【2022争霸赛*干货满满】记录零信任ALL In One多产品集成联动的一次测试过程

非常好的技术干货帖，顶一个！

感谢楼主分享，学习一下

楼主分享的案例很实用，具有典型性，希望有更多这样的干货供我们学习参考，非常感谢！

李哥，你看看我总结的对不对？
零信任ALL In One多产品集成联动
需求背景：就是在终端（电脑、手机、平板）安装的终端软件越来越多，比如一家公司安装了深信服的AC，那就得在终端设备上安装AC的客户端，安装了EDR，那就得在PC上安装EDR客户端，安装VPN设备，那就得在PC、手机上安装VPN相关的客户端等；安装这么多客户端，一个是登录耗时，一个是占用终端设备的CPU内存；有的时候，一个终端客户端在PC上还要考虑兼容性和终端客户端管理问题。综合所述，要解决这些问题，就得引入一种集访问、登录、应用程序、数据、通信等高度集成的一体化办公解决方案，简单点说就是我只登录一个终端客户端、只有一个终端客户端，就能拥有其他终端客户端的功能。
方案介绍：就是将多个设备在电脑上的客户端都给整理到一个客户端上，相当于手机桌面的归类一样，将APP都弄在一个框里，区别在于，每个手机APP归类实际上是占用手机内存的，而该解决方案是只有归类的那个终端客户端占用内存，其整理到该客户端的终端客户端不占用内存。
实现效果：统一界面安装、统一界面展示、隐藏式托盘
部可署方式如下：
1、AC正常部署，主要是针对内网用户开启准入功能。
2、EDR管理平台正常部署，内网用户可直接通过EDR管理平台获取EDR客户端完成安装。
注意：不管怎么部署设备，对应的端口需要放通，否则，一些规则库、通信、软件升级将不能使用。
测试准备（具体配置）：AC和EDR按照客户要求该怎么部署就怎么部署，但是软件版本升级到指定版本（aTurst版本2.1.11AIO、EDR版本3.5.18_B、AC版本13.0.52）。
具体配置：具体配置省略，核心配置思路是：atrust、AC、EDR的IP地址能够访问到，版本要是指定版本。内网用户或者测试的电脑要能够访问得到AC、EDR、atrust。
①atrust生成联动码；
②AC生成联动码；
③atrust的联动码填入AC和EDR里面，AC联动码填到EDR里面；
在网络能通且联动码填写正确的情况下，在atrust的SDP可以看到EDR、AC联动状态成功。
AC、EDR和atrust对应的配置无误后，下载对应客户端，对应客户端能正常显示在atrust客户端里面。

感谢分享钉钉访问微应用失败：不在白名单之中

一、需求背景：随着企业在终端安全侧的投入越来越大，针对不同的安全需求部署不同的安全策略，以往传统的终端安全策略每个独立的产品需要安装独立的客户端，多个客户端对终端PC的资源消耗，终端兼容性问题以及终端管理问题日益突出，企业需要具备端点、网络、应用程序工作负载、数据、通信、以及用户工作负载访问控制高度集成的一体化端点安全安全办公解决方案（copy过来的）。

二、方案介绍：其实也比较简单，就是将深信服的多个客户端产品合并成一个客户端进行显示，实现一个客户端上面拥有AC产品的认证、零信任产品的通道、EDR产品的防护等多项功能使用，减少了客户因为多产品客户端重复安装而产生不必要的烦恼。

三、实现效果：

统一界面安装、统一界面展示、隐藏式托盘

部可署方式如下：

1、AC网桥模式部署在互联网出口/或旁路部署在核心，针对内网用户开启准入功能。

2、EDR管理平台部署在运维区，用户可直接通过EDR管理平台获取EDR客户端完成安装。

（示例拓扑非客户环境）

注意：AC也可旁路在核心，不过需要在核心处放通到AC通讯的所需端口

注意：AC联动通信端口为AC开放接口端口TCP9998，aTrust控制器、EDR管理平台的联动端口均为TCP443，内网如果有防火墙之类的安全设备，需要放通联动端口。做这三者之间的联动测试前一定要先确认版本是否满足当前测试需求，确定当前版本是迭代一还是迭代二，优先选择最新版本。

四、测试准备

4.1设备部署

完成AC和EDR设备部署和网络配置，并升级软件版本至指定版本（前面测试版本为aTurst版本2.1.11AIO版本/EDR版本3.5.18_B/AC版本13.0.52版本），具体部署相关配置可参考各产品线标准化部署指导文档。

五、测试过程

5.1设备配置

5.1.1.EDR管理平台接入配置

1、在【系统管理】->【系统设置】->【网络设置】->【高级配置】->【管理平台端口设置】页面，可以修改EDR管理平台控制台端口和终端程序升级安装端口。

2、需要在【管理平台多IP设置】页面，将客户端下载的地址配置进来，如果EDR有多个IP，或者用户通过公网接入，需要将用户可以下载的IP地址，以及前置网关映射的公网IP地址都填入进来。

注：联动规则是读取EDR的两处配置并生成客户端下载安装地址，下发至客户端。

5.1.2设备对接配置

5.1.2.1aTrust生成联动码

1、登陆aTrust管理端，在【系统管理】->【特性中心】，开启【一体化终端】特性。

2、在aTrust管理端【安全中心】->【深信服联动设备】页面，点击【联动码设置】，生成零信任自身联动码。

5.1.2.2AC生成联动码

1、登陆AC管理端，在【终端行为安全】->【终端安全联动】页面，选择跟联动设备通信的IP地址后，点击生成联动授权码。（注：每个联动码仅可使用一次，有多台联动设备接入时，需要为每一台联动设备重新生成一个联动码。）

以下为AC对接EDR操作

以下为AC对接aTurst操作（内容补充，可根据实际情况进行产品联动对接）

5.1.3EDR接入联动设备

1、在【系统管理】->【联动管理】页面，点击接入联动设备，粘贴aTurst上生成的联动码。

点击【下一步】后可以读取到aTurst的连接信息，选择与aTurst通信的IP地址后点击确定即可。

2、配置完成后，点击【连通性测试】测试联动配置是否成功。

3.通过SDP也可以看到EDR联动状态已经成功。(AC如需接入aTurst设备，联动接入过程与上述基本一致。)

联动完毕后在aTurst【业务管理】—【全局策略】根据需要勾选登录零信任客户端自动拉起AC和EDR客户端进程下载，保存即可。

5.1.4.启用集成策略

5.1.4.1.AC集成策略配置

1.在AC管理端【接入管理】->【终端检查】->【检测规则】->【终端插件检查规则】页面，新增【客户端集成规则】，输入规则名称、规则类型、规则描述，客户端需要集成的设备选择配置的联动的EDR设备。

2、新增检查策略，将创建的集成策略关联给需要安装AIO客户端的用户；

3.在AC管理端【接入管理】->【终端检查】->【准入客户端配置】页面开启准入推送策略。（注：准入策略启用后，目标终端会显示准入安装页面，上网过程会中断直至准入安装完毕，建议开启策略前提前通知用户。）

5.1.4.2.EDR集成策略配置

1.用户如果需要通过先安装EDR再联动安装AC客户端，还需在【系统管理】->【系统设置】->【基本设置】页面勾选【客户端集成并下载AC零信任客户端】选项。（注：如果所有用户均通过先安装AC准入客户端再联动下载EDR客户端，也可不开启该选项。）

5.2.客户端使用

5.2.1.客户端安装
5.2.1.1.全新安装场景(客户当前无AC准入和EDR)
该场景面向用户新上AC准入和EDR场景。
1.AC开启准入策略后，用户上网流量经过AC，AC会重定向用户至安装准入客户端页面。

2、下载安装完成后，如果未开启准入认证客户端，可在任务管理器看到准入进程。

3.用户关联了集成安装策略，EDR客户端会在后台静默下载安装（由于EDR安装包比较大，内网环境需要等待5-10分钟）。（注：当前测试版本EDR后台安装暂时没有下载和安装进度可以展示。后续会优化）。

等待EDR客户端安装完成后，如果用户未开启AC准入认证，系统托盘只有EDR客户端。


如果用户开启了AC准入认证客户端，系统托盘会展示AIO融合后的图标。

AC+EDR场景下，AIO系统托盘主界面为EDR客户端。

5.2.1.2.升级场景(客户当前有AC和EDR客户端)
该场景面向已经部署过老版本AC和EDR客户端的用户。

1、首先需要升级AC和EDR至AIO版本，具体升级过程请参考各产品线升级操作指导。

升级完成后的各项配置与前述基本一致。

1、设备升级完成后，AC准入客户端和EDR均会静默升级，可通过EDR管理平台查看终端升级状态，升级完成后，系统图标会融合成一个。（注:由于EDR客户端升级包比较大，内网环境下升级预计5-10分钟，升级过程需要耐心等待。）

5.2.1.3.加装场景(客户当前有AC，但是没有EDR)
该场景面向已经部署AC准入客户端，新增部署EDR客户端的用户。
1.用户如果部署的AC为非AIO版本，需要先完成AC设备升级，并完成EDR设备部署和联动配置，具体各项配置与前述基本一致。
2.客户端AC准入找到网关后，客户端会静默升级，升级完成后会在后台静默安装EDR客户端，EDR静默安装过程需要耐心等待。
3.客户端升级安装全部完成后，客户端系统托盘会融合成一个，具体过程与新装和升级场景基本一致。

5.2.1.4.加装场景(客户当前有EDR，但是没有AC)
该场景面向已经部署EDR客户端，新增部署AC准入客户端的用户。
1.用户如果部署的EDR为非AIO本，需要先完成EDR管理平台升级，并完成AC设备部署和联动配置，各项配置与前述基本一致。
2.EDR平台升级完成以后，客户端会自动静默升级，升级过程需要耐心等待。
3.EDR管理平台如果同步开启了【客户端集成并下载AC准入客户端】选项，客户端更新成功后会自动在后台静默安装AC准入客户端。
4.客户端升级安装全部完成后，客户端系统托盘会融合成一个，具体过程与新装和升级场景基本一致。

5.2.2.客户端使用
1. 当EDR与AC和aTurst集成时，当AC开启准入认证策略，并且终端用户未认证前，托盘上方显示“上网认证”的按钮。

1、用户如果已经认证在线，则看到的是用户认证信息。

5.2.3.客户端退出
AC和EDR无法一次性整体退出，右键点击系统托盘，点击退出选项，输入EDR退出密码，退出的是EDR的单独客户端。

2、EDR客户端退出后，系统托盘将变为独立的AC认证客户端托盘，如需整体退出，还需要单独再次退出AC的认证客户端，AC认证客户端退出后，用户会注销下线。(注：AC认证客户端退出仅关闭认证客户端，准入运行进程依然会常驻运行)



5.2.4.客户端卸载
当前版本各产品线卸载相互独立，互不干扰。

六.注意事项
1.AIOv2.0版本当前仅支持windows PC版本中文操作系统，暂不支持MAC、linux以及windows server版操作系统。

2.AIO各产品线支持的升级路径如下：

3.用户如果手动卸载客户端以后，注册表会保留已安装过的标记，重新安装任意客户端AIO将不再联动下载安装其他客户端，避免用户手动卸载后重复推送，如果用户想重新安装其他客户端，也需要手动下载安装。
4.以EDR为起点，联动安装AC和SDP,安装完AC和SDP后偶尔会出现重启PC，AC会在后续版本修复此问题，当前版本暂不建议以EDR做为推送起点。
5.AC主主、主备模式场景下，因为联动ID集群模式为一个，当主节点异常使得另一台节点工作并以新节点管理IP+联动ID与EDR或atrust建立互信时，因为管理IP变化会被拒绝，因此当前版本暂不建议在AC高可用环境下使用AIO集成安装策略。
七、测试过程中遇到的问题
排查过程:查看atrust配置正常，并且测试跟ac、edr的连通性正常

问题一、上网准入客户端安装失败

经过和研发的沟通与排查发现是AC的推送端配置不正确，需要修改AC推端地址（注:（1）联动规则读取的是该地址推送给终端进行联动下载AC准入客户端，因此需要务必确保测试PC能够与设置的IP地址正常通信。（2）该地址需要在配置集成安装策略前完成配置，如果配置完集成安装策略在再修改该地址，需要先关闭再重开集成策略触发更新，例如，在aTrust集成安装AC准入客户端时，需要在aTrust全局/用户策略把集成AC的选项的勾关闭，再打开进行触发更新。）

需要在aTrust全局/用户策略把集成AC的选项的勾关闭，再打开进行触发更新。

问题原因：自动找网关找的是1.2.3.4，这个地址如果没到AC，就不会触发下载了。修改指定网关信息为AC的地址。

问题二、aTurst推送EDR第一次成功后卸载重装导致拉不起来自动安装进程
经过排查后发现是产品功能机制导致，原理为:手动卸载EDR和AC客户端后，系统会有卸载标记，再次登录atrust不会重新触发重新下载。3个产品客户端全部卸载，最后卸载的产品会清除3个产品的卸载标记。


删除EDR卸载标记后重启设备再次验证自动安装进程是否能够正常拉起——测试正常



既然问题解决了，那不妨多重启几次验证下各产线终端集成是否正常。一测试完了芭比Q了，距离下班有远了（已经是凌晨1点左右）。什么问题呢？—原来是各个产线‘分了家’，没有统一集成到一个客户端显示。

妥，又要找研发了，通过版本核实发现EDR的版本不对。属实是哭了o(╥﹏╥)o。

因为以上这个版本不支持和新的aTrust进行对接，需要EDR版本3.5.18_B。看到这里。各位终于明白找到合适的升级包是多么省事且重要的吧。重新给包打包后并再多次开机重启验证各产线进程安装拉起动作，重复删除卸载标记和多次开机测试一切正常。








到了这里，各产品的场景集成测试效果就达到了。


八、测试总结
1、测试过程中一定要找对各产线对应版本升级避免测试验证效果出不来。
2、真实客户网络环境进行该产品测试建议先找一两个用户电脑测试，避免对象网段全开导致网络中断。
3、发现自己解决不了的问题及时同步400上升问题，避免消耗过多的测试时间。

      发帖不易，测试时间都是3月份的事情了，许多截图随着时间推移都清除了。看到社区还没有这部分案例，趁着周末补充一下。可能会存在部分点疏忽，也欢迎大家指出和讨论！如果大家觉得有帮助留个痕迹（点赞+收藏）呢^_^。