|
|
目录
政府和行业规定要求IT组织符合一些标准,为顺应SOX, HIPAA, CISP, PCI, Sarbanes-Oxley 及其他规定,设备配置应该符合指定的标准。这些标准可能是任意的——对有无特定的字符串、命令或值进行确认。DeviceExpert自动检测已定义的规则的顺应性,报告顺应性策略及发生的违反行为。
用户可以定义一组规则来指定强制性要求——配置应该包括什么,不应该包括什么?这些规则可以被分组,可以被定义为“顺应性策略”。每个设备或设备组均可与需要的策略相关联。DeviceExpert扫描设备是否符合策略所定义顺应性,并报告违反情况。
通过自动标准检测的执行,顺应性检测节省了网络管理员很多的时间,另外,它还有助于:
启用顺应性检测与创建顺应性策略,需要三步:
1. 添加规则
为配置文件定义必须要发生的或不应该发生的情况的行。规则的一个典型示例是检查访问列表配置或检查团体字符串。决定发生了多少违反规则的是——在配置文件中出现或未出现符合特定行或行集的事件。
要添加规则:
1. 点击顺应性>>规则>>新建规则
2. 输入规则名称、描述和其他信息
3. 选择“简单标准”,如果你仅仅要求检测配置文件中是否有一个或一组行出现。
4. 如果你想通过使用正则表达式指定更多复杂标准,选择“高级标准”,之后,在文本字段输入行。
简单标准
|
标准 |
描述 | 示例 |
| 包含所有行 |
要做顺应性检测的配置应该包括所有你所指定的行。即便其中的一行没有被发现,也会被宣布为“违规”。DeviceExpert对照配置文件,逐一检查(你所指定的)这些行。这些行不一定按照你所指定的顺序出现。由于检测 是逐行完成的,所有的行能够在配置文件中出现即可,任何位置都没关系。 |
标准: 应该包括全部的行。 要检测的配置行: snmp-server community public RO snmp-server community private RW snmp-server community public1 RO snmp-server community private1 RW 违规: 如果任何或全部的行没有出现在配置文件中( 行出现的顺序不影响结论)
|
| 不包含任何行 |
完全与上一部分相反。要做顺应性检测的配置不应该包括任何你所指定的行。即便其中的一行被发现,也会被宣布为“违规”。DeviceExpert对照配置文件,逐一检查(你所指定的)这些行。这些行的顺序不重要。 |
标准: 不应该包括任何行。 要检测的配置行: snmp-server community public RO snmp-server community private RW snmp-server community public1 RO snmp-server community private1 RW 违规: 如果任何或全部的行出现在配置文件中( 行出现的顺序不影响结论)
|
| 应该包含集合 |
这类似于“包含所有行”,但区别是行序考虑在内。如果你指定了四个行,DeviceExpert会检测全部的四行是否按指定顺序出现了。如果行没有完全按指定的序出现,就会被宣布为违规。 |
标准: 应该包含集合 要检测的配置行: snmp-server enable traps hsrp snmp-server enable traps config snmp-server enable traps entity snmp-server enable traps envmon 违规: 如果不是全部的行按指定的序出现在配置文件中。 |
| 不应该包含集合 | 完全与上一部分相反。这类似于“不包含任何行”,但区别是行序考虑在内。如果你指定了四个行,DeviceExpert会检测全部的四行是否按指定顺序出现了。如果行完全按指定的序出现,就会被宣布为违规。 |
标准: 不应包含集合 要检测的配置行: snmp-server enable traps hsrp snmp-server enable traps config snmp-server enable traps entity snmp-server enable traps envmon 违规: 如果全部的行按指定的序出现在配置文件中。 |
高级标准
你可以使用特定的正则表达式来提供顺应性配置的检测标准,以下为一些例子:
正则表达式模式及描述匹配特殊字符 在方括号内的字符可以用来匹配提到的任何字符。 例如:
匹配字符或数字范围 方括号中的字符范围可以被用来匹配其所指定的期间内的任意字符。字符范围可以是字母或数字。匹配是大小写敏感的。
例如: [a-zA-Z] - 这可以匹配任意从a到z或从A到Z的字符 [0-9] - 这可以匹配任意从0到9的数字
其他指定匹配 . 点可以用来匹配一个字符,包括空格. \d 用来匹配0到9的任何数字 \D 可以匹配数字以外的任意字符
欲知详情,请参照Java教程中的"正则表达式教程"部分。 更多示例:
|
|
标准 |
描述 |
示例 |
| 应该包含 | 要做顺应性检测的配置应该包含匹配你所指定的正则表达式的行。 |
标准: 应该包含符合任一正则表达式的定义的行。 要检测的配置行: snmp-server community public RO|RW 违规: 如果"snmp-server community public" 行没有跟随出现的 "RO" 或 "RW"。 |
| 不应该包含 | 要做顺应性检测的配置不应包含匹配你所指定的正则表达式的行。 |
标准: 不应包含符合任一正则表达式的定义的行。 要检测的配置行: snmp-server community public RO|RW 违规: 如果"snmp-server community public" 行有跟随出现的 "RO" 或 "RW"。 |
| AND/OR条件的使用 | 两个或更多被定义为“应该包含”或“不应该包含”的正则表达式可以通过 AND/OR 条件合并。 | -- |
最后,指明违规的严重性,点击“保存”。
你可以创建很多规则以满足一些指定的要求。“规则组”是指一组规则的集合。可以通过选择需要的规则来创建规则组。
要创建一个规则组:
1. 点击顺应性>>规则组>>新建规则组。输入规则组名称、描述和其他信息。
2. 选择要添加至此组的规则,点击“保存”。
规则被创建后,通过选择需要的规则组,你可以继续创建需要的顺应性策略。关联在一个设备上的所有策略都会进行顺应性检测。
要创建一个策略:
1. 点击“顺应性”>>策略>>新建策略,输入策略名称、描述和其他信息。
2. 指定该策略中要进行检测的规则的配置文件类型(正在运行/启动)。例如:如果你选择“正在运行”,仅仅设备当前运行中的配置会被执行该策略下的顺应性检测。
3. 选择“策略违反标准”——例如:指定违反策略程度——你的策略可能包含不同严重程度的不同规则,你可以在此指定什么情况算违规:
选择需要的规则组,点击“保存”。
在创建一个策略后,你需要将其关联至需要的设备或设备组。
要将一个策略与设备或设备组关联:
1. 点击“顺应性”>>策略,点击相应策略的“关联”链接;
2. 选择设备或设备组,点击“保存”。
要为一个设备运行顺应性检测:
1. 点击指定设备的“设备明细”页面,点击“顺应性”标签。
2. 点击“顺应性动作”框下的“运行顺应性检测”。你也可以通过添加计划来在将来的某一时间进行顺应性检测。要做此计划,点击“顺应性检测计划”,输入详情即可。当你计划顺应性检测时,你可以选择以邮件方式向必要的收件人发送违反策略通知。
要查看结果或生成顺应性报表:
1. 指定设备的顺应性状态会被显示在同一页面中。如果设备被与不只一个策略关联了,每个策略的顺应性检测的结果都会被显示在表中。
2. 你可以为一个设备的顺应性检测的结果生成一个综合性报表,该报表包括了关联在该设备上的所有策略的顺应性检测的结果。报表可以以PDF或CSV的格式生成,并被以邮件方式发送到必要的接收人哪里。
要为一个设备组运行顺应性核查:
1. 点击“资源清单”>>“设备组”页面,点击想要运行顺应性核查的设备组。
2. 点击“顺应性”标签。
3. 点击“顺应性动作”框下的“执行顺应性检测”。你也可以通过添加计划来在将来的某一时间进行顺应性检测。要做此计划,点击“顺应性检测计划”,输入详情,即可。当你计划顺应性检测时,你可以选择以邮件方式向必要的收件人发送策略违反通知。
要查看结果或生成顺应性报表:
1. 指定设备的顺应性状态会被显示在同一页面中,组中的每个设备的顺应性结果都会被列在表中。如果设备被与不只一个策略关联了,每个策略的顺应性检测的结果都会被显示在表中。
2. 你可以将设备组的顺应性检测的结果生成一个综合性报表,该报表包括了关联在该设备组的每个设备上的所有策略的顺应性状态和违反情况。报表可以以PDF或CSV的格式生成,并被以邮件方式发送到必要的接收人哪里。
在创建顺应性策略的任何阶段(规则创建、规则组创建以及策略创建),若要检测你所添加的规则/规则组/策略的顺应性,可以执行Adhoc测试,该测试可即时获得该处的结果。添加一个规则后,你可以通过点击顺应性页面>>规则界面中的“Adhoc测试”按钮,为一个或一组设备执行adhoc测试。类似地,Adhoc测试可以被以以下方式执行:点击顺应性页面>>规则组界面中的“Adhoc测试”按钮,点击顺应性页面>>策略界面中的“Adhoc测试”按钮。
|
|