更新时间:2023-05-12 GMT+08:00

组网需求

适用产品和版本

设备

版本

备注

Eudemon1000E-T1

边界防护与响应服务:V600R007C20SPC602及其后续版本

-

组网需求说明

本方案适用于客户内网中存在NAT设备的场景。

如果客户内网中存在NAT设备,内网资产使用NAT后地址访问外部区域,导致天关检测到威胁事件的源地址都是NAT后地址,进而无法识别失陷主机的真实地址。

为解决上述问题,采用如下图所示方案。

  • 在NAT设备前部署天关2,用于检测区域2的威胁事件,云端通过天关2的威胁日志识别区域2的失陷主机。
  • 在出口网关前部署天关1,用于检测非NAT区域(区域1)的威胁事件。
  • 在天关1上将区域2NAT后的地址配置为白名单,保证天关1不检测区域2发出的流量,防止NAT后地址被误封禁,同时缓解天关1的检测性能压力。

下图以Eudemon1000E-T1GE0/0/6GE0/0/7为例,用于转发内外网的业务流量,同时使用三层接口GE0/0/3与云端对接。

图1 方案组网

约束或注意事项

  • 请按照本章介绍的步骤配置,在天关1开启安全检测前,必须先在天关1上将区域2NAT后的地址192.168.55.100配置为白名单,保证天关1不检测区域2发出的流量,防止NAT后地址被误封禁。
  • Eudemon1000E-T1接口使用限制:
    • Eudemon1000E-T1不支持硬件Bypass功能。
    • 默认情况下,接口编号相邻的接口两两组成二层接口对。
    • 奇数编号接口用于连接上行设备,偶数编号接口用于连接下行局域网设备