问
行为管理终端准入 XDR
1天前提问
- 0关注
- 0收藏,103浏览
关于 H3C 行为管理(ACG)与 XDR 终端准入插件的问题,结合你提供的文档及产品逻辑,解答如下:
1. XDR 插件是否需要单独购买?
通常需要单独购买授权,但存在基础赠送额度。
- 文档依据:你提供的文档《H3C SecPath ACG1000系列应用控制网关 典型配置举例》第 32 章虽然详细介绍了 XDR 的配置,但并未明确提及授权方式。这通常意味着它属于设备的核心增值功能,而非完全免费的标配。
- 市场惯例:
- 基础功能:ACG 设备通常会赠送一定数量的免费 XDR 授权(例如 50 个或 100 个节点),用于基础的终端识别和简单的准入控制。
- 超量购买:如果你的终端数量超过了赠送额度,或者需要使用高级的审计功能(如详细的聊天记录审计、屏幕水印、U盘加密管控等),则必须单独购买 XDR 的授权许可。
- 版本对应:文档中提到“R6618及以上版本的设备只能配置使用2.1.x版本的插件”,新版本的插件功能更强,对应的授权价格也可能更高。
建议:查看你设备的 License 管理页面,看是否有剩余的免费配额;如果没有,或者不确定,建议咨询原厂销售确认具体型号的赠送基数。
2. 透明模式(旁路模式)能否实现企业微信认证和终端准入?
可以实现,但有特定条件限制。
A. 关于“企业微信扫码认证”
- 结论:可以。
- 原理:透明模式下,ACG 通过镜像流量获取用户的 IP/MAC 信息。当用户尝试上网时,ACG 可以弹出 Portal 认证页面(重定向技术),用户在页面上点击“企业微信扫码”即可完成身份认证。文档第 14 章和第 21 章均提到了 Portal 认证和企业微信认证的配置案例,这些功能在旁路模式下依然可用。
B. 关于“终端准入(安装指定软件才联网)”
- 结论:可以,但必须依赖“插件(XDR)”。
- 详细分析:
- 仅靠透明模式(无插件):ACG 只能通过 DPI 技术识别终端是否在运行某个软件(如微信进程),但无法强制阻断或检查软件版本/安装状态。它只能基于 IP/端口做简单的策略。
- 透明模式 + XDR 插件:这是文档第 32 章描述的场景。
- 推送:ACG 可以在透明模式下拦截流量,弹窗引导用户下载 XDR 插件。
- 检查:安装插件后,ACG 可以下发策略,检查终端是否安装了指定软件(如“360安全卫士”)、是否卸载了违规软件(如“QQ”)、甚至检查系统补丁。
- 处置:如果终端未安装指定软件,ACG 可以切断网络或仅允许访问特定修补站点。
C. 透明模式部署的关键注意点
根据文档 3.1 章节 和 4.2 章节,在透明/旁路模式下做准入,必须满足以下条件,否则 XDR 插件无法上线:
- DNS 解析:PC 的 DNS 必须指向 ACG 或者在 DNS 服务器上配置域名映射,确保 PC 访问
***.***时能解析到 ACG 的 IP 地址(用于下载插件和心跳)。 - 路由可达:ACG 必须能 ping 通终端 PC,否则插件心跳失败,会被判定为离线。
大佬,这个xdr的安装包是在哪里下载呢
zhiliao_CDFUtp
发表时间:1天前
更多>>
大佬,这个xdr的安装包是在哪里下载呢
zhiliao_CDFUtp
发表时间:1天前
一、关于 XDR 终端准入功能的授权
你说的这篇文档里提到的终端准入(XDR / 终端管理)功能,默认只支持 5 台终端免费试用,超过数量需要单独购买 License 授权:
- 设备出厂自带基础的终端发现能力,但完整的终端准入控制、合规检查、大规模终端管理需要额外购买 License。
- 功能包含:终端插件部署、软件安装检查(比如必须安装杀毒软件 / 指定程序)、进程管控、外设控制、准入策略执行等,这些都属于需要授权的高级终端准入模块。
- 简单说:基础发现免费,完整准入控制需要单独买授权。
二、透明模式下能否实现企业微信扫码认证 + 终端准入?
可以,但有几个关键限制和前提条件:
1. 企业微信扫码认证(Web Portal 认证)
- 透明模式下,支持企业微信扫码认证,但需要注意:
- 必须配置桥接口 IP(BVI 地址),且终端的认证请求能正常指向这个地址。
- 认证时的 Portal 页面跳转需要依赖 DNS / 策略路由配合,确保终端能正常解析和访问认证服务器。
- 部分版本需要启用 “管理口与业务口分离”,避免透明桥接影响认证流量。
2. 终端准入(软件安装检查等)
- 透明模式下,可以实现终端准入控制(比如检查是否安装了指定软件 / 进程),但必须满足:
- 终端需要安装 ACG 的客户端插件(Agent),否则无法采集终端进程 / 软件信息。
- 准入策略是基于用户 / 终端 IP 的,需要先完成用户认证(比如企业微信扫码),再关联准入策略。
- 透明模式不影响终端插件的安装和策略执行,只要终端能正常与 ACG 通信(插件心跳)。
三、透明模式部署的关键注意事项
- 必须配置桥接口 IP(BVI),作为设备管理、认证跳转和终端插件通信的地址。
- 确保终端能正常解析和访问 Portal 页面,企业微信扫码认证需要网络能正常访问公网(企业微信服务器)。
- 终端准入依赖客户端插件,如果终端无法安装插件(比如某些受限环境),就无法进行软件安装检查。
- 策略优先级:认证策略 > 准入策略 > 行为管控策略,需要按顺序配置,避免策略冲突。
四、结论
- XDR 终端准入功能:基础发现免费,完整控制需要单独购买 License 授权。
- 透明模式:可以实现企业微信扫码认证和终端准入控制,但需要配置桥接口 IP、确保终端能访问认证页面,且终端需要安装准入插件才能进行软件安装检查。
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
下了,联系400要一下吧