更新时间:2023-05-12 GMT+08:00
组网需求
适用产品和版本
设备 |
版本 |
备注 |
---|---|---|
Eudemon1000E-T1 |
边界防护与响应服务:V600R007C20SPC602及其后续版本 |
- |
组网需求说明
本方案适用于客户内网中存在NAT设备的场景。
如果客户内网中存在NAT设备,内网资产使用NAT后地址访问外部区域,导致天关检测到威胁事件的源地址都是NAT后地址,进而无法识别失陷主机的真实地址。
为解决上述问题,采用如下图所示方案。
- 在NAT设备前部署天关2,用于检测区域2的威胁事件,云端通过天关2的威胁日志识别区域2的失陷主机。
- 在出口网关前部署天关1,用于检测非NAT区域(区域1)的威胁事件。
- 在天关1上将区域2NAT后的地址配置为白名单,保证天关1不检测区域2发出的流量,防止NAT后地址被误封禁,同时缓解天关1的检测性能压力。
下图以Eudemon1000E-T1的GE0/0/6和GE0/0/7为例,用于转发内外网的业务流量,同时使用三层接口GE0/0/3与云端对接。
图1 方案组网

约束或注意事项
- 请按照本章介绍的步骤配置,在天关1开启安全检测前,必须先在天关1上将区域2NAT后的地址192.168.55.100配置为白名单,保证天关1不检测区域2发出的流量,防止NAT后地址被误封禁。
- Eudemon1000E-T1接口使用限制:
- Eudemon1000E-T1不支持硬件Bypass功能。
- 默认情况下,接口编号相邻的接口两两组成二层接口对。
- 奇数编号接口用于连接上行设备,偶数编号接口用于连接下行局域网设备
父主题: 企业内部存在NAT转换场景