客户反馈防火墙联动EDR状态显示离线,顿觉奇怪,咋突然联动不了了,远程之
远程了查看防火墙到EDR 443端口正常通讯,防火墙能正常ping通EDR平台,开启EDR基础设置允许设备联动,删除联动重新联动测试,提示和EDR平台网络无法通信;暂时没有思路只能祭出400大法了,协调400大佬远程,做了前面我排查的操作之后,进行抓包分析 EDR进入后台抓包如图,发现握手失败,怀疑中间安全设备拦截,和客户确认策略都做了放通,排除这个因素 准备防火墙和EDR同时抓包对比分析,发现都有数据包 在都无头绪的时候,400分析报错报文,反馈是tls版本不一致,查看EDR,果然未勾选tls1.1和tls1.2,勾选重新联动后正常 拜别400大佬后,百度报文的报错信息,发现真是如此,后续还是要加强网络方面的报文学习,对报错信息保持敏感态度,多多学习多多进步~
EDR未勾选tls1.1和tls1.2的原因是由于之前EDR由3.5.30升级到3.7.12版本,升级版本后,3.7.12版本默认未勾选tls1.1和tls1.2,反馈了需求建议。 |