǎn)加入黑名單，并且強(qiáng)制用戶下線。在EIA上通過路徑：【用戶】>【接入用戶管理】>【黑名單用戶】，查看到被加入黑名單端點(diǎn)用戶。指紋采集：采集端點(diǎn)的指紋信息存儲(chǔ)到掃描器的指紋庫(kù)中，后續(xù)掃描器可以根據(jù)已保存的指紋更準(zhǔn)確的識(shí)別端點(diǎn)類型、操作系統(tǒng)和廠商。掃描器把收集的指紋依次存儲(chǔ)到指紋庫(kù)的后面，掃描端點(diǎn)信息匹配指紋庫(kù)時(shí)，根據(jù)從前到后的順序依次匹配，若前面已匹配，就不再繼續(xù)匹配后續(xù)指紋庫(kù)。修改：點(diǎn)擊修改按鈕，可對(duì)端點(diǎn)的基線信息進(jìn)行修改，修改后端點(diǎn)的基線信息以修改后的為準(zhǔn)，后續(xù)掃描器掃描獲取端點(diǎn)的指紋信息與修改后的基線信息進(jìn)行比較，若指紋信息與基線信息不一致，則該端點(diǎn)會(huì)被自動(dòng)標(biāo)記為“非法”。端點(diǎn)變更記錄路徑：【用戶】->【端點(diǎn)探測(cè)管理】->【端點(diǎn)變更記錄】，打開“端點(diǎn)變更記錄”頁面；“端點(diǎn)變更記錄”頁面可以查看到每個(gè)端點(diǎn)基線變更記錄，鼠標(biāo)移到“變更內(nèi)容”附近，自動(dòng)顯示端點(diǎn)的基線信息，或者更基線的變更信息?！岸它c(diǎn)變更記錄”只保存EPS管理的端點(diǎn)信息，若刪除端點(diǎn)，則該端點(diǎn)的“端點(diǎn)變更記錄”會(huì)同步刪除。掃描器掃描觸發(fā)掃描器掃描有3種方式：EIA上報(bào)用戶給EPS時(shí)觸發(fā)掃描，根據(jù)掃描周期觸發(fā)掃描，以及手動(dòng)掃描。手動(dòng)掃描直接在路徑：【用戶】->【端點(diǎn)探測(cè)管理】->【掃描配置】->【掃描器管理】，“掃描器管理”頁面中點(diǎn)擊進(jìn)行手動(dòng)掃描。EIA上報(bào)用戶觸發(fā)掃描用戶認(rèn)證上線時(shí)，EIA會(huì)把用戶信息上報(bào)給EPS，EPS獲取端點(diǎn)信息后會(huì)馬上根據(jù)用戶的IP地址觸發(fā)掃描器掃描。掃描器掃描用戶終端獲取指紋信息，并根據(jù)掃描的指紋信息建立端點(diǎn)基線。端點(diǎn)基線信息可通過端點(diǎn)變更記錄查詢。EIA上報(bào)的用戶信息，“在線狀態(tài)”為“未知”，觸發(fā)EPS掃描，掃描成功后會(huì)變成“在線”狀態(tài)。若掃描檢測(cè)不到終端，仍然為“未知”狀