配置思路 登录华为乾坤控制台,根据租户内网资产IP地址配置全局白名单,提升安全状态检测的准确性。 配置交换机: 配置Switch的GigabitEthernet0/0/2为观察端口,该端口直连天关,Switch将通过镜像将流量上送到天关进行检测。 配置Switch的GigabitEthernet0/0/1为镜像端口,开启端口镜像功能。 配置Switch的GigabitEthernet0/0/3为三层端口,与天关上
漏洞扫描 和
云日志 审计接口直连。 配置天关: 配置云端管理接口,用于天关与云端对接,包括设备向云端注册、向云端提供日志、接收云端下发配置等。 配置检测接口GE0/0/1为旁路检测模式,该二层接口与Switch的观察端口直连。 配置边界防护与响应服务的业务参数。 将GE0/0/1和对应VLAN都加入trust安全域,并配置旁路检测所需要的安全策略。 对于USG6603F-C,仅需要配置安全域,不需要配置安全策略。 配置漏洞扫描和云日志审计接口GE0/0/2为三层接口,并加入trust安全域,已购买
漏洞扫描服务 或云日志审计服务时需要配置。 分别配置漏洞扫描服务和云日志审计服务的业务参数,已购买漏洞扫描服务或云日志审计服务时需要配置。
