创建NFA2000V

添加NFA2000V是一切设备操作的前提。只有具备创建设备权限的管理员能够进行添加设备的操作。

前提条件

  • 已获知NFA2000V设备的IP地址
  • 确保ATIC管理中心与NFA2000V路由互通,能够被管理员通过网络访问。

操作步骤

  1. 选择防御 > 网络配置 > 设备
  2. 单击

  3. “基本信息”区域框中,配置NFA2000V设备名称和IP地址,“设备类型”选择“NFA”

    • “IP地址”是指ATIC管理NFA2000V设备时的管理口IP地址。

    • 勾选“引流器”“开启”单选框,此服务器只能作为Flowspec引流器使用,不再作为检测设备对流量进行检测。反之,不勾选“开启”单选框,则为NFA2000V检测设备。

    • “Outbound”指在NFA2000V上开启全局Outbound防御,此选项仅在Outbound防御场景中开启。

    • “日志密码”是指上报日志的加密秘钥。当创建设备成功后,ATIC将密钥下发到NFA2000V设备上。

      说明:

      密码建议满足最小复杂度要求,且必须同时包含字母、数字(0~9)、特殊字符(如!、#、$、%等),并定期修改密码。

  4. 设置Restful参数。

    API Key为NFA2000V与ATIC管理中心通信的认证秘钥,通信双方API Key必须设置为一致。

    缺省情况下,NFA2000V和ATIC管理中心的API Key为Huawei12#$。

    说明:

    为保证设备安全,请定期修改API-KEY。密码建议满足最小复杂度要求,且必须同时包含字母、数字(0~9)、特殊字符(如!、#、$、%等),并定期修改密码。

  5. 设置SNMP参数。

    • 选择“SNMPv1”“SNMPv2c”时,设置读团体字和写团体字。

      “读团体字”是有读权限的团体名称,“写团体字”是有写权限的团体名称。

      说明:

      团体字名称不能为空,长度不小于6个字符,且必须同时包含字母、数字和特殊字符。

    • 选择“SNMPv3”时,参数说明请参见表1
      说明:
      • SNMPv1和SNMPv2c方式有一定安全风险,如果对安全性要求很高,建议使用SNMPv3方式。
      • 当管理员选择SNMPv3时,建议管理员不要将同一个v3用户组配置多个安全级别,避免认证被绕过的安全漏洞。
      • “类型”“SNMPv3”时,才支持“用户名”“数据加密协议”“数据加密密码”“授权认证协议”“授权认证密码”参数。
      表1 “SNMPv3”的参数说明

      参数

      说明

      取值建议

      用户名

      访问NFA2000V设备时所使用的用户名。

      -

      授权认证协议

      用于消息验证时采用的协议。

      可选择“HMACSHA”协议或不使用协议。选择了HMACSHA协议时,需要设置授权认证密码。

      密码建议满足最小复杂度要求,且必须同时包含字母、数字(0~9)、特殊字符(如!、#、$、%等),并定期修改密码。

      • HMACSHA对长度不超过264二进制位的消息产生160位的消息摘要输出。

      说明:
      使用空协议存在安全风险,推荐使用更安全的HMAC-SHA协议。

      授权认证密码

      消息验证时采用授权认证协议后,需要设置授权认证密码。

      密码建议满足最小复杂度要求,且必须同时包含字母、数字(0~9)、特殊字符(如!、#、$、%等),并定期修改密码。

      数据加密协议

      数据封装时所采用的加密协议。

      可选择“DES”“AES128”加密协议或不加密。选择了DES、AES128加密协议时需要设置加密密码。

      密码建议满足最小复杂度要求,且必须同时包含字母、数字(0~9)、特殊字符(如!、#、$、%等),并定期修改密码。
      • DES,表示数据加密标准DES,是国际通用的加密算法,密钥长度为56位。
      • AES128,表示高级加密标准AES128。
      说明:

      使用DES或者空协议存在安全风险,推荐使用更安全的AES128协议。

      ATIC管理中心配置要与NFA2000V配置保持一致。

      数据加密密码

      数据封装时采用加密算法后,需要设置数据加密密码。

      密码建议满足最小复杂度要求,且必须同时包含字母、数字(0~9)、特殊字符(如!、#、$、%等),并定期修改密码。

      Trap接收主机

      指定接收Trap报文的目标主机的IP地址。

      -

      Trap接收端口

      指定接收Trap报文的目标主机的端口号。

      整数形式,取值范围是1~65535。

      Trap安全名

      指定在网管侧显示的用户名。

      对于SNMPv3版本,Trap安全名必须配置为用户名。告警主机和网管都需要配置此参数,如果网管要接收告警主机发送的告警,必须通过该参数(包括认证和加密的方式)的校验,否则告警无法接收。

      对于SNMPv1和SNMPv2c版本,不需要通过Trap安全名参数的校验,网管可以接收所有告警主机发送的告警信息。该参数主要用来区分在同一个IP地址创建了多个告警主机场景下的多个告警主机。

      字符串形式,不支持空格。

      设备位置

      指定设备节点的物理位置。

      字符串形式,区分大小写,支持空格。

      联系信息

      指定系统维护的联系信息。

      -

  6. 设置SysLog参数

    说明:

    如果网络中有配套日志服务器,需要设置此参数。

    NFA2000V检测到威胁事件后,向日志服务器发送SysLog日志,此处参数设置为日志服务器的地址、端口和协议类型。

  7. 选择“Flow源信息”页签,单击,选中需要进行流量检测的路由器。
  8. 单击“确定”,开始添加NFA2000V设备。

    添加成功的NFA2000V设备显示在“设备列表”界面中。

操作结果

添加NFA2000V设备时会自动执行同步NFA2000V设备操作,当添加NFA2000V设备过程中同步设备失败,请先根据提示信息处理,然后手工执行同步操作,将NFA2000V设备的基本信息同步到ATIC管理中心中。

后续处理

如果网络中只有一台采集器,则添加成功的NFA2000V设备会自动与采集器关联。如果网络中有多台采集器,则需要手动关联采集器和NFA2000V设备。具体请参见关联采集器和设备

父主题: 添加设备
版权所有 © 华为技术有限公司