机制是如何 HIP 运作的 GlobalProtect ?
75695
Created On 04/08/19 18:36 PM - Last Modified 10/22/23 20:08 PM
Question
该机制是如何 HIP 运作的 GlobalProtect ?
Answer
客户端:
GlobalProtect 与 Opswat 合作获取有关各种第三方软件的信息。 客户端连接到网关后, GlobalProtect 客户端 HIP- 会从客户端生成报告。 一代人的一般截止时间是 HIP 20秒。 如果客户端无法 HIP 完成所有项目的报告,它将将其用于已完成的任何项目,未完成的项目将使用以前缓存 HIP 的报告(如果可用),然后它将报告发送到网关。 在后台,它继续完成 HIP 报告。 如果 HIP 报告与之前发送 HIP 的报告不同,它将 HIP 立即将新报告发送到网关。 但是,如果与前一个相同,则不会发送 HIP 报告。 如果以前没有报告缓存 HIP , GlobalProtect 客户端仅 HIP 在 20 秒内部分完成报告,则它会将部分完成 HIP 的报告发送到网关,并继续在后台工作以获取完整报告。 然后,它将被转发到网关。
网关侧
网关将接收完整 HIP 报告(即将接收 GlobalProtect 客户收集的所有内容)。 请注意,此报告不取决于 HIP HIP 网关上配置的对象和配置文件。 然后,网关在"GPdata 文件"的帮助下, HIP HIP 根据 HIP 客户端提交的报告运行所有对象和配置文件 GlobalProtect 配置(来自 Web 界面: 设备> 动态更新 > GPData 文件)。 Web 界面: 监视器 > HIP 匹配日志将显示 HIP 与对象和配置文件中配置的匹配条件匹配的所有 HIP 对象和配置文件。 如果我们没有看到 HIP 在匹配日志中配置的任何特定对象和配置文件 HIP ,则意味着客户端与该特定 HIP 对象和配置文件不匹配。 因此,无法直接查看 HIP 客户端 匹配 NOT 的所有对象和配置文件。 找到它们的唯一方法是检查日志以查看"匹配日志中找到的所有配置文件/对象 - 减去所有 HIP 对象/配置文件 HIP "。