需求背景

随着企业在终端安全侧的投入越来越大，针对不同的安全需求部署不同的安全策略，以往传统的终端安全策略每个独立的产品需要安装独立的客户端，多个客户端对终端PC的资源消耗，终端兼容性问题以及终端管理问题日益突出，企业需要具备端点、网络、应用程序工作负载、数据、通信、以及用户工作负载访问控制高度集成的一体化端点安全安全办公解决方案。

方案介绍

深信服终端All in one（以下简称AIO）针对深信服各安全产品，提供统一客户端安装、统一系统托盘、产品功能联动等特性，结合EDR的全面部署应用，提供全网终端病毒、木马、入侵攻击等威胁防御能力，提供行之有效的整体安全防御体系，办公安全一端足矣

实现效果

1. 统一安装：管理员通过配置客户端集成规避了重复推端，用户只需要安装一次就可以安装完所需安装的深信服客户端（EDR、AC），简化了管理员的客户端推广工作，简化了用户的安装体验，并在一定程度上减少投诉。

2. 统一系统托盘：用户可以通过统一的深信服产品托盘进入不同产品界面，在一定程度上降低用户对多客户端托盘的排斥，在一定程度上减少用户的抱怨与投诉，补齐在与友商竞争中一体化客户端的短板。

部署方案

1. AC网桥模式部署在互联网出口，针对内网用户开启准入功能。

2. EDR管理平台（172.31.2.110）部署在运维区，用户可直接通过EDR管理平台获取EDR客户端完成安装。

产品线	版本	备注
EDR	3.7.10
AC	13.0.102

：

AC联动通信端口为AC开放接口端口TCP9998，aTrust控制器、EDR管理平台的联动端口均为TCP443，内网如果有防火墙之类的安全设备，需要放通联动端口。

功能配置

设备对接配置

步骤1.在[系统管理/系统设置/网络设置/高级配置/管理平台端口设置]页面，可以修改EDR管理平台控制台端口和终端程序升级安装端口。

步骤2.需要在EDR[管理平台多IP设置]页面，将客户端下载的地址配置进来，如果EDR有多个IP，或者用户通过公网接入，需要将用户可以下载的IP地址，以及前置网关映射的公网IP地址都填入进来。

：

联动规则是读取EDR的这两处配置，生成客户端下载安装地址，下发给客户端。

步骤3.登陆AC控制台，在[安全管理/终端安全联动]页面，选择跟联动设备通信的IP地址后，点击生成联动授权码。

步骤4.在EDR管理端[系统管理/联动管理]页面，点击接入联动设备，粘贴AC上生成的联动码，点击<下一步>后可以读取到AC的连接信息，选择与AC通信的IP地址后点击确定即可。

步骤5.配置完成后，点击【连通性测试】测试联动配置是否成功。

步骤6.通过AC也可以看到EDR联动状态已经成功。

：

也可以在EDR生成联动码，在AC识别联动码生成关联关系。

启用集成策略

步骤1.在AC控制台[接入管理/终端管理/终端检查规则/插件检查规则]页面，新增[客户端集成规则]，输入规则名称、规则类型、规则描述，客户端需要集成的设备选择配置的联动的EDR设备。

步骤2.在AC[接入管理/终端管理/终端检查策略]新增检查策略，将创建的集成策略关联给需要安装AIO客户端的用户。

步骤3.在AC[接入管理/终端管理/准入客户端配置]页面开启准入推送策略

：

准入策略启用后，目标终端会显示准入安装页面，上网过程会中断直至准入安装完毕，建议开启策略前提前通知用户。

步骤4.用户如果需要通过先安装EDR再联动安装AC客户端，还需在[系统管理/系统设置/基本设置]页面勾选[客户端集成并下载AC零信任客户端]选项。

：

客户端使用

• 客户端安装

1. 全新安装场景(客户当前无AC准入和EDR)，该场景面向用户新上AC准入和EDR场景。

步骤1.AC开启准入策略后，用户上网流量经过AC，AC会重定向用户至安装准入客户端页面。

步骤2.下载安装完成后，如果未开启准入认证客户端，可在任务管理器看到准入进程。

步骤3.用户关联了集成安装策略，EDR客户端会在后台静默下载安装（由于EDR安装包比较大，内网环境需要等待5-10分钟）。

：

当前版本EDR后台安装暂时没有下载和安装进度可以展示。

步骤4.等待EDR客户端安装完成后，如果用户未开启AC准入认证，系统托盘只有EDR客户端。

步骤5.如果用户开启了AC准入认证客户端，系统托盘会展示AIO融合后的图标。

：

AC+EDR场景下，AIO系统托盘主界面为EDR客户端。

2. 升级场景(客户当前有AC和EDR客户端)，该场景面向已经部署过老版本AC和EDR客户端的用户。

步骤1.首先需要升级AC和EDR至AIO版本，具体升级过程请参考各产品线升级操作指导。

步骤2.设备升级完成后，AC准入客户端和EDR均会静默升级，可通过EDR管理平台查看终端升级状态，升级完成后，系统图标会融合成一个。

：

由于EDR客户端升级包比较大，内网环境下升级预计5-10分钟，升级过程需要耐心等待。

3. 加装场景(客户当前有AC，但是没有EDR)，该场景面向已经部署AC准入客户端，新增部署EDR客户端的用户。

步骤1.用户如果部署的AC为非AIO版本，需要先完成AC设备升级，并完成EDR设备部署和联动配置，具体各项配置与前述基本一致。

步骤2.客户端AC准入找到网关后，客户端会静默升级，升级完成后会在后台静默安装EDR客户端，EDR静默安装过程需要耐心等待。

步骤3.客户端升级安装全部完成后，客户端系统托盘会融合成一个，具体过程与新装和升级场景基本一致。

4. 加装场景(客户当前有EDR，但是没有AC)，该场景面向已经部署EDR客户端，新增部署AC准入客户端的用户。

步骤1.用户如果部署的EDR为非AIO本，需要先完成EDR管理平台升级，并完成AC设备部署和联动配置，各项配置与前述基本一致。

步骤2.EDR平台升级完成以后，客户端会自动静默升级，升级过程需要耐心等待。

步骤3.EDR管理平台如果同步开启了【客户端集成并下载AC准入客户端】选项，客户端更新成功后会自动在后台静默安装AC准入客户端。

步骤4.客户端升级安装全部完成后，客户端系统托盘会融合成一个，具体过程与新装和升级场景基本一致。

• 客户端使用

1. 当EDR与AC集成时，当AC开启准入认证策略，并且终端用户未认证前，托盘上方显示“上网认证”的按钮。

2. 用户如果已经认证在线，则看到的是用户认证信息。

• 客户端退出

步骤1.AC和EDR无法一次性整体退出，右键点击系统托盘，点击退出选项，输入EDR退出密码，退出的是EDR的单独客户端。

步骤2.EDR客户端退出后，系统托盘将变为独立的AC认证客户端托盘，如需整体退出，还需要单独再次退出AC的认证客户端，AC认证客户端退出后，用户会注销下线。

• 客户端卸载

当前版本各产品线卸载相互独立，互不干扰。

注意事项

1. AIOv3.0版本当前仅支持windows PC版本中文操作系统，暂不支持MAC、linux以及windows server版操作系统。

产品线	Win XP	Win 7	Win 8	Win 8.1	Win 10	Win 11
EDR	Y	Y	Y	Y	Y	Y
AC	N	Y	Y	Y	Y	Y
aTrust	N	Y	N	N	Y	Y

2. 用户如果手动卸载客户端以后，注册表会保留已安装过的标记，重新安装任意客户端AIO将不再联动下载安装其他客户端，避免用户手动卸载后重复推送，如果用户想重新安装其他客户端，也需要手动下载安装（如需恢复联动下载，可在注册表删除软件安装标识HKEY_LOCAL_MACHINE\SOFTWARE）。
3. AC主主、主备模式场景下，因为联动ID集群模式为一个，当主节点异常使得另一台节点工作并以新节点管理IP+联动ID与EDR或atrust建立互信时，因为管理IP变化会被拒绝，因此当前版本暂不建议在AC高可用环境下使用AIO集成安装策略。
4. EDR PC基础版的授权不支持AIO联动，其他PC高级版、全量版、服务器旗舰版、全量版均支持AIO，探针版也支持AIO，不过探针版没有托盘统一。