• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

EAD内网外联审计不准

  • 0关注
  • 0收藏,16浏览
Trap 零段
粉丝:0人 关注:0人

问题描述:

审计dns 61.134.1.4,ping通改地址就判定为连接了外网,上报imc

组网及组网描述:

2 个回答
粉丝:25人 关注:1人

这通常与 EAD 的“防内网外连”策略配置或终端 ACL 规则有关。您可以从以下几个方面进行排查和优化:
  1. 检查并调整 EAD 防内网外连策略
    EAD 的防内网外连功能用于控制终端用户是否允许访问外网,该策略通常通过安全策略下发给 iNode 客户端,由客户端根据策略允许或禁止网络访问行为。建议您登录 iMC 系统,进入“自动化 > 终端业务 > 终端安全管理 > 配置检查项”中的“访问控制”或“客户端 ACL”页面,仔细审查相关的 ACL 规则,确认是否存在将 61.134.1.4 或相关网段误判为外网的规则。
  2. 审查终端 ACL 与离线策略
    内网外连策略主要包含在线非认证网卡 ACL、离线 ACL 等。请检查这些 ACL 规则是否过于严格,导致正常的网络探测(如 ping 操作)被误识别为外联行为。如果终端用户使用的 iNode 客户端不包含防内网外连功能,可能会导致认证或策略下发异常,需确认客户端版本及功能支持情况。
  3. 优化 DNS 代理与免认证规则(针对 DNS 审计不准)
    如果您的审计不准也涉及 DNS 流量(例如终端在未认证状态下向外部 DNS 发起请求被外部检测到),建议优化网络设备的 DNS 代理配置。可以在 Portal 设备(如交换机/AC)上启用 DNS 代理,并将终端的 DNS 服务器地址修改为 Portal 设备的 IP(如网关地址)。同时,配置 Portal 免认证规则(portal free-rule)放通终端到 Portal 设备 UDP 53 端口的流量。这样可以确保终端的 DNS 请求由本地设备代为转发,避免直连外部 DNS 导致的误报或异常流量检测。
  4. 结合 EIA 组件进行终端安全加固
    为了更精准地控制终端行为,建议结合 iMC EIA(终端准入)组件,强制终端安装并执行安全策略,从源头上拦截木马或违规的外联行为。同时,可在设备侧开启相关日志监控,以便更准确地追踪和审计终端的网络访问行为。


暂无评论

粉丝:23人 关注:2人

1、EAD 外联审计检测原理(iNode 客户端侧)
iNode 客户端外联判定逻辑:
1)捕获终端DNS 解析报文,解析返回 IP 为公网地址(61.134.1.4 属于公网 DNS);
2)只要终端 ICMP ping 通该公网 IP,客户端直接判定终端存在外网外联,上报 iMC EAD 违规外联日志。
2、误报场景(你现场问题)
内网终端仅配置内网网关、无互联网出口,但系统 / 软件默认 DNS 填了公网 DNS 61.134.1.4;
内网防火墙策略放行 ICMP ping 公网 DNS,终端能 ping 通该 IP;
iNode 只判断「DNS 解析到公网 IP + IP 可达」,不校验真实互联网访问行为,直接生成外联告警,造成审计不准、大量误报。
3、两大核心缺陷
只靠 DNS+ICMP 可达做判断,无七层真实互联网访问校验;
无内置公网 IP 白名单,合法公网 DNS、云服务器 IP 全部触发告警。
二、分层根治方案(按落地优先级)
方案 1:iMC EAD 配置【不检测的外网 IP 段】白名单(推荐,全局生效)
登录 iMC → UAM/EAD → 系统配置 → 代理服务器检测参数
找到「不进行检查的外网 IP 段」,点击增加,录入:
61.134.1.4/32(公网 DNS 服务器)
批量添加所有企业允许访问的公网 DNS、云 API、合规外网服务 IP 段
保存下发策略,所有 iNode 客户端自动同步白名单;
效果:终端 ping / 解析该段 IP 不再判定违规外联,彻底消除此类误报。
方案 2:终端统一强制内网 DNS,杜绝解析公网 DNS
EAD 安全检查策略新增Hosts/DNS 配置检测:
强制终端 DNS 仅填写内网 DNS 服务器;
检测是否存在公网 DNS,不满足则安全不通过、隔离网络。
内网 DNS 做转发:内网 DNS 统一转发公网解析,终端不再直接配置 61.134.1.4;
优势:从源头消除公网 DNS 解析行为,完全杜绝该类误报。
方案 3:防火墙侧拦截终端 ICMP 访问公网 DNS(兜底)
出口 / 内网防火墙 ACL 限制内网终端 ICMP 访问公网 DNS 服务器:
plaintext
acl number 3000
rule deny icmp source 内网网段 destination 61.134.1.4 0
rule permit ip any any
终端 ping 不通公网 DNS,iNode 无法触发外联判定,无告警。
方案 4:优化外联检测判定逻辑(减少误报)
EAD 代理检测参数调大报文转发率阈值,避免单次 ping 少量报文就判定外联;
区分「仅 DNS 解析 + ping 通」和「大量 HTTP/HTTPS 互联网流量」,仅少量 ICMP 不生成严重告警;
升级 iMC UAM/EAD 至最新版本,新版本优化外联检测算法,增加七层流量辅助校验,降低纯 ICMP 误报。
三、快速操作步骤总结
优先在 iMC 添加公网 DNS 61.134.1.4 至「不检测外网 IP 白名单」;
终端统一推送内网 DNS,安全策略禁止手动配置公网 DNS;
防火墙拦截终端对内公网 DNS 的 ICMP 请求;
升级 iMC 与 iNode 客户端版本,优化外联检测精准度。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明