创建Flowspec引流器

Outbound防护场景中,需要Flowspec引流器对Outbound流量进行引流。

前提条件

  • 已获知Flowspec引流器的IP地址
  • 确保ATIC管理中心与Flowspec引流器路由互通,能够被管理员通过网络访问。

操作步骤

  1. 选择防御 > 网络配置 > 设备
  2. 单击

  3. “基本信息”区域框中,配置Flowspec引流器名称和IP地址,“设备类型”选择“NFA”

    • “IP地址”是指ATIC管理Flowspec引流器时的管理口IP地址。

    • 勾选“引流器”“开启”单选框,此服务器只能作为Flowspec引流器使用,不再作为检测设备对流量进行检测。反之,不勾选“开启”单选框,则为NFA2000V检测设备。

    • “日志密码”是指上报日志的加密秘钥。当创建设备成功后,ATIC将密钥下发到NFA2000V设备上。

      说明:

      密码建议满足最小复杂度要求,且必须同时包含字母、数字(0~9)、特殊字符(如!、#、$、%等),并定期修改密码。

  4. BGP参数。

    Flowspec引流器与路由器之间需要建立BGP对等体关系,才能对Outbound流量进行引流。

    为确保BGP报文的私密性,建议在路由器和Flowspec引流器连接的网关之间配置IPSec功能。

    • “BGP Router ID”是指Flowspec引流器上的Router ID

    • “Local Address”是指Flowspec引流器连接路由器的接口IP地址。

    • “Local As”是指Flowspec引流器所属的自治系统AS(Autonomous System)号,此AS号不能与路由器的AS号相同,即它们之间只能建立EBGP(External BGP)对等体关系。

  5. 设置Restful参数。

    API Key为Flowspec引流器与ATIC管理中心通信的认证秘钥,通信双方API Key必须设置为一致。

    缺省情况下,Flowspec引流器和ATIC管理中心的API Key为Huawei12#$。

    说明:

    为保证设备安全,请定期修改API-KEY。密码建议满足最小复杂度要求,且必须同时包含字母、数字(0~9)、特殊字符(如!、#、$、%等),并定期修改密码。

  6. 设置SNMP参数。

    • 选择“SNMPv1”“SNMPv2c”时,设置读团体字和写团体字。

      “读团体字”是有读权限的团体名称,“写团体字”是有写权限的团体名称。

      说明:

      团体字名称不能为空,长度不小于6个字符,且必须同时包含字母、数字和特殊字符。

    • 选择“SNMPv3”时,参数说明请参见表1
      说明:
      • SNMPv1和SNMPv2c方式有一定安全风险,如果对安全性要求很高,建议使用SNMPv3方式。
      • 当管理员选择SNMPv3时,建议管理员不要将同一个v3用户组配置多个安全级别,避免认证被绕过的安全漏洞。
      • “类型”“SNMPv3”时,才支持“用户名”“数据加密协议”“数据加密密码”“授权认证协议”“授权认证密码”参数。
      表1 “SNMPv3”的参数说明

      参数

      说明

      取值建议

      用户名

      访问Flowspec引流器时所使用的用户名。

      -

      授权认证协议

      用于消息验证时采用的协议。

      可选择“HMACSHA”协议或不使用协议。选择了HMACSHA协议时,需要设置授权认证密码。

      密码建议满足最小复杂度要求,且必须同时包含字母、数字(0~9)、特殊字符(如!、#、$、%等),并定期修改密码。

      • HMACSHA对长度不超过264二进制位的消息产生160位的消息摘要输出。

      说明:
      使用空协议存在安全风险,推荐使用更安全的HMAC-SHA协议。

      授权认证密码

      消息验证时采用授权认证协议后,需要设置授权认证密码。

      密码建议满足最小复杂度要求,且必须同时包含字母、数字(0~9)、特殊字符(如!、#、$、%等),并定期修改密码。

      数据加密协议

      数据封装时所采用的加密协议。

      可选择“DES”“AES128”加密协议或不加密。选择了DES、AES128加密协议时需要设置加密密码。

      密码建议满足最小复杂度要求,且必须同时包含字母、数字(0~9)、特殊字符(如!、#、$、%等),并定期修改密码。
      • DES,表示数据加密标准DES,是国际通用的加密算法,密钥长度为56位。
      • AES128,表示高级加密标准AES128。
      说明:

      使用DES或者空协议存在安全风险,推荐使用更安全的AES128协议。

      ATIC管理中心配置要与NFA2000V配置保持一致。

      数据加密密码

      数据封装时采用加密算法后,需要设置数据加密密码。

      密码建议满足最小复杂度要求,且必须同时包含字母、数字(0~9)、特殊字符(如!、#、$、%等),并定期修改密码。

      Trap接收主机

      指定接收Trap报文的目标主机的IP地址。

      -

      Trap接收端口

      指定接收Trap报文的目标主机的端口号。

      整数形式,取值范围是1~65535。

      Trap安全名

      指定在网管侧显示的用户名。

      对于SNMPv3版本,Trap安全名必须配置为用户名。告警主机和网管都需要配置此参数,如果网管要接收告警主机发送的告警,必须通过该参数(包括认证和加密的方式)的校验,否则告警无法接收。

      对于SNMPv1和SNMPv2c版本,不需要通过Trap安全名参数的校验,网管可以接收所有告警主机发送的告警信息。该参数主要用来区分在同一个IP地址创建了多个告警主机场景下的多个告警主机。

      字符串形式,不支持空格。

      设备位置

      指定设备节点的物理位置。

      字符串形式,区分大小写,支持空格。

      联系信息

      指定系统维护的联系信息。

      -

  7. 设置SysLog参数

    说明:

    如果网络中有配套日志服务器,需要设置此参数。

    Flowspec引流器检测到威胁事件后,向日志服务器发送SysLog日志,此处参数设置为日志服务器的地址、端口和协议类型。

  8. 单击“确定”,开始添加Flowspec引流器。

    添加成功的Flowspec引流器显示在“设备列表”界面中。

操作结果

添加Flowspec引流器时会自动执行同步Flowspec引流器操作,当添加Flowspec引流器过程中同步设备失败,请先根据提示信息处理,然后手工执行同步操作,将Flowspec引流器的基本信息同步到ATIC管理中心中。

父主题: 添加设备
版权所有 © 华为技术有限公司