ATIC管理中心通过SNMP协议与AntiDDoS建立通信,实现添加AntiDDoS操作。
前提条件
- 已获知AntiDDoS设备的IP地址。
- 确保ATIC管理中心与AntiDDoS设备路由互通,能够被管理员通过网络访问,且ping可达。
若无法ping通设备,创建设备时会弹出提示“网络不可达”。
ATIC管理中心不能同时管理AntiDDoSV100R001设备和AntiDDoSV500R001设备。
操作步骤
- 选择。
- 单击
。
- 在“基本信息”区域框中,配置AntiDDoS设备名称和IP地址,“设备类型”选择“AntiDDoS”。
- “IP地址”是指ATIC管理AntiDDoS设备时的管理口IP地址。管理口IP配置后不能修改。
- “日志源IP”是指AntiDDoS设备向ATIC发送日志时的源IP地址。日志源IP配置后可以再修改。
- “日志密码”是指上报日志的加密秘钥。当创建设备成功后,ATIC将密钥下发到Anti-DDoS设备上。
密码建议满足最小复杂度要求,且必须同时包含字母、数字(0~9)、特殊字符(如!、#、$、%等),并定期修改密码。
对于AntiDDoS V500R001C60之前的版本,仅对抓包日志进行加密;对于AntiDDoS V500R001C60版本,则对所有日志进行加密。
当AntiDDoS设备业务CPU性能过载时,会导致AntiDDoS设备无法正常统计,影响上送业务流量日志。
- 设置Telnet参数。
选择STELNET类型,则默认ATIC管理中心通过STELNET协议访问AntiDDoS设备时使用的端口是22端口,通过用户名和密码来认证,需输入STELNET用户的用户名和密码。其中“公钥”是指对设备进行认证的公钥。
如果填写了公钥,使用STELNET、SFTP协议访问设备时对设备进行公钥认证。
为了保证数据传输的安全性,建议填写公钥。
- 选择Telnet类型,则默认ATIC管理中心通过Telnet协议访问AntiDDoS设备时使用的端口是23端口,通过用户名和密码来认证,需输入Telnet用户的用户名和密码。
Telnet是一种不安全的协议,为了保证数据传输的安全性,建议选择STELNET协议。
- 设置Restful参数。参数说明请参见表1。
表1 Restful的参数说明 参数
说明
取值建议
Restful开关
勾选“开启”,才能进行配置。
-
类型
两种类型:HTTPS、HTTP。
HTTP是一种不安全的协议,为了保证数据传输的安全性,建议选择HTTPS协议。
端口
HTTPS类型默认端口为:8447;HTTP类型默认端口为:8448。
支持手动配置。
整数形式,取值范围是1~65535。
用户名
访问AntiDDoS设备时所使用的AntiDDoS设备用户。
-
密码
访问AntiDDoS设备时所使用的AntiDDoS设备密码。
密码建议满足最小复杂度要求,且必须同时包含字母、数字(0~9)、特殊字符(如!、#、$、%等),并定期修改密码。
IP地址
ATIC设备的业务口IP地址。
-
选择证书
用于认证第三方设备Restful的证书,从下拉框选择证书。
说明:配置此项前,需先在“证书管理”页签创建第三方设备Restful证书。
-
AntiDDoS8000证书获取路径和文件: cfcard:/pki/public/local.cer。
AntiDDoS1800证书获取路径和文件: hda1:/pki/public/local.cer。
-
详细请参考证书管理中的在ATIC 管理中心创建证书步骤。
-
-
- 设置SNMP参数。
-
“读团体字”是有读权限的团体名称,“写团体字”是有写权限的团体名称。
团体字名称不能为空,长度不小于6个字符,且必须同时包含字母、数字和特殊字符。
- 选择“SNMPv3”时,参数说明请参见表2。
- SNMPv2c方式有一定安全风险,如果对安全性要求很高,建议使用SNMPv3方式。
- 当管理员选择SNMPv3时,建议管理员不要将同一个v3用户组配置多个安全级别,避免认证被绕过的安全漏洞。
- “类型”为“SNMPv3”时,才支持“用户名”、“环境名称”、“环境引擎ID”、“数据加密协议”、“数据加密密码”、“授权认证协议”、“授权认证密码”参数。
表2 “SNMPv3”的参数说明 参数
说明
取值建议
用户名
访问AntiDDoS设备时所使用的AntiDDoS设备用户。
-
环境名称
环境引擎名称。
与AntiDDoS设备上的环境名称相同或为空。
环境引擎ID
代表一个SNMP引擎的管理性唯一标识符,和环境名称一起使用,确定一个唯一地标识一个SNMP实体的环境。只有发送端的环境和接收端的环境完全匹配才对SNMP消息包进行处理,否则SNMP消息包被丢弃。
与AntiDDoS设备上环境引擎ID相同。
授权认证协议
用于消息验证时采用的协议。
可选择“HMACMD5”、“HMACSHA”协议或不使用协议。选择了HMACMD5或HMACSHA协议时,需要设置授权认证密码。
密码建议满足最小复杂度要求,且必须同时包含字母、数字(0~9)、特殊字符(如!、#、$、%等),并定期修改密码。
说明:使用HMAC-MD5或者空协议存在安全风险,推荐使用更安全的HMAC-SHA协议。
授权认证密码
消息验证时采用授权认证协议后,需要设置授权认证密码。
密码建议满足最小复杂度要求,且必须同时包含字母、数字(0~9)、特殊字符(如!、#、$、%等),并定期修改密码。
数据加密协议
数据封装时所采用的加密协议。
可选择“DES”、“AES128”、“AES256”加密协议或不加密。选择了DES、AES128或AES256加密协议时需要设置加密密码。
密码建议满足最小复杂度要求,且必须同时包含字母、数字(0~9)、特殊字符(如!、#、$、%等),并定期修改密码。
- DES,表示数据加密标准DES,是国际通用的加密算法,密钥长度为56位。
- AES256,表示高级加密标准AES256,密钥长度为128位。
- AES128,表示高级加密标准AES128。
说明:使用DES或者空协议存在安全风险,AntiDDoS1880推荐使用更安全的AES256数据加密协议。
ATIC管理中心配置要与AntiDDoS设备配置保持一致。
数据加密密码
数据封装时采用加密算法后,需要设置数据加密密码。
密码建议满足最小复杂度要求,且必须同时包含字母、数字(0~9)、特殊字符(如!、#、$、%等),并定期修改密码。
-
- 单击“确定”,开始添加AntiDDoS设备,添加成功的AntiDDoS设备显示在“设备列表”界面中。