更新时间:2023-06-05
深信服设备对接支持很多产品之间的联动,如AC对接SIP,支持用户信息同步、支持策略控制(在SIP设备能够下发冻结用户和上网提醒策略到AC,联动处置发现异常安全事件终端。支持对接SIP上报资产信息和在线用户信息,可根据IP上报指定的SIP设备或上报所有对接成功的设备。
当某企业同时购买了深信服的AC和SIP设备,希望和做网关的AC设备联动处置发现安全事件的终端。拓扑如下所示。
- 实名制:同步用户信息到SIP;
- 上网提醒:提醒发现主机有被攻击,及时遵照安全建议进行处置;
- 冻结账号:发现疑似僵尸主机,一直在恶意外发,冻结账号。
对接过程:
- 内网用户在AC实名制认证获取上网权限;
- STA镜像内网、上网数据做安全监控;
- SIP分析安全事件;
- AC联动SIP,同步用户认证信息到SIP;
- 发现安全事件,SIP联动AC下发策略实现对终端的处置。
预制条件
- AC和SIP可以通信,需要开放端口TCP9998。
- 开放端口:开放端口的目的是为了后面配置联动处置。
:
1. 如果AC/SG设备是路由模式部署,SIP设备部署在AC的wan口方向,需要开放TCP9998端口([系统配置/网络配置/高级配置/WAN口开放端口])。
2. 如果是网桥模式或旁路模式则不需要此项配置,网络中放通AC到SIP之间的TCP9998端口即可。
操作步骤
步骤1.AC设备配置。设备在联网的前提条件下,配置[接入管理/接入认证/PORTAL认证/单点登录/深信服设备],“转发认证信息到其他深信服设备”,配置转发策略和共享密钥。
步骤2.接入设置:[系统管理/系统配置/深信服设备对接],启用深信服设备对接功能,支持两种对接方式,以下以手动配置为例。
• 自协商
• 手动配置
a)如果环境中AC数量比较少,可以随意选择对接方式;
b)如果环境中AC数量比较多,可以选择自协商的方式,减少配置;
c)如果环境中有多台SIP设备,建议选择“手动配置共享密钥”方式,避免协商错误。
步骤3.SIP设备配置。在admin账号下拉列表中的[系统配置/设备管理],新增上网行为管理设备,配置接入AC设备的IP和共享密钥;
步骤4.联动AC,配置认证账号和认证密码。
• 自协商方式,完成第一步用户信息同步配置后,无其他配置
• 手动方式,完成第一步用户信息同步配置后,配置高级选项,认证账号和密码和AC填写一致。
步骤5.接下来进行SIP设备配置,在[系统配置/设备管理],新增上网行为管理设备,配置接入设备的ACIP和共享密钥。
步骤6.完成配置后,在[资产中心/主机资产],可以看到用户信息。
步骤7.如果用户信息没有同步,可以点击“立即同步”进行手动同步操作。
:
点击“立即同步”可以从AC设备立即同步用户信息,并更新到SIP平台,但是SIP原有的用户信息数据不会被清除。
步骤8.AC与SIP设备联动成功,深信服设备对接查看到对接设备的信息。
步骤9.SIP与AC设备联动成功,可在设备管理页面查看到对接设备的信息。
步骤10.效果呈现
- 上网提醒
风险终端页面点击单个IP进行联动或者在[更多/联动AC界面],进行新增时,上网提醒的提醒信息可以使用系统推荐,也可也使用自定义。
- 冻结账号
(1)在失陷主机页面与风险终端 二级页面联动AC。
(2)同时支持在更多->联动响应->联动AC页面新增。