深信服 EDR 的详细部署

admin1年前 (2024-01-03)技术分享2305

首先我们了解一下深信服的EDR终端响应平台是什么，用来干嘛的，这样才会更加有助于我们对于这个产品的部署以及配置。

随着日益增长的网络用户群体，网络安全成为了必不可忽视的安全条件，网络其庞大的数据流量，也就夹杂着各种各样的恶意流量数据包，这也就导致终端访问的数据以及终端的安全成为隐患，终端也就成为了病毒爆发的重灾区，恶意软件广泛影响全球网络环境，尤其以wanacry，Globelmposter，GandCrab，GhostPetya，lucky，Rapid，FilesLocker，Vendetta、STOP等勒索病毒严重影响社会政策运转，多终端类型的中毒，以及计算机病毒的可变性，无论是对于政府、医疗、还是金融等单位都是不小的挑战，据不完全统计，单纯按照新生儿个人信息的数据泄露，每分钟都高达几十万条信息，国家也因为国家网络安全的方向着想，提出了加强网络安全的整治，维护国家网络安全的方针。

同样也是为了维护网络安全的稳定，相应国家的号召，深信服应运而生了针对多终端类型防护的产品，它就是EDR终端响应平台，多终端防护隔离，病毒实时检测，以及后来为立体化网络安全防护设置的多产品联动处理。

同样以多资产类型终端的适配，以及弹性的部署，以及深信服自己的人工智能检测引擎技术SAVE等等，成为越来越多的客户选择

同样EDR的高扩展性也适用于各种各样的网络场景：位置威胁防护场景、网端双重防御场景、等级保护合规场景、混合云防护场景、隔离网终端防护场景。

其实关于深信服EDR终端响应平台的部署上面也说过了，EDR的部署比较弹性，同样EDR分为硬件EDR与软件EDR，关于软件EDR它可以通过ISO启动盘部署到服务器直接写入（一般根据服务器兼容性去做）、通过OVA进行虚拟化文件的直接导入（适用于常见的虚拟化软件跟平台、但是华为云对我们的ISO和OVA是不兼容的）、以及通过终端使用虚拟化软件部署MGR平台的方式（这种不是首选项，根据实际情况选择配置），但是也有标准限制的，深信服的部署使用封装提供了传统的ISO、OVA镜像文件，以及利用linux虚拟机进行全新搭建EDR的MGR响应平台。

值得注意的是前几天刚刚发布的3.5.6版本EDR《实施项目需注意：实施前先查看订单。老版本订单（订单中有智防/智控/智响应授权信息）需要用老版本交付（3.5.2版本交付）；新版本订单（订单中有基础版/高级版/旗舰版授权）需要用新版本交付（3.5.6版本交付）。如果老版本订单用3.5.6版本实施会导致授权没法激活，同样如果是新版本订单用老版本实施也会导致授权没法激活。以上注意事项只限于实施项目，测试项目和老客户升级不受此影响、可以直接使用3.5.6版本的包。》

不过常见还是使用硬件EDR与虚拟化平台部署EDR的方式、以及服务器部署，这些方式可靠性较高，也比较方便实施。

EDR对服务器以及虚拟化平台的资源的需求标准其实都是一样的，主要是针对MGR要管控的终端数量的多少如下所示：

EDR的中心端对安装服务器的要求如下:

终端数 CPU 内存磁盘

1-50 2核 2G 100G

50-500 4核 4G 250G

500-2000 4核 8G 500G

10000 8核 16G 1T（仅限EDR3.2.21及以上版本）

注意：如果MGR服务器作为漏洞补丁服务器，磁盘大小推荐配置为1T

首先说一下第一种通过ISO文件进行服务器的MGR的搭建，也就是通过下载EDR终端响应平台的ISO镜像文件进行USB启动盘的刻录，跟装电脑系统差不多，然后通过服务器设置引导顺序，优先USB启动盘引导，因为不同第三方厂家的服务器配置方式以及快捷键都不一样，所以只能靠各位大哥去找度娘了，关于ISO镜像文件刻录方式，我用的都是软碟通，其他的也没怎么用过，但是基本应该都差不多，就发一下软碟通的吧

打开软碟通，单击左上角“文件”→“打开”，选择.iso文件的存放目录，再选择.iso映像文件打开，即可看到映像文件全部加载到UltraISO了，如下图。