一些受管理设备始终在主网络外部(例如,公司区域分支机构中的计算机;自助服务终端、ATM 和安装在各个销售点的终端;员工家庭办公室中的计算机)。一些设备不时在外围移动(例如,访问区域分支机构或客户办公室的用户的笔记本电脑)。
您仍然需要监视和管理对漫游设备的保护 - 接收这些设备的保护状态的实际信息,并确保设备上面的安全应用程序为最新。这是非常必要的,例如,如果某台设备在远离主网络时被入侵,那么只要它连接到主网络,就可能成为传播威胁的平台。要将漫游设备连接到管理服务器,可以使用两种方法:
查看数据流量方案:LAN 上的管理服务器、互联网上的受管理设备、正在使用的连接网关
查看数据流量方案:DMZ 中的管理服务器、互联网上的受管理设备
DMZ 中的连接网关
将漫游设备连接到管理服务器的推荐方法是在组织的网络中组织一个 DMZ,并在该 DMZ 中安装连接网关。外部设备将连接到连接网关,网络内部的管理服务器将通过连接网关发起与设备的连接。
与其他方法相比,此方法更安全:
而且,连接网关不需要很多硬件资源。
但是,此方法的配置过程更复杂:
本节中的方案描述了此方法。
DMZ 中的管理服务器
另一种方法是在 DMZ 中安装一个管理服务器。
此配置不如其他方法安全。在这种情况下,要管理外部笔记本电脑,管理服务器必须接受来自互联网上任何地址的连接。它仍然将管理内部网络中的所有设备,但是从 DMZ 进行管理。因此,被入侵的服务器可能造成巨大损失,尽管发生此类事件的可能性很低。
如果 DMZ 中的管理服务器不管理内部网络中的设备,则风险将大大降低。例如,服务提供商可以使用这种配置来管理客户的设备。
在以下情况下,您可能要使用此方法:
此解决方案也可能存在困难: