针对分布式XDR组件接入中间网络存在网闸代理和NAT场景最佳实践补充

深信服分布式 XDR网闸+NAT双场景最佳实践补充

1、应用场景

行业客户的部分深信服安全设备部署在内网，现在购买了分布式 XDR 需要将内网的深信服安全设备（后续简称为组件）接入进行安全分析。由于客户处网络分为内网跟外网，两张网络通过网闸隔离开，且中间经过NAT路由设备。经过调研网闸为深信服安全隔离与信息交换系统，部署模式为代理模式。两张网络出口各自有NAT路由设备对XDR和组件的地址进行源地址转换和目的地址转换（简单来讲就是客户侧XDR在一张网络中，组件在一个网络中，两张网络分别经过了网闸代理和原目地址转换），那么在这种既有网闸做代理、又有路由设备做了NAT网络环境中，组件接入XDR具体应该怎么操作或注意那些呢？请看下文。

2、场景分析

2.1 网闸部署模式

网闸设备常见的部署模式为路由、透明、代理模式。

部署模式	客户痛点解析
路由模式	客户端与服务器不在同一个网段，但是必须访问对方的真实IP才能通信。客户端需要把去往目标服务器的路由下一跳指向本端的IP。
透明模式	客户端与服务器属同一网段，加入网闸后不希望改变现有网络拓扑。网闸在此模式下类似交换机，客户端与服务器可直接通信。
代理模式	代理模式适用于不允许访问对方真实IP。两侧主机分别通过本端网络与用户主机通信。客户端只需访问网闸对应IP，后续通信由网闸完成。

出口路由设备部署模式为三层部署，针对组件进行源地址，具体场景拓扑如下：

2.2 组件对接分布式 XDR过程

（1）深信服安全组件对接分布式 XDR过程大致为以下几步：先访问分布式业务口（一般XDR的业务口跟管理口复用，特殊情况除外，本次案例是管理网和业务网复用）的REST口请求接入地址，REST会返回一个IP用于接入，然后组件SDK会携带相关参数连接这个IP的19666端口建立连接，发送用户名密码进行认证，认证通过后，就一直保持长连接。完成后组件会携带配置中的用户名、密码以及其他设备信息访问数据湖认证接口进行设备认证，设备认证通过之后会获取到token信息，组件携带token等信息上报数据给分布式 XDR数据湖。完成整个认证加上数据上报过程。

（2）以本次实际案例为例：AF经过网闸代理，再经过出口SNAT后接入XDR

2.3 流量走向

①AF管理口地址为10.251.251.1，经过网闸代理后地址为10.252.252.1，再经过出口路由地址转换后的地址为1.1.1.1，所以XDR上看到AF接入地址为1.1.1.1，故XDR侧填写地址应填写如下：组件地址为AF管理IP在客户侧网络中SNAT后地址本次案例中为1.1.1.1，映射地址为10.251.251.251（AF真实web管理口地址）

②XDR的地址为2.2.2.2，（出口路由未做双向转换故数据流到网闸之前XDR地址均为2.2.2.2）经过网闸代理后XDR地址为10.251.251.2，故AF上填写XDR地址为10.251.251.2（端口19666）

2.4 数据合规性说明

网闸是实现两个相互业务隔离的网络之间的数据交换，网闸一般由三部分组成内网处理单元、隔离与交换控制单元以及外网处理单元。其中内网处理单元一般分为接口部分以及数据缓冲区，其中接口部分负责与内网的连接，数据缓冲区负责与隔离与交换控制单元的数据交换；隔离与交换控制单元是网闸隔离控制的摆渡开关，控制交换通道的开启与关闭；外网处理单元与内网处理单元一致，只不过控制的是网闸外网侧的连接。

使用网闸是为了隔离业务的同时实现安全的数据交换，原则上说开放的通道规则越少越不容易遭受攻击，所以开放网闸通道的原则为：单一服务、定向放通，其中单一服务为一个通道只开放最小的数据交换服务；定向放通为一条规则只放通一个方向，最小权限满足业务数据交换安全。基于该原则配置数据通道也可以满足等保合规要求。

3、方案规划

3.1 组件跟分布式XDR通信地址梳理

首先根据2.2章节描述的组件跟分布式 XDR数据通信方式，了解到组件需要跟分布式 XDR的业务口集群地址（VIP）进行通信（本案例中XDR业务口和管理口复用），其中REST接口返回的IP可以按照该方法确认：

在客户处找一台组件（本次案例中为AF），登录后台执行该命令，执行完成回显中包含REST接口返回的IP地址。

wget --no-check-certificate ‘https://10.251.251.2/scl/v1/dev/address?corpcode=1000100&appversion=1.0.0’ -0 - -q

Wget --no-check-certificate ‘https://10.251.251.2/scl/v1/dev/address?corpcode=1000100&appversion=1.0.0’(如下图所示)这里需要注意，请求的IP要和返回信息中IP一致方可，不一致AF接入XDR会报错，无法正常接入

如上图所示显示的返回IP地址为10.251.251.2，到这里就确认完成组件跟分布式 XDR数据，观察可以发现返回的地址其实就是分布式XDR业务口集群地址（VIP）在网闸上代理之后的地址10.251.251.2

3.2 客户准备

①允许在网闸外网单元AF组件通过网闸及出口NAT后接入分布式XDR

②允许在网闸上放通3个数据通道用于组件对接XDR

3.3 配置步骤

3.3.1 组件配置地址

AF的WEB管理口地址为10.251.251.1，分布式XDR的管理口集群地址VIP（此案例中业务口和管理口复用）为2.2.2.2；Xdr经过网闸代理后地址为10.251.251.2（如上述2.3流量走向拓扑图）

3.3.2 网闸网卡地址修改

需要将10.251.251.2这个地址配置在网闸外网处理单元网络ETH1接口上，如下图所示：

该项目中客户网闸外网NET1接口地址为下图所示：

3.3.3 对象创建

根据需要通信的组件跟分布式XDR创建对象，如下图所示：

3.3.4 应用创建

根据需要放通的协议以及端口创建应用，如下图所示：

3.3.5 安全通道配置

配置安全通道，分别配置内到外以及外到内通道，如下图所示。

3.3.6 安全通道配置

由于网闸代理模式的工作原理，需要将对应的域名涉及的地址放开，在网闸上需要配置规则（通道）信息。根据网闸的配置逻辑将对应通道连接放开，不同网闸配置不同，需要放通数据流一致。

第一条通道：放通源对象AF到目的对象XDR的443应用的通信。

第二条通道：放通源对象AF到目的对象XDR的4488应用的通信。

第三条通道：放通源对象AF到目的对象XDR的19666应用的通信。

PS:完成规则放通后需要点击应用配置启用规则。

并且点击右上角应用配置，应用对应规则。不点击应用配置，即使创建规则也无效。

3.3.7 代理设置配置

在网络接口中点击多IP对应，按照下图所示添加对应代理规则。解释第一条规则为：当访问设备IP地址20.1.122.44的443应用将代理访问20.0.122.44的相同应用。

3.3.8 组件配置分布式XDR对接

按照分布式 XDR产品安装指导书配置对应组件跟分布式 XDR的对接。以下只列出AF上关键步骤截图

4、方案验证

4.1 组件认证成功

在分布式 XDR上看组件已经显示在线，AF上显示已接入。

4.1 组件数据上报成功

在分布式 XDR上观察组件已经成功上报资产、日志、告警等信息。

4.2 避坑点

AF接入分布式xdr时，在确保接入信息无误，网络无问题情况下提示“获取XDR平台授权失败”，原因为AF控制台实践与分布式XDR实践相差较大，故需要调整AF与分布式XDR实践一致后，顺利接入！！

总结：针对组件接入分布式xdr时中间网络存在网闸代理环境和SNAT、DNAT环境时，着重需要注意分布式xdr上填写组件接入信息时NAT信息，可参考本实际客户侧实践案例，有问题可私聊！