【天逸出品】【第十八期】EDR的漫游之路

正文开始之前，先分享一个小技巧

EDR 3.5.24版本以后 新增了一个自定义风险文件的功能

如图：

将可疑文件的MD5值 添加到这个策略里，在EDR以后继续查杀里面，就会把相同MD5值的文件给揪出来

言归正传

客户买了咱们的防火墙和EDR产品，并且配置了联动

现在内网用户已经部署好了EDR客户端，做终端防护

但是存在这样一个情况，客户的用户经常会出差，每次出差时间还比较长，那客户这边就想着让出差在外的用户，也可以进行EDR的安装和更新使用

已知目前的环境是，客户用的是拨号上网，并没有固定的IP地址

我这边最终给做的方案如下：

1、要在外网区域使用EDR，那肯定要外网能连接上EDR的客户端，但是客户又没有固定的IP地址，首先要解决接入地址的问题，这里用的是DDNS类的产品，例如花生壳这种，申请一个域名，做动态域名的解析

2、动态域名拿到了，那么EDR就用动态域名来解析，所以接入地址添加上域名

3、配置好域名接入以后，那现在域名解析的地址还是出口地址，EDR在内网部署，所以还要做一下地址转换

问题又来了，因为没有固定的IP地址，所以做地址转换的时候，没法写目的IP地址

解决办法：

在目的地址那里，写全部地址

这样不论出口IP变成什么，都能匹配到这条地址转换

4、外网接入这样就可以实现了，那么现在通过域名接入后，加入用户又回到了公司内网，这边同样要实现从内网用域名接入EDR

方法有两种，双向地址转换，或者DNS透明代理

代理方式配置如下：

把这个域名在防火墙的本地HOSTS上直接解析成EDR地址

现在已经实现了，EDR的内外网漫游，客户的问题又来了

客户发现咱们的远程协助功能很好，他就大胆的猜测，能不能让公网访问的用户，也可以通过远程协助来控制

经过这边反复的测试验证呢，最终发现通过互联网来远程协助，最终实现不了

原因是这样的

控制台上发起了远程请求以后，控制台会先连接该被控终端，询问是否接受被远程

终端同意以后，再由登录控制台的这台终端，直接去连接被控终端，调用的是VNC组件

由于两边都是私网地址，所以无法直接访问，连接会报失败

后续版本如果远程控制可以由控制台做中间代理了，那就可以实现协助互联网终端了

感谢楼主分享！文章对解决agent漫游问题很有帮助，尤其是客户公网没有固定IP的场景，如截图更加贴合场景有更多的效果展示会更让人一目了然，期待楼主带来更多有价值的分享

沙发，感谢分享，有助于工作和学习！！！

每天学习，每天进步！感谢！

感谢分享，有助于工作和学习！！！

每天学习，每天进步！感谢！

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

每天学习，每天进步！感谢！