10 ADCampus V500R002B01鹰视EPS配置指导

密级【内参】ADCampusV500R002B01鹰视EPS配置指导 TIME\@"yyyy'年'M'月'd'日'"2020年5月9日Internal内参第页新华三技术有限公司H3CTechnologiesCo.,Ltd.解决方案名称Solutionname密级Confidentialitylevel解决方案ADCampusV500R002B01内部公开解决方案版本Solutionversion共28页Total28pagesV500R002B01 ADCampusV500R002B01 鹰视EPS配置指导拟制陈佳佳/郑萍萍日期2020/4/15评审人日期批准日期新华三技术有限公司H3CTechnologiesCo.,Ltd.版权所有侵权必究Allrightsreserved

修订记录RevisionRecord日期修订版本修改章节修改描述作者2019/7/310.9全文初稿郑萍萍2020/4/151.0全文初稿陈佳佳

目录1 EPS简介 1-52 EPS扫描器安装 2-62.1 操作系统补丁包 2-62.2 扫描器安装 2-63 EPS扫描器添加 3-84 网关信息配置 4-114.1 手动增加 4-124.2 批量导入 4-125 IP网段设置 5-146 EPS与EIA联动参数配置 6-166.1 EIA认证用户上报EPS 6-166.1.1 EPS上配置 6-166.1.2 EIA上配置 6-176.2 EPS非法用户通知EIA 6-196.2.1 关联服务器参数配置 6-196.2.2 加入黑名单参数配置 6-207 所有端点 7-228 端点变更记录 8-249 扫描器扫描 9-249.1 手动扫描 9-249.2 EIA上报用户触发扫描 9-259.3 扫描器周期扫描 9-2610 配置注意事项 10-26

EPS简介鹰视EPS（EndpointsProfilingSystem）端点探测系统，包含EPS服务器和EPS扫描器。主要实现以下三个功能：●主动识别——准确识别网络中所有端点的类型，操作系统等信息；●实时监控——网络端点的可视化管理，及时发现网络内的各种变更情况；●接入控制——对于非法接入端点进行接入控制，强制其下线。基本业务流程如下:管理员在EPS服务器上配置扫描任务，并下发给扫描器。扫描器根据扫描任务中的扫描方式进行扫描，并根据自己独有的指纹库去识别端点信息，并将信息上报给EPS服务器纳入管理。EPS服务器将扫描结果与端点基线信息进行匹配，其中不一致的端点就会被认定为非法端点。EPS服务器根据对配置参数对非法端点产生告警，并可以将非法端点阻断或通过与EIA联动强制下线非法端点。管理员可以根据需要将非法端点重置为合法端点，重置成功后EPS就会对该端点解除限制，允许接入网络，同时EPS也会记录管理员的以上操作，便于日后审计使用。注意：EPS服务器建议独立部署，不和EIA部署在同一服务器上，且需保持网络互通；EPS扫描器必须单独安装，不能与EIA、DHCP安装在同一服务器上，且需保持网络互通。EPS扫描器安装操作系统补丁包安装扫描器7.3E0602P05及以上版本时，windows2008R2与windows2012R2操作系统需要安装补丁才能正常安装EPS扫描器（具体操作步骤见以下附件），linux系统需要安装glibc2.17以上版本。扫描器安装扫描器的安装软件，随EPS安装包一起发布，在EPS安装包的tools文件夹中，有Linux和Windows两种操作系统的扫描器，如下图所示：将扫描器的安装文件拷贝到PC或虚拟机上，这里以windows操作系统为例，右键选择“以管理员身份运行”扫描器安装文件EPSScanner_V7.3xxxx.exe，开始安装。在接下来的安装步骤中，单击<下一步>按钮，直到安装完成。安装完成后，进行扫描器的配置，按下图顺序进行扫描器的配置。第一步：输入服务器IP，填写EPS服务器所在的IP地址；第二步：修改日志等级，默认配置即可，第三步：保存配置，“本机与服务器通信IP”自动填写；第四步：点击“停止服务”。再点击“启动服务”，完成EPS扫描器的配置。“高级配置”参数默认以服务器下发的为主，除非调试问题，否则不建议对其中的参数进行任何修改。注:EPS扫描器不支持安装在我司CAS虚拟机上，物理机以及vmware虚拟机可支持。若安装好EPS扫描器后，EScanConfig配置页面有问题，请尝试再次执行2.1操作系统补丁包中的clearcompressionflag.exe文件。EPS扫描器添加路径：【用户】->【端点探测管理】->【扫描配置】->【扫描器管理】，打开“扫描器管理”页面；在“扫描器管理”页面中，有一个【增加】和【网关信息】按钮，如下图所示：点击【增加】按钮，打开“增加扫描器”页面；在“增加扫描器”页面中，有一个“端口深度”和“协议深度”的下拉框，下拉框有“轻度”、“中度”和“深度”三个选项，程度越深，扫描探测端口数量/探测使用协议越多，但是扫描的时间也会越长。请根据情况进行设置。增加扫描器时，必须至少关联一个IP网关/IP地址段，可以通过“选择网关”/“选择子网”/“增加”三种方式进行设置，“选择网关”/“选择子网”需要预先配置网关/配置子网段。注意：ADCampus园区网方案中，建议使用选择网关，并且在网关中设置扫描网段的方式进行扫描。但是，设置网关扫描时会有一个问题，扫描器会把网关设备的IP地址也作为扫描网段进行扫描，因此会把网关设备也扫描出来作为一个端点。若未预先配置网关和子网段，可以点击【增加】按钮，增加IP段。后续可以通过修改扫描器的方式，重新设置需要的扫描方式。配置完成，点击【确定】按钮，完成基于IP网段扫描的扫描器配置。新增加的扫描器状态为“未知”，只要确保扫描器配置正确以及网络连接正常，稍刻自动会变为“在线”状态。增加扫描器后，可以通过手动点击图标进行扫描；扫描器也会根据EPS扫描器“系统参数”中配置的扫描周期进行扫描。网关信息配置在“扫描器管理”页面中，点击【网关信息】按钮，打开“网关信息”页面；在“网关信息”页面中，可通过【增加】或【导入】的方式配置网关信息。由于五期是通过VCFC-Campus进行设备纳管，独立于iMC平台，因此iMC平台没有纳管设备相关的数据，不能通过【选择】的方式进行配置。手动增加在“增加网关信息”页面中，输入“网关名称”、“网关IP地址”，“设备类型”选择“网关”，其他参数默认即可。批量导入在“导入网关信息”页面中，点击“下载模板文件”，下载模板。根据模板文件填写需要导入的设备信息，导入修改模板文件；分隔符选择默认的“，”；勾选“过滤标题行”；点击【下一步】按钮；根据模板导入，所有输入框都已选择导入模板文件中的列，不需要设置，直接点击【确定】即可。下图为导入的设备信息：IP网段设置路径：【用户】->【端点探测管理】->【IP子网管理】，打开“IP子网管理”页面；点击【增加】->【增加IP子网】，增加IP子网段。增加IP子网后，在路径：【用户】->【端点探测管理】->【扫描配置】->【扫描器管理】，可以通过“增加扫描器”页面/“修改扫描器”页面中，点击【选择子网】按钮，选择创建的IP子网段。EPS与EIA联动参数配置EPS和EIA的联动，需要在EIA和EPS上都进行相应的参数配置。通过设置EPS与EIA服务器的联动，可以对EIA认证上线的用户进行监控和管理，包括非法用户、黑名单等。EIA认证用户上报EPSEIA认证用户上报EPS，需要在EPS上进行“EIA上线消息联动配置”以及在EIA上进行“用户通知参数配置”。配置完这两个参数后，EIA上线的用户信息会上报通知EPS。注意：当用户为MAC-Portal认证时，每个终端用户上线，EIA会上报byod用户和帐号用户信息给EPS，由于EPS目前实现根据IP区分端点，不能根据MAC信息区分端点，因此EPS上会显示2个端点信息。EPS上配置路径：【用户】->【端点探测管理】->【系统管理】->【系统参数】；在“参数配置”页面中有一个“EIA上线消息联动配置”，如下图所示：“启动接收上线消息”:启用后能接收EIA的上线用户信息；“消息源IP地址”：填写EIA服务器IP地址；EIA上配置路径：【用户】->【接入策略管理】->【业务参数配置】->【系统配置】->【用户通知参数配置】；点击【增加】，配置用户通知参数。通知参数配置如下，点击【确定】保存配置：“通知方式”：选择“UDP”；“通知事件”：选择“用户上线”、“计费开始”、“计费更新”；“服务器IP”：填写EPS服务器的IP地址；“服务器端口”：填写23000；“通知内容”：拷贝以下内容到输入macAddress=${macAddress};terminalType=${terminalType};terminalVendor=${terminalVendor};terminalOs=${terminalOs};framedIp=${framedIp}配置完成后，所有通过EIA认证上线的用户，都可以在路径：【用户】->【端点探测管理】->【所有端点】中查看到。EIA上报的端点“在线状态”为“未知”，通过“EPS扫描器”扫描到端口后，状态会更新为“在线”。EPS非法用户通知EIA设置非法用户联动EIA组件后，与EIA联动后，当EPS检测非法用户时，会把非法用户会通告给EIA，EIA收到EPS通告消息后会把非法用户加入黑名单并且强制用户下线。该功能器需进行“关联服务器参数配置”和“加入黑名单参数配置”。配置路径：【用户】->【端点探测管理】->【系统管理】->【系统参数】；关联服务器参数配置在参数配置页面中有一个“关联服务器参数配置”，如下图所示：“关联服务器”：默认为“禁用”；启用参数后，可以对其他iMC服务器相关数据进行获取。“IP地址”：填写的是EIA服务器的IP地址；“端口”：关联EIA服务器的通信端口8080；“用户名/密码”：EIA页面登录的用户名/密码，EIA的默认登录账户/密码为：admin/admin。“联动PLAT组件”：启用后可以与关联服务进行PLAT组件相关业务。“联动EIA组件”：启用后可以与关联服务进行EIA组件相关业务。“同步数据”：更新设备接口信息，该功能依赖于“联动PLAT组件”,从关联服务器获取现有通信设备的接口信息。所有能与设备接口的IP地址匹配的端点将被隐藏。加入黑名单参数配置在参数配置页面中有一个“加入黑名单参数配置”，可设置端点加入黑名单的方式，如下图所示：“加入黑名单方式”：默认为EIA联动，不要进行修改。“业务场景”：加入黑名单操作的工作场景，仅在EIA或扫描器联动方式下有效，可选项有“业务优先”和“安全优先”，默认为“业务优先”。业务优先：仅支持手工加入黑名单操作；安全优先：允许设置是否将端点自动加入黑名单。“非法端点自动加入黑名单”：与EIA联动后，系统将扫描到的非法端点通告EIA，EIA把用户加入黑名单并强制用户下线。“新发现端点自动加入黑名单”：启用后，系统进行定时任务，将扫描到的上次扫描时间超过“新发现设备扫描时间过期天数”的新端点上的在线用户强制下线，并加入黑名单。“离线端点自动加入黑名单”：启用后，系统进行定时任务，将离线时间超过“离线端点保留时长”的端点上的在线用户强制下线，并加入黑名单。“新发现端点保留时长”：该参数依赖于是否启用新发现端点自动加入黑名单；如果启用，在设置的过期天数后，服务器会在凌晨3点进行检测，将新发现的端点加入黑名单；如果不启用，则新发现设备扫描时间过期天数不生效，服务器将不会对此端点进行过期天数检查。“离线端点保留时长”：系统每天定时检查所有端点，如果端点的离线时间距离当前时间超过保留时长，系统将自动将该端点加入黑名单。配置完参数后，EPS上检测到的非法端点会通告给EIA，EIA把非法端点的用户加入黑名单，并且强制用户下线。可在EIA上通过路径：【用户】>【接入用户管理】>【黑名单用户】，查看到被加入黑名单端点用户。所有端点路径：【用户】->【端点探测管理】->【所有端点】，打开在“所有端点”页面。在“所有端点”页面中，可查询到所有EIA上报的端点信息，以及扫描器扫描的端点信息。“所有端点”页面中有很多的按钮，可根据实际需求进行操作。审批为合法：扫描器第一次扫描到的端点“合规状态”均为“新发现”，可以通过选中端点，点击“审批为合法”按钮更改为“合法”，此时会生成端点的基线信息。后续扫描器以基线信息为准，扫描获取端点的指纹信息与基线信息进行比较，若指纹信息与基线信息不一致，则该端点会被自动标记为“非法”。加入黑名单：与EIA联动后，手动设置端点“加入黑名单”，会把端点信息通告给EIA，EIA把端点加入黑名单，并且强制用户下线。在EIA上通过路径：【用户】>【接入用户管理】>【黑名单用户】，查看到被加入黑名单端点用户。指纹采集：采集端点的指纹信息存储到扫描器的指纹库中，后续扫描器可以根据已保存的指纹更准确的识别端点类型、操作系统和厂商。扫描器把收集的指纹依次存储到指纹库的后面，扫描端点信息匹配指纹库时，根据从前到后的顺序依次匹配，若前面已匹配，就不再继续匹配后续指纹库。修改：点击修改按钮，可对端点的基线信息进行修改，修改后端点的基线信息以修改后的为准，后续扫描器扫描获取端点的指纹信息与修改后的基线信息进行比较，若指纹信息与基线信息不一致，则该端点会被自动标记为“非法”。端点变更记录路径：【用户】->【端点探测管理】->【端点变更记录】，打开“端点变更记录”页面；“端点变更记录”页面可以查看到每个端点基线变更记录，鼠标移到“变更内容”附近，自动显示端点的基线信息，或者更基线的变更信息。“端点变更记录”只保存EPS管理的端点信息，若删除端点，则该端点的“端点变更记录”会同步删除。扫描器扫描触发扫描器扫描有3种方式：EIA上报用户给EPS时触发扫描，根据扫描周期触发扫描，以及手动扫描。手动扫描直接在路径：【用户】->【端点探测管理】->【扫描配置】->【扫描器管理】，“扫描器管理”页面中点击进行手动扫描。EIA上报用户触发扫描用户认证上线时，EIA会把用户信息上报给EPS，EPS获取端点信息后会马上根据用户的IP地址触发扫描器扫描。扫描器扫描用户终端获取指纹信息，并根据扫描的指纹信息建立端点基线。端点基线信息可通过端点变更记录查询。EIA上报的用户信息，“在线状态”为“未知”，触发EPS扫描，扫描成功后会变成“在线”状态。若扫描检测不到终端，仍然为“未知”状