【托管云】EDR微隔离操作经验文档

一、文档概述

掌握EDR微隔离的实现过程

掌握EDR微隔离的基本配置。

1.1EDR微隔离的实现方式

微隔离（MSS）是一种集中化的流量识别和管理技术。通过MGR下发微隔离策略到终端Agent，可以阻断终端入站、出站的流量，达到隔离保护的目的。功能可以对服务器进行防护，放通必要的业务端口，禁止所有的非必要的端口，提升业务的安全性；同时通过可视化的方式查看到流量隔离状态。

二、操作步骤

*演示环境有web与AP两台windows服务器，以禁止Web远程AP的3389端口为例

1.1服务器安装EDRagent

a. 浏览器数据输入下载的URL后，将操作系统一致的安装包下载下来。

b. 安装包下载下来后点击运行即可开始安装。

c. 安装完成后可从MGR看到agent在线。

*agent可通过多种方式安装，这里采用浏览器下载后安装。

1.2配置微隔离业务系统

打开 EDR 管理平台点击[微隔离]—>[业务系统]。如下图。

点击新增，增加web和AP两个业务系统，系统里面别对应web和AP两台服务器。如下图。

两个业务系统建立完成，如下图。

1.3开启微隔离日志上报和微隔离策略。

点击微隔离设置，将微隔离和流量上报勾，如下图。

1.4配置微隔离策略

点击[微隔离策略—>[新增]，选择对应的源端web与目的端AP，服务选择3389.动作设置为禁止。如下图。

1.5验证微隔离策略是否生效

1，通过Web（172.16.37.8）无法与AP（172.16.37.17）的3389端口通信

2，通过VPN拨入则可以正常远程到AP（172.16.37.17）的3389端口。

3，证明微隔离策略生效，拦截Web（172.16.37.8）与AP（172.16.37.17）的3389端口的数据。

现象如下图。

三、操作影响范围

1，从标准版本EDR3.2.13的版本开始，微隔离策略默认为允许。建议在客户允许的情况下开启微隔离策略。

四、注意事项

1，EDR的微隔离策略是从上到下匹配的，可结合实际情况调试策略优先级。

五、FAQ

一、主机上有docker环境和edr的微隔离之间是不是有什么冲突？

docker环境业务关联调用iptables，而下EDR下发微隔离策略，会导致agent接管iptables备份清空原iptables内容并写入对应微隔离策略到iptables中，导致业务系统访问异常。

注：除微隔离功能、端口封堵以及终端隔离等也是相同的实现机制，也会影响docker环境业务。

二、微隔离策略的常用场景有哪些？

a.保护服务器：只放通必要的业务端口，禁止所有的非必要的端口，提升业务的安全性。
b.防止感染性病毒蔓延：出现感染性病毒时，通过微隔离将所有终端的共享端口以及远程桌面端口进行封堵，防止病毒蔓延。

c.流量可视：能够帮助用户梳理终端之间的流量访问关系及访问记录