關於連線辦公室外的裝置

有些受管理裝置永遠位在主網路之外（例如，地區分公司中的電腦；資訊站、ATM 和安裝在各個銷售點的終端機；員工居家辦公的電腦）。有些裝置不時在外圍移動（例如，存取地區分公司或客戶辦公室的使用者筆記型電腦）。

您仍然需要監控和管理漫遊裝置受保護的情況，接收其保護狀態的實際資訊，並使裝置上的安全應用程式保持最新狀態。這是必要措施，因為如果這樣的裝置在遠離主網路時受到威脅，一旦它們連到主網路，就可能成為傳播威脅的平台。要將辦公室外的裝置連線到管理伺服器，可以使用兩種方法：

• 非警戒區 (DMZ) 中的連線閘道

  請參閱資料流量方案：LAN 上的管理伺服器、網際網路上的受管理裝置、正在使用的連線閘道

• DMZ 中的管理伺服器

  請參閱資料流量方案：DMZ 中的管理伺服器、網際網路上的受管理裝置。

DMZ 中的連線閘道

將辦公室外的裝置連線到管理伺服器的推薦方法是在組織的網路中組織 DMZ，並在 DMZ 中安裝連線閘道。外部裝置將連線到連線閘道，網路內部的管理伺服器將透過連線閘道啟動與裝置的連線。

與其他方法相比，此方法更安全：

• 您不需要從網路外部開啟對管理伺服器的存取。
• 受損的連線閘道不會對網路裝置的安全構成高風險。連線閘道本身實際上並不管理任何東西，也不會建立任何連線。

而且，連線閘道不需要很多硬體資源。

但是，此方法的設定過程較為複雜：

• 若要使裝置作為 DMZ 中的連線閘道，您需要安裝網路代理並以特定方式將其連線到管理伺服器。
• 在所有情況下，您將無法使用相同的位址連線到管理伺服器。從週邊以外，您不僅需要使用其他位址（連線閘道位址），還需要使用其他連線模式：透過連線閘道。
• 您還需要為不同位置的筆記型電腦定義不同的連線設定。

要將連線閘道新增到先前配置的網路：

1. 以連線閘道模式安裝網路代理。
2. 在要連線到新增的連線閘道的裝置上重新安裝網路代理。

DMZ 中的管理伺服器

另一種方法是在 DMZ 中安裝一個管理伺服器。

此配置不如其他方法安全。在這種情況下，要管理外部筆記型電腦，管理伺服器必須接受來自網際網路上任何位址的連線。它仍然將管理內部網路中的所有裝置，但會透過 DMZ 進行管理。因此，儘管發生此類事件的可能性很小，但有風險的伺服器可能會造成巨大的損失。

如果 DMZ 中的管理伺服器不管理內部網路中的裝置，則風險將大大降低。例如，服務提供商可以使用這種設定來管理客戶的裝置。

在以下情況下，您可能要使用此方法：

• 如果您熟悉安裝和配置管理伺服器，並且不想執行其他過程來安裝和設定連線閘道。
• 如果您需要管理更多裝置。管理伺服器的最大容量為 100,000 台裝置，而連線閘道最多可支援 10,000 台裝置。

此解決方案也可能有困難：

• 管理伺服器需要更多的硬體資源和一個資料庫。
• 有關裝置的資訊將儲存在兩個不相關的資料庫中（用於網路內的管理伺服器，另一個用於 DMZ 中的資料庫），這使監控變得複雜。
• 若要管理所有裝置，則需要將管理伺服器連線到一個階層中，使得監控和管理變得複雜。從屬管理伺服器執行個體對管理群組的可能架構施加了限制。您必須決定如何以及將哪些工作和政策分配給從屬管理伺服器執行個體。
• 配置外部裝置以從外部使用 DMZ 中的管理伺服器並從內部使用主管理伺服器，並不比僅設定它們透過閘道使用條件式連線簡單。
• 高安全風險。受到破壞的管理伺服器實例可以更輕鬆地破壞其受管理的筆記型電腦。如果發生這種情況，駭客只需要等待其中一台筆記本電腦返回公司網路，即可繼續對區域網路展開攻擊。