组网需求

适用产品和版本

组网需求说明

本方案适用于客户内网中存在NAT设备的场景。

如果客户内网中存在NAT设备，内网资产使用NAT后地址访问外部区域，导致天关检测到威胁事件的源地址都是NAT后地址，进而无法识别失陷主机的真实地址。

为解决上述问题，采用如下图所示方案。

• 在NAT设备前部署天关2，用于检测区域2的威胁事件，云端通过天关2的威胁日志识别区域2的失陷主机。
• 在出口网关前部署天关1，用于检测非NAT区域（区域1）的威胁事件。
• 在天关1上将区域2NAT后的地址配置为白名单，保证天关1不检测区域2发出的流量，防止NAT后地址被误封禁，同时缓解天关1的检测性能压力。

下图以Eudemon1000E-T1的GE0/0/6和GE0/0/7为例，用于转发内外网的业务流量，同时使用三层接口GE0/0/3与云端对接。

图1 方案组网

约束或注意事项

• 请按照本章介绍的步骤配置，在天关1开启安全检测前，必须先在天关1上将区域2NAT后的地址192.168.55.100配置为白名单，保证天关1不检测区域2发出的流量，防止NAT后地址被误封禁。
• Eudemon1000E-T1接口使用限制：
  • Eudemon1000E-T1不支持硬件Bypass功能。
  • 默认情况下，接口编号相邻的接口两两组成二层接口对。
  • 奇数编号接口用于连接上行设备，偶数编号接口用于连接下行局域网设备