Scenariusz: Podłączanie urządzeń mobilnych przez bramę połączenia

W tym scenariuszu opisano sposób podłączania zarządzanych urządzeń znajdujących się poza siecią główną z Serwerem administracyjnym.

Wymagania wstępne

Scenariusz ma następujące wymagania wstępne:

• Strefa zdemilitaryzowana (DMZ) jest zorganizowana w sieci Twojej organizacji.
• Serwer administracyjny Kaspersky Security Center jest zainstalowany w sieci firmowej.

Etapy

Ten scenariusz przebiega etapami:

1. Wybieranie urządzenia kliencka w DMZ

   To urządzenie zostanie użyte jako brama połączenia. Urządzenie, które wybrałeś, musi spełniać wymagania dla bram połączenia.

2. Instalowanie Agenta sieciowego w roli bramy połączenia

   Do zainstalowania Agenta sieciowego na wybranym urządzeniu zalecane jest używanie instalacji lokalnej.

   Domyślnie plik instalacyjny znajduje się w następującym miejscu: \\<nazwa serwera>\KLSHARE\PkgInst\NetAgent_<numer wersji>

   W oknie Brama połączenia kreatora instalacji Agenta sieciowego wybierz Użyj Agenta sieciowego jako bramy połączenia w DMZ. Ten tryb jednocześnie aktywuje rolę bramy połączenia i nakazuje Agentowi sieciowemu czekać na połączenia z Serwera administracyjnego zamiast nawiązywać połączenia z Serwerem administracyjnym.

   Alternatywnie możesz zainstalować Agenta sieciowego na urządzeniu z systemem Linux i skonfigurować Agenta sieciowego do pracy jako brama połączenia, ale zwróć uwagę na listę ograniczeń Agenta sieciowego działającego na urządzeniach z systemem Linux.

3. Zezwalanie na połączenia w zaporach sieciowych w bramie połączenia

   Aby upewnić się, że Serwer administracyjny może faktycznie połączyć się z bramą połączenia w strefie DMZ, zezwolić na połączenia z portem TCP o numerze 13000 we wszystkich zaporach ogniowych między Serwerem administracyjnym a bramą połączenia.

   Jeśli brama połączenia nie ma rzeczywistego adresu IP w Internecie, ale zamiast tego znajduje się poza NAT (Network Address Translation — translacja adresów sieciowych), skonfiguruj regułę, aby przekazywać połączenia przez NAT.

4. Tworzenie grupy administracyjnej dla urządzeń zewnętrznych

   Utwórz nową grupę w grupie Zarządzane urządzenia. Ta nowa grupa będzie zawierała zewnętrzne zarządzane urządzenia.

5. Podłączanie bramy połączenia do Serwera administracyjnego

   Brama połączenia, którą skonfigurowałeś, oczekuje na połączenie z Serwera administracyjnego. Jednakże Serwer administracyjny nie wyświetla urządzenia z bramą połączenia wśród zarządzanych urządzeń. Dzieje się tak ponieważ brama połączenia nie próbowała nawiązać połączenia z Serwerem administracyjnym. Dlatego też należy przeprowadzić specjalną procedurę w celu zapewnienia, że Serwer administracyjny zainicjuje połączenie z bramą połączenia.

   Wykonaj następujące czynności:

   1. Dodaj bramę połączenia jako punkt dystrybucji.
   2. Przenieś bramę połączenia z grupy Nieprzypisane urządzenia do grupy utworzonej dla urządzeń zewnętrznych.

   Brama połączenia została podłączona i skonfigurowana.

6. Podłączanie zewnętrznych komputerów stacjonarnych do Serwera administracyjnego

   Zwykle zewnętrzne komputery stacjonarne nie są przenoszone wewnątrz obwodu. Dlatego musisz skonfigurować je tak, aby łączyły się z Serwerem administracyjnym przez bramę podczas instalowania Agenta sieciowego.

7. Konfigurowanie aktualizacji dla zewnętrznych komputerów stacjonarnych

   Jeśli aktualizacje aplikacji zabezpieczających są skonfigurowane do pobierania z Serwera administracyjnego, komputery zewnętrzne pobierają aktualizacje przez bramę połączenia. Ma to dwie wady:

   • To niepotrzebny ruch, który zajmuje przepustowość kanału komunikacji internetowej firmy.
   • Niekoniecznie jest to najszybszy sposób uzyskiwania aktualizacji. Jest bardzo prawdopodobne, że pobieranie aktualizacji z serwerów aktualizacji Kaspersky byłoby tańsze i szybsze.

   Wykonaj następujące czynności:

   1. Przenieś wszystkie komputery zewnętrzne do oddzielnej grupy administracyjnej, którą utworzyłeś wcześniej.
   2. Wyklucz grupę z urządzeniami zewnętrznymi z zadania aktualizacji.
   3. Utwórz osobne zadanie aktualizacji dla grupy z urządzeniami zewnętrznymi.
8. Podłączanie przenośnych laptopów do Serwera administracyjnego

   Przenośne laptopy są czasami w sieci, a czasami poza nią. W celu efektywnego zarządzania należy połączyć je z Serwerem administracyjnym w różny sposób w zależności od ich lokalizacji. Aby efektywnie wykorzystywać ruch sieciowy, muszą również pobierać uaktualnienia z różnych źródeł w zależności od ich lokalizacji.

   Należy skonfigurować reguły dla użytkowników mobilnych: profile połączeń i opisy lokalizacji sieciowych. Każda reguła definiuje instancję Serwera administracyjnego, z którym muszą łączyć się przenośne laptopy w zależności od ich lokalizacji oraz instancji Serwera administracyjnego, z którego muszą pobierać aktualizacje.

Zobacz również: Dostęp do internetu: Agent sieciowy jako brama połączenia w strefie zdemilitaryzowanej

Przejdź do góry