Сценарий: Подключение автономных устройств через шлюз соединения

В этом сценарии описано, как подключить к Серверу администрирования управляемые устройства, находящиеся вне основной сети.

Предварительные требования

Сценарий имеет следующие предварительные требования:

• В сети вашей организации организована демилитаризованная зона (DMZ).
• Сервер администрирования Kaspersky Security Center развернут в корпоративной сети.

Этапы

Этот сценарий состоит из следующих этапов:

1. Выбор клиентского устройства в демилитаризованной зоне

   Это устройство будет использоваться в качестве шлюза соединения. Выбранное устройство должно соответствовать требованиям для шлюзов соединения.

2. Установка Агента администрирования в роли шлюза соединения

   Для установки Агента администрирования на выбранное устройство рекомендуем использовать локальную установку.

   По умолчанию установочный файл находится по адресу: \\<Имя Сервера>\KLSHARE\PkgInst\NetAgent_<номер версии>.

   В окне Шлюз соединения мастера установки Агента администрирования выберите параметр Использовать в качестве шлюза соединения в демилитаризованной зоне. Этот режим одновременно активирует роль шлюза соединения и предписывает Агенту администрирования ждать соединений от Сервера администрирования, а не устанавливать соединения с Сервером администрирования.

   Также вы можете установить Агент администрирования на устройство под управлением Linux и настроить Агент администрирования для работы в качестве шлюза соединения. Обратите внимание на список ограничений Агента администрирования, работающего на устройствах под управлением Linux.

3. Разрешение соединения на сетевом экране шлюза соединения

   Чтобы Сервер администрирования мог подключаться к шлюзу соединения в демилитаризованной зоне, разрешите подключения к TCP-порту 13000 во всех сетевых экранах между Сервером администрирования и шлюзом соединения.

   Если шлюз соединения не имеет реального IP-адреса в интернете, но вместо этого расположен за Network Address Translation (далее также NAT), настройте правило для пересылки подключений через NAT.

4. Создание группы администрирования для внешних устройств

   Создайте группу внутри группы Управляемые устройства. Эта новая группа будет содержать внешние управляемые устройства.

5. Подключение шлюза соединения к Серверу администрирования

   Настроенный вами шлюз соединения ожидает соединения от Сервера администрирования. Однако Сервер администрирования не перечисляет устройство со шлюзом соединения среди управляемых устройств. Это связано с тем, что шлюз соединения не пытался установить соединение с Сервером администрирования. Следовательно, вам потребуется особая процедура, чтобы Сервер администрирования инициировал соединение со шлюзом соединения.

   Выполните следующие действия:

   1. Добавьте шлюз соединения в качестве точки распространения.
   2. Переместите шлюз соединения из группы Нераспределенные устройства в группу, которую вы создали для внешних устройств.

   Шлюз соединения подключен и настроен.

6. Подключение внешних настольных компьютеров к Серверу администрирования

   Обычно внешние настольные компьютеры не перемещаются внутрь периметра сети. Поэтому вам необходимо настроить их для подключения к Серверу администрирования через шлюз соединения при установке Агента администрирования.

7. Настройка обновлений для внешних настольных компьютеров

   Если обновления программ безопасности настроены на загрузку с Сервера администрирования, внешние компьютеры загружают обновления через шлюз соединения. Это имеет два недостатка:

   • Это лишний трафик, занимающий пропускную способность интернет-канала компании.
   • Это не обязательно самый быстрый способ получать обновления. Возможно для внешних компьютеров будет удобнее получать обновления с серверов обновлений "Лаборатории Касперского".

   Выполните следующие действия:

   1. Переместите все внешние компьютеры в отдельную группу администрирования, которую вы создали ранее.
   2. Исключить группу с внешними устройствами из задачи обновления.
   3. Создайте отдельную задачу обновления для группы с внешними устройствами.
8. Подключение ноутбуков к Серверу администрирования

   Иногда ноутбуки находятся внутри сети, а в другое время – вне сети. Для эффективного управления вам необходимо, чтобы они по-разному подключались к Серверу администрирования в зависимости от своего местоположения. Для эффективного использования трафика им также необходимо получать обновления из разных источников в зависимости от их местоположения.

   Вам необходимо настроить правила для автономных пользователей: профили подключения и описания сетевых расположений. Каждое правило определяет экземпляр Сервера администрирования, к которому должны подключаться ноутбуки в зависимости от их местоположения, и экземпляр Сервера администрирования, с которого они должны получать обновления.

См. также: Доступ из интернета: Использовать в качестве шлюза соединений в демилитаризованной зоне

В начало