#原创分享#技术配置之EDR终端相应平台介绍以及详细部署

我是超级大白，我又来了，分享个人知识，像大牛们学习！跟大牛们一起成长！工作经验分享感谢大哥们参阅！因为个人工作原因帖子不能频繁更新表示抱歉，也不要催更了，其他大牛们的帖子也是很不错的，好的寒暄几句话不多说，直接步入正轨。

首先我们了解一下深信服的EDR终端响应平台是什么，用来干嘛的，这样才会更加有助于我们对于这个产品的部署以及配置。

随着日益增长的网络用户群体，网络安全成为了必不可忽视的安全条件，网络其庞大的数据流量，也就夹杂着各种各样的恶意流量数据包，这也就导致终端访问的数据以及终端的安全成为隐患，终端也就成为了病毒爆发的重灾区，恶意软件广泛影响全球网络环境，尤其以wanacry，Globelmposter，GandCrab，GhostPetya，lucky，Rapid，FilesLocker，Vendetta、STOP等勒索病毒严重影响社会政策运转，多终端类型的中毒，以及计算机病毒的可变性，无论是对于政府、医疗、还是金融等单位都是不小的挑战，据不完全统计，单纯按照新生儿个人信息的数据泄露，每分钟都高达几十万条信息，国家也因为国家网络安全的方向着想，提出了加强网络安全的整治，维护国家网络安全的方针。

同样也是为了维护网络安全的稳定，相应国家的号召，深信服应运而生了针对多终端类型防护的产品，它就是EDR终端响应平台，多终端防护隔离，病毒实时检测，以及后来为立体化网络安全防护设置的多产品联动处理。

同样以多资产类型终端的适配，以及弹性的部署，以及深信服自己的人工智能检测引擎技术SAVE等等，成为越来越多的客户选择

同样EDR的高扩展性也适用于各种各样的网络场景：位置威胁防护场景、网端双重防御场景、等级保护合规场景、混合云防护场景、隔离网终端防护场景。

其实关于深信服EDR终端响应平台的部署上面也说过了，EDR的部署比较弹性，同样EDR分为硬件EDR与软件EDR，关于软件EDR它可以通过ISO启动盘部署到服务器直接写入（一般根据服务器兼容性去做）、通过OVA进行虚拟化文件的直接导入（适用于常见的虚拟化软件跟平台、但是华为云对我们的ISO和OVA是不兼容的）、以及通过终端使用虚拟化软件部署MGR平台的方式（这种不是首选项，根据实际情况选择配置），但是也有标准限制的，深信服的部署使用封装提供了传统的ISO、OVA镜像文件，以及利用linux虚拟机进行全新搭建EDR的MGR响应平台。

值得注意的是前几天刚刚发布的3.5.6版本EDR《实施项目需注意：实施前先查看订单。老版本订单（订单中有智防/智控/智响应授权信息）需要用老版本交付（3.5.2版本交付）；新版本订单（订单中有基础版/高级版/旗舰版授权）需要用新版本交付（3.5.6版本交付）。如果老版本订单用3.5.6版本实施会导致授权没法激活，同样如果是新版本订单用老版本实施也会导致授权没法激活。以上注意事项只限于实施项目，测试项目和老客户升级不受此影响、可以直接使用3.5.6版本的包。》

不过常见还是使用硬件EDR与虚拟化平台部署EDR的方式、以及服务器部署，这些方式可靠性较高，也比较方便实施。

EDR对服务器以及虚拟化平台的资源的需求标准其实都是一样的，主要是针对MGR要管控的终端数量的多少如下所示：

EDR的中心端对安装服务器的要求如下:

终端数          CPU        内存      磁盘

1-50             2核        2G       100G

50-500         4核        4G       250G

500-2000     4核        8G       500G

10000          8核       16G       1T（仅限EDR3.2.21及以上版本）

注意：如果MGR服务器作为漏洞补丁服务器，磁盘大小推荐配置为1T

首先说一下第一种通过ISO文件进行服务器的MGR的搭建，也就是通过下载EDR终端响应平台的ISO镜像文件进行USB启动盘的刻录，跟装电脑系统差不多，然后通过服务器设置引导顺序，优先USB启动盘引导，因为不同第三方厂家的服务器配置方式以及快捷键都不一样，所以只能靠各位大哥去找度娘了，关于ISO镜像文件刻录方式，我用的都是软碟通，其他的也没怎么用过，但是基本应该都差不多，就发一下软碟通的吧

打开软碟通，单击左上角“文件”→“打开”，选择.iso文件的存放目录，再选择.iso映像文件打开，即可看到映像文件全部加载到UltraISO了，如下图。

将映像文件全部加载到UltraISO后，插入U盘，并将其格式化；选择菜单栏“启动”→“写入硬盘映像”，在新弹出的对话框中，写入方式选择“USB-HDD+”，然后点击写入，在弹出的警告对话框中，选择“是”，等待写入成功。

在提示写入成功后点击“返回”。

为了电脑更好的启动映像文件（有些电脑不能找到映像文件），所以我们还要给电脑加以引导，加载一个引导文件，选择菜单栏中的“启动”→“加载引导文件”。

在加载引导文件框中选择找到适才写入U盘的引导文件（一般在boot文件夹下，为.bin格式），确认后点击打开，如图所示。

制作完成后，需在电脑端设置启动方式。重启电脑，在启动电脑的同时按下F2键（大多数电脑都是F2，少数电脑不一样）进入BIOS设置，在Boot菜单中，将USB-HDD设为第一启动方式，保存设置并退出BIOS设置，电脑下次启动时将从U盘启动。

以上就是使用ISO文件刻录USB启动盘的方式操作流程

关于虚拟化平台的部署方式就更加比较灵活了，例如在windows Sever服务器或者终端（不推荐）里面装入VMware虚拟化软件，直接导入后使用就可以了。

这里主要是借鉴的大佬的帖子：https://bbs.sangfor.com.cn/forum ... d=107297&highlight=

首先去深信服社区下载好OVA的镜像，然后去VM下导入模板虚拟机，这里就发一下大佬的帖子内容防止翻来过去觉得麻烦。

安装步骤：

ova模板部署不用上传镜像，直接加载本地模板文件，但这里教教大家vmware上传文件的方法

1.1.  使用vmware客户端登录管理平台，点击数据存储和数据存储集群

1.2.随便选择一块数据存储磁盘，右击选择浏览数据存储

1.3.点击图中图标，选择上载文件

1.4.然后选择自己桌面上需要上传的文件后，点击打开等待文件上传完成

下面开始部署OVA模板

2.1.点击【文件】【部署OVF模板】，OVF和OVA模板都是可以部署的，他们的区别在于封装不同，OVF包构造了必要的几个文件,所有这些在定义和部署的虚拟机必须用到的。相比之下,OVA包是一个单一的文件,所有必要的信息都封装在里面。

2.2.点击【浏览】，选择本地ova模板，打开

2.3.接着一直点下一步，磁盘格式根据需求情况选择，这里选的是第三个精简配置

2.4.最后一步勾选上部署后打开电源

2.5.右击新建的虚拟机，选择【编辑设置】-【选项】可以更改虚拟机名称

2.6.右击虚拟机，选择【打开控制台】，安装完成打开效果如图

2.7.输入用户名密码更改系统网卡ip地址和DNS，账户/密码为:root/edr@sangfor

执行ip addr查看网卡，eth0为相应物理网卡

执行find / -name *eth0,查找网卡默认位置

执行vi /etc/sysconfig/network-scripts/ifcfg-eth0,按i进入网卡修改地址

修改完成记得先按ESC，然后再按shift+i,输入wq!回车才能退出

执行：vi /etc/resolv.conf修改DNS好上网更新规则库

编辑退出方法同上

最后执行：severice network restart 重启网络，生效配置。

使用内网pc测试平台是否安装成功

平台登陆成功，这里是ova模板部署，就不用担心端口开放问题，系统默认开了的，如果出现能ping通但是访问不了页面，再去排查是否客户网络安全设备封堵了相关端口

好的再次感谢大佬的知识分享！其实这位大佬的配置已经可以说相当的详细了

关于在部署过程中要补充的几点：

1.虚拟化平台的MGR部署一定要注意避免虚拟化套虚拟化的情况：例如我在华为云部署一台windows sever服务器，然后再在里面装个VMware部署MGR，这样基本是不被允许的，至少VMware的启动是会有问题的，除非搭载的虚拟化支持这种

2.大佬用的是3.2.17版本的EDR，我们一般建议OVA的MGR的部署按照最新的版本去部署，但是特别需要注意的一点是如果你是需要通过linux服务器使用shell脚本去搭建，那最高只能用3.2.17版本去做！！！！！！！！！！！！！！

3.再就是注意端口的放通状态，一般搭建以后是没有问题的，需要的端口有443、54120、8083、51111、22345端口

好的OVA模板的部署方式已经说完了，现在说一下使用shell脚本通过linux怎么去部署MGR终端，首先上面说过了linux全新虚拟机通过shell脚本搭建最高支持版本为3.2.17，如果想要最新版本，那就需要先搭建3.2.17版本，正常搭建完成以后通过WEB控制台导入3.2.21版本然后再导入3.5.6就可以升级到最新版本了。

关于版本包以及脚本就需要问助手姐姐或者二线寻求了

并且对于linux系统的要求如下：

操作系统需是64位的ubuntu（建议ubuntu16.x）或centos（必须centos7.x）或直接导入深信服提供的虚拟机模板，其他版本的linux是不支持的例如红帽等等，并且建议下载的linux的镜像是everything的全量包。（如果碰到华为云的虚拟化平台基本就需要自己下载一个linux的iso镜像然后安装好linux服务器，然后再通过22端口ssh，将版本包以及脚本导入后部署，因为华为云与我们提供的的ova与iso不兼容）

这里提供几个大学以及企业的开源镜像站：

浙江大学：http://mirrors.zju.edu.cn/

北京交通大学：https://mirror.bjtu.edu.cn/

上海交通大学：https://mirrors.sjtug.sjtu.edu.cn/

中国科学技术大学：https://mirrors.ustc.edu.cn/

重庆大学：https://mirrors.cqu.edu.cn/

兰州大学：http://mirror.lzu.edu.cn/

清华大学：https://mirror.tuna.tsinghua.edu.cn/

阿里：https://developer.aliyun.com/mirror/

华为：https://mirrors.huaweicloud.com/home

卡内基梅隆大学CMU：http://www.club.cc.cmu.edu/pub

麻省理工学院MIT：http://mirrors.mit.edu/

哥伦比亚大学：http://mirror.cc.columbia.edu/

俄勒冈州立大学：http://ftp.osuosl.org/pub

伊利诺伊大学厄巴纳－香槟分校：http://cosmos.cites.illinois.edu/

杜克大学：http://archive.linux.duke.edu/

约翰·霍普金斯大学： http://mirrors.acm.jhu.edu/

以Centos7为例，先去开源镜像店下载centos7版本的iso全量镜像包，然后去虚拟化平台挂载iso镜像通过MGR管理的终端个数分配虚拟机CPU以及内存、存储等资源，然后安装好centos7虚拟机，更改linux虚拟机的ip地址，查看是否开放了22端口，默认是除了22端口都拒绝，然后通过ssh连接进入linux虚拟机。

关于Centos7的部署过程放上连接：https://bbs.sangfor.com.cn/forum ... &extra=#/pid2206429

关于这里的配置方式参考OVA模板部署的2.7步骤以后就可以了

下载好3.2.17的版本包以及脚本，然后将3.2.17的版本包和脚本一同导入到 linux 主机同一目录

然后使用命令 chmod u+x manager_deploy.sh， 给安装脚本文件添加执行权限。

安装 Manager。

切换到安装文件所在目录，执行如下命令安装：./manager_deploy.sh <安装包路径> <云端升级服务器 IP>

说明：云端升级服务器 IP 默认为 121.46.26.113，填写这个即可（为后续私有云预留）

举例: ./manager_deploy.sh /root/edr3.2.8_offline_20181018165027_Build367.pkg 121.46.26.113

注意，安装包的路径和包名根据实际情况调整。

安装脚本返回如下图中结果，说明安装安成

关于网络配置：离线包部署 MGR 后，网络配置只支持从后台配置，不支持从界面配置，后台网络配置方法就是参考OVA部署步骤2.7以下

这里需要注意的就是：部署完的EDR的MGR的地址就是https://在刚开始部署网络时修改的IP

其实深信服的EDR终端响应平台是一个相对而言比较容易上手的产品，只要部署完MGR，保证要装入Agnet的终端能够访问到EDR的控制台就可以了。

EDR的 Agent多场景安装过程：https://bbs.sangfor.com.cn/forum ... read&tid=150029

EDR的MGR适用的 Centos7搭建过程：https://bbs.sangfor.com.cn/forum ... read&tid=149959

励志分享超清壁纸语句~~：

把意念深潜得下，何理不可得，把志气奋发起，何事不可做。

好的今天就到这里，老样子，感谢各位大神的参阅，孩子为了挣豆子不容易，孩子家里穷没豆子吃饭了！！！

标题有问题吧。哥们建议修改下。

水贴！！！！！！！！！！！！！！！！！！！！

有助于工作！！！！！！！！！！！！！！！！！！！！！！！

感谢分享，有助于工作，学习学习

感谢分享，有助于工作，学习学习

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

欧拉系统能装EDR吗（服务端）

每日打卡，感谢大佬分享。。。