ATIC管理中心通过SNMP协议与AntiDDoS建立通信,实现添加AntiDDoS操作。
前提条件
- 已获知AntiDDoS设备的IP地址。
- 确保ATIC管理中心与AntiDDoS设备路由互通,能够被管理员通过网络访问。
ATIC管理中心不能同时管理AntiDDoSV100R001设备和AntiDDoSV500R001设备。
操作步骤
- 选择。
- 单击
。
- 在“基本信息”区域框中,配置AntiDDoS设备名称和IP地址,“设备类型”选择“AntiDDoS”。
- “IP地址”是指ATIC管理AntiDDoS设备时的管理口IP地址,一般建议使用GigabitEthernet0/0/0。管理口IP配置后不能修改。
- “日志源IP”是指AntiDDoS设备向ATIC发送日志的接口。日志源IP配置后可以再修改。对于AntiDDoS8000,GigabitEthernet0/0/0是主控板接口,不能配置为日志源接口。对于AntiDDoS1600,日志源接口可以配置为GigabitEthernet0/0/0。
“日志密码”是指上报日志的加密秘钥。当创建设备成功后,ATIC将密钥下发到Anti-DDoS设备上。
说明: 密码建议满足最小复杂度要求,且必须同时包含字母、数字(0~9)、特殊字符(如!、#、$、%等),并定期修改密码。
对于AntiDDoS V500R001C60之前的版本,仅对抓包日志进行加密;对于AntiDDoS V500R001C60版本,则对所有日志进行加密。
- 设置Telnet参数。
选择STELNET类型,则默认ATIC管理中心通过STELNET协议访问AntiDDoS设备时使用的端口是22端口,通过用户名和密码来认证,需输入STELNET用户的用户名和密码。其中“公钥”是指对设备进行认证的公钥。
说明: 如果填写了公钥,使用STELNET、SFTP协议访问设备时对设备进行公钥认证。
为了保证数据传输的安全性,建议填写公钥。
- 选择Telnet类型,则默认ATIC管理中心通过Telnet协议访问AntiDDoS设备时使用的端口是23端口,通过用户名和密码来认证,需输入Telnet用户的用户名和密码。
说明: Telnet是一种不安全的协议,为了保证数据传输的安全性,建议选择STELNET协议。 - 设置SNMP参数。
选择“SNMPv1”和“SNMPv2c”时,设置读团体字和写团体字。
“读团体字”是有读权限的团体名称,“写团体字”是有写权限的团体名称。
说明: 团体字名称不能为空,长度不小于6个字符,且必须同时包含字母、数字和特殊字符。- 选择“SNMPv3”时,参数说明请参见表1。 说明:
- SNMPv1和SNMPv2c方式有一定安全风险,如果对安全性要求很高,建议使用SNMPv3方式。
- 当管理员选择SNMPv3时,建议管理员不要将同一个v3用户组配置多个安全级别,避免认证被绕过的安全漏洞。
- “类型”为“SNMPv3”时,才支持“用户名”、“环境名称”、“环境引擎ID”、“数据加密协议”、“数据加密密码”、“授权认证协议”、“授权认证密码”参数。
表1 “SNMPv3”的参数说明 参数
说明
取值建议
用户名
访问AntiDDoS设备时所使用的AntiDDoS设备用户。
-
环境名称
环境引擎名称。
与AntiDDoS设备上的环境名称相同或为空。
环境引擎ID
代表一个SNMP引擎的管理性唯一标识符,和环境名称一起使用,确定一个唯一地标识一个SNMP实体的环境。只有发送端的环境和接收端的环境完全匹配才对SNMP消息包进行处理,否则SNMP消息包被丢弃。
与AntiDDoS设备上环境引擎ID相同。
授权认证协议
用于消息验证时采用的协议。
可选择“HMACMD5”、“HMACSHA”协议或不使用协议。选择了HMACMD5或HMACSHA协议时,需要设置授权认证密码。
密码建议满足最小复杂度要求,且必须同时包含字母、数字(0~9)、特殊字符(如!、#、$、%等),并定期修改密码。
HMACMD5对任意顺序的字符串进行Hash变换,生成一个128位的消息摘要,是一个128位的整数。
HMACSHA比HMACMD5安全性高,对长度不超过264二进制位的消息产生160位的消息摘要输出。
说明:使用HMAC-MD5或者空协议存在安全风险,推荐使用更安全的HMAC-SHA协议。授权认证密码
消息验证时采用授权认证协议后,需要设置授权认证密码。
密码建议满足最小复杂度要求,且必须同时包含字母、数字(0~9)、特殊字符(如!、#、$、%等),并定期修改密码。
数据加密协议
数据封装时所采用的加密协议。
可选择“DES”、“AES128”、“AES256”加密协议或不加密。选择了DES、AES128或AES256加密协议时需要设置加密密码。
密码建议满足最小复杂度要求,且必须同时包含字母、数字(0~9)、特殊字符(如!、#、$、%等),并定期修改密码。
- DES,表示数据加密标准DES,是国际通用的加密算法,密钥长度为56位。
- AES256,表示高级加密标准AES256,密钥长度为128位。
- AES128,表示高级加密标准AES128。
说明:使用DES或者空协议存在安全风险,AntiDDoS8000推荐使用更安全的AES256数据加密协议;AntiDDoS1000只支持AES128和DES数据加密协议,推荐使用AES128。
ATIC管理中心配置要与AntiDDoS设备配置保持一致。
数据加密密码
数据封装时采用加密算法后,需要设置数据加密密码。
密码建议满足最小复杂度要求,且必须同时包含字母、数字(0~9)、特殊字符(如!、#、$、%等),并定期修改密码。
- 单击“确定”,开始添加AntiDDoS设备,添加成功的AntiDDoS设备显示在“设备列表”界面中。