#原创分享#技术配置之EDR终端相应平台介绍以及详细部署
  

山东_朱文鑫 133533人觉得有帮助

{{ttag.title}}
本帖最后由 山东_朱文鑫 于 2021-8-16 22:28 编辑

我是超级大白,我又来了,分享个人知识,像大牛们学习!跟大牛们一起成长!工作经验分享感谢大哥们参阅!因为个人工作原因帖子不能频繁更新表示抱歉,也不要催更了,其他大牛们的帖子也是很不错的,好的寒暄几句话不多说,直接步入正轨。
首先我们了解一下深信服的EDR终端响应平台是什么,用来干嘛的,这样才会更加有助于我们对于这个产品的部署以及配置。

随着日益增长的网络用户群体,网络安全成为了必不可忽视的安全条件,网络其庞大的数据流量,也就夹杂着各种各样的恶意流量数据包,这也就导致终端访问的数据以及终端的安全成为隐患,终端也就成为了病毒爆发的重灾区,恶意软件广泛影响全球网络环境,尤其以wanacry,Globelmposter,GandCrab,GhostPetya,lucky,Rapid,FilesLocker,Vendetta、STOP等勒索病毒严重影响社会政策运转,多终端类型的中毒,以及计算机病毒的可变性,无论是对于政府、医疗、还是金融等单位都是不小的挑战,据不完全统计,单纯按照新生儿个人信息的数据泄露,每分钟都高达几十万条信息,国家也因为国家网络安全的方向着想,提出了加强网络安全的整治,维护国家网络安全的方针。

同样也是为了维护网络安全的稳定,相应国家的号召,深信服应运而生了针对多终端类型防护的产品,它就是EDR终端响应平台,多终端防护隔离,病毒实时检测,以及后来为立体化网络安全防护设置的多产品联动处理。



同样以多资产类型终端的适配,以及弹性的部署,以及深信服自己的人工智能检测引擎技术SAVE等等,成为越来越多的客户选择





同样EDR的高扩展性也适用于各种各样的网络场景:位置威胁防护场景、网端双重防御场景、等级保护合规场景、混合云防护场景、隔离网终端防护场景。











其实关于深信服EDR终端响应平台的部署上面也说过了,EDR的部署比较弹性,同样EDR分为硬件EDR与软件EDR,关于软件EDR它可以通过ISO启动盘部署到服务器直接写入(一般根据服务器兼容性去做)、通过OVA进行虚拟化文件的直接导入(适用于常见的虚拟化软件跟平台、但是华为云对我们的ISO和OVA是不兼容的)、以及通过终端使用虚拟化软件部署MGR平台的方式(这种不是首选项,根据实际情况选择配置),但是也有标准限制的,深信服的部署使用封装提供了传统的ISO、OVA镜像文件,以及利用linux虚拟机进行全新搭建EDR的MGR响应平台。



值得注意的是前几天刚刚发布的3.5.6版本EDR《实施项目需注意:实施前先查看订单。老版本订单(订单中有智防/智控/智响应授权信息)需要用老版本交付(3.5.2版本交付);新版本订单(订单中有基础版/高级版/旗舰版授权)需要用新版本交付(3.5.6版本交付)。如果老版本订单用3.5.6版本实施会导致授权没法激活,同样如果是新版本订单用老版本实施也会导致授权没法激活。以上注意事项只限于实施项目,测试项目和老客户升级不受此影响、可以直接使用3.5.6版本的包。


不过常见还是使用硬件EDR与虚拟化平台部署EDR的方式、以及服务器部署,这些方式可靠性较高,也比较方便实施。

EDR对服务器以及虚拟化平台的资源的需求标准其实都是一样的,主要是针对MGR要管控的终端数量的多少如下所示:

EDR的中心端对安装服务器的要求如下:

终端数          CPU        内存      磁盘

1-50             2核        2G       100G

50-500         4核        4G       250G

500-2000     4核        8G       500G

10000          8核       16G       1T(仅限EDR3.2.21及以上版本)

注意:如果MGR服务器作为漏洞补丁服务器,磁盘大小推荐配置为1T

首先说一下第一种通过ISO文件进行服务器的MGR的搭建,也就是通过下载EDR终端响应平台的ISO镜像文件进行USB启动盘的刻录,跟装电脑系统差不多,然后通过服务器设置引导顺序,优先USB启动盘引导,因为不同第三方厂家的服务器配置方式以及快捷键都不一样,所以只能靠各位大哥去找度娘了,关于ISO镜像文件刻录方式,我用的都是软碟通,其他的也没怎么用过,但是基本应该都差不多,就发一下软碟通的吧

打开软碟通,单击左上角“文件”→“打开”,选择.iso文件的存放目录,再选择.iso映像文件打开,即可看到映像文件全部加载到UltraISO了,如下图。






将映像文件全部加载到UltraISO后,插入U盘,并将其格式化;选择菜单栏“启动”→“写入硬盘映像”,在新弹出的对话框中,写入方式选择“USB-HDD+”,然后点击写入,在弹出的警告对话框中,选择“是”,等待写入成功。









在提示写入成功后点击“返回”。



为了电脑更好的启动映像文件(有些电脑不能找到映像文件),所以我们还要给电脑加以引导,加载一个引导文件,选择菜单栏中的“启动”→“加载引导文件”。



在加载引导文件框中选择找到适才写入U盘的引导文件(一般在boot文件夹下,为.bin格式),确认后点击打开,如图所示。



制作完成后,需在电脑端设置启动方式。重启电脑,在启动电脑的同时按下F2键(大多数电脑都是F2,少数电脑不一样)进入BIOS设置,在Boot菜单中,将USB-HDD设为第一启动方式,保存设置并退出BIOS设置,电脑下次启动时将从U盘启动。

以上就是使用ISO文件刻录USB启动盘的方式操作流程

关于虚拟化平台的部署方式就更加比较灵活了,例如在windows Sever服务器或者终端(不推荐)里面装入VMware虚拟化软件,直接导入后使用就可以了。

这里主要是借鉴的大佬的帖子https://bbs.sangfor.com.cn/forum ... d=107297&highlight=

首先去深信服社区下载好OVA的镜像,然后去VM下导入模板虚拟机,这里就发一下大佬的帖子内容防止翻来过去觉得麻烦。

安装步骤:
ova模板部署不用上传镜像,直接加载本地模板文件,但这里教教大家vmware上传文件的方法
1.1.  使用vmware客户端登录管理平台,点击数据存储和数据存储集群



1.2.随便选择一块数据存储磁盘,右击选择浏览数据存储




1.3.点击图中图标,选择上载文件




1.4.然后选择自己桌面上需要上传的文件后,点击打开等待文件上传完成




下面开始部署OVA模板


2.1.点击【文件】【部署OVF模板】,OVF和OVA模板都是可以部署的,他们的区别在于封装不同,OVF包构造了必要的几个文件,所有这些在定义和部署的虚拟机必须用到的。相比之下,OVA包是一个单一的文件,所有必要的信息都封装在里面。




2.2.点击【浏览】,选择本地ova模板,打开




2.3.接着一直点下一步,磁盘格式根据需求情况选择,这里选的是第三个精简配置




2.4.最后一步勾选上部署后打开电源




2.5.右击新建的虚拟机,选择【编辑设置】-【选项】可以更改虚拟机名称






2.6.右击虚拟机,选择【打开控制台】,安装完成打开效果如图






2.7.输入用户名密码更改系统网卡ip地址和DNS,账户/密码为:root/edr@sangfor

执行ip addr查看网卡,eth0为相应物理网卡



执行find / -name *eth0,查找网卡默认位置



执行vi /etc/sysconfig/network-scripts/ifcfg-eth0,按i进入网卡修改地址





修改完成记得先按ESC,然后再按shift+i,输入wq!回车才能退出



执行:vi /etc/resolv.conf修改DNS好上网更新规则库



编辑退出方法同上
最后执行:severice network restart 重启网络,生效配置。



使用内网pc测试平台是否安装成功





平台登陆成功,这里是ova模板部署,就不用担心端口开放问题,系统默认开了的,如果出现能ping通但是访问不了页面,再去排查是否客户网络安全设备封堵了相关端口



好的再次感谢大佬的知识分享!其实这位大佬的配置已经可以说相当的详细了


关于在部署过程中要补充的几点:



1.虚拟化平台的MGR部署一定要注意避免虚拟化套虚拟化的情况:例如我在华为云部署一台windows sever服务器,然后再在里面装个VMware部署MGR,这样基本是不被允许的,至少VMware的启动是会有问题的,除非搭载的虚拟化支持这种



2.大佬用的是3.2.17版本的EDR,我们一般建议OVA的MGR的部署按照最新的版本去部署,但是特别需要注意的一点是如果你是需要通过linux服务器使用shell脚本去搭建,那最高只能用3.2.17版本去做!!!!!!!!!!!!!!



3.再就是注意端口的放通状态,一般搭建以后是没有问题的,需要的端口有443、54120、8083、51111、22345端口



好的OVA模板的部署方式已经说完了,现在说一下使用shell脚本通过linux怎么去部署MGR终端,首先上面说过了linux全新虚拟机通过shell脚本搭建最高支持版本为3.2.17,如果想要最新版本,那就需要先搭建3.2.17版本,正常搭建完成以后通过WEB控制台导入3.2.21版本然后再导入3.5.6就可以升级到最新版本了。



关于版本包以及脚本就需要问助手姐姐或者二线寻求了



并且对于linux系统的要求如下:



操作系统需是64位的ubuntu(建议ubuntu16.x)或centos(必须centos7.x)或直接导入深信服提供的虚拟机模板,其他版本的linux是不支持的例如红帽等等,并且建议下载的linux的镜像是everything的全量包。(如果碰到华为云的虚拟化平台基本就需要自己下载一个linux的iso镜像然后安装好linux服务器,然后再通过22端口ssh,将版本包以及脚本导入后部署,因为华为云与我们提供的的ova与iso不兼容)






这里提供几个大学以及企业的开源镜像站:


北京交通大学:https://mirror.bjtu.edu.cn/


中国科学技术大学:https://mirrors.ustc.edu.cn/






卡内基梅隆大学CMU:http://www.club.cc.cmu.edu/pub
麻省理工学院MIT:http://mirrors.mit.edu/
哥伦比亚大学:http://mirror.cc.columbia.edu/
俄勒冈州立大学:http://ftp.osuosl.org/pub
伊利诺伊大学厄巴纳-香槟分校:http://cosmos.cites.illinois.edu/
约翰·霍普金斯大学: http://mirrors.acm.jhu.edu/

以Centos7为例,先去开源镜像店下载centos7版本的iso全量镜像包,然后去虚拟化平台挂载iso镜像通过MGR管理的终端个数分配虚拟机CPU以及内存、存储等资源,然后安装好centos7虚拟机,更改linux虚拟机的ip地址,查看是否开放了22端口,默认是除了22端口都拒绝,然后通过ssh连接进入linux虚拟机。

关于Centos7的部署过程放上连接:https://bbs.sangfor.com.cn/forum ... &extra=#/pid2206429

关于这里的配置方式参考OVA模板部署的2.7步骤以后就可以了

下载好3.2.17的版本包以及脚本,然后将3.2.17的版本包和脚本一同导入到 linux 主机同一目录



然后使用命令 chmod u+x manager_deploy.sh, 给安装脚本文件添加执行权限。



安装 Manager。
切换到安装文件所在目录,执行如下命令安装:./manager_deploy.sh <安装包路径> <云端升级服务器 IP>

说明:云端升级服务器 IP 默认为 121.46.26.113,填写这个即可(为后续私有云预留)

举例: ./manager_deploy.sh /root/edr3.2.8_offline_20181018165027_Build367.pkg 121.46.26.113

注意,安装包的路径和包名根据实际情况调整。

安装脚本返回如下图中结果,说明安装安成



关于网络配置:离线包部署 MGR 后,网络配置只支持从后台配置,不支持从界面配置,后台网络配置方法就是参考OVA部署步骤2.7以下

这里需要注意的就是:部署完的EDR的MGR的地址就是https://在刚开始部署网络时修改的IP

其实深信服的EDR终端响应平台是一个相对而言比较容易上手的产品,只要部署完MGR,保证要装入Agnet的终端能够访问到EDR的控制台就可以了。

EDR的 Agent多场景安装过程:https://bbs.sangfor.com.cn/forum ... read&tid=150029

EDR的MGR适用的 Centos7搭建过程:https://bbs.sangfor.com.cn/forum ... read&tid=149959

励志分享超清壁纸语句~~:



把意念深潜得下,何理不可得,把志气奋发起,何事不可做。


好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!!




打赏鼓励作者,期待更多好文!

打赏
7人已打赏

新手719320 发表于 2022-9-24 10:24
  
每日打卡,感谢大佬分享。。。
13672069960 发表于 2022-8-10 19:15
  
欧拉系统能装EDR吗(服务端)
平凡的小网工 发表于 2022-5-21 18:50
  
楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了,如遇到问题再向楼主请教~
一个无趣的人 发表于 2022-4-6 10:40
  
楼主分析的很详细,不错的实战经验,小白用户一看就懂,非常好的技术干货帖,顶一个!
এ塔铃独语别黄昏এ 发表于 2021-11-6 23:05
  
感谢分享,有助于工作,学习学习
水之蓝色 发表于 2021-9-11 19:27
  
感谢分享,有助于工作,学习学习
磊大发 发表于 2021-8-13 23:16
  
有助于工作!!!!!!!!!!!!!!!!!!!!!!!
会飞的癞蛤蟆 发表于 2021-7-29 17:20
  
水贴!!!!!!!!!!!!!!!!!!!!
一个无趣的人 发表于 2021-7-27 10:14
  
标题有问题吧。哥们建议修改下。
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
每日一问
干货满满
【 社区to talk】
新版本体验
技术笔记
功能体验
产品连连看
技术咨询
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
信服课堂视频
秒懂零信任
自助服务平台操作指引
安装部署配置
排障笔记本
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

217
288
151

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

二进制网络

本周分享达人