有些受管理裝置永遠位在主網路之外(例如,地區分公司中的電腦;資訊站、ATM 和安裝在各個銷售點的終端機;員工居家辦公的電腦)。有些裝置不時在外圍移動(例如,存取地區分公司或客戶辦公室的使用者筆記型電腦)。
您仍然需要監控和管理漫遊裝置受保護的情況,接收其保護狀態的實際資訊,並使裝置上的安全應用程式保持最新狀態。這是必要措施,因為如果這樣的裝置在遠離主網路時受到威脅,一旦它們連到主網路,就可能成為傳播威脅的平台。要將辦公室外的裝置連線到管理伺服器,可以使用兩種方法:
請參閱資料流量方案:LAN 上的管理伺服器、網際網路上的受管理裝置、正在使用的連線閘道
請參閱資料流量方案:DMZ 中的管理伺服器、網際網路上的受管理裝置。
DMZ 中的連線閘道
將辦公室外的裝置連線到管理伺服器的推薦方法是在組織的網路中組織 DMZ,並在 DMZ 中安裝連線閘道。外部裝置將連線到連線閘道,網路內部的管理伺服器將透過連線閘道啟動與裝置的連線。
與其他方法相比,此方法更安全:
而且,連線閘道不需要很多硬體資源。
但是,此方法的設定過程較為複雜:
要將連線閘道新增到先前配置的網路:
DMZ 中的管理伺服器
另一種方法是在 DMZ 中安裝一個管理伺服器。
此配置不如其他方法安全。在這種情況下,要管理外部筆記型電腦,管理伺服器必須接受來自網際網路上任何位址的連線。它仍然將管理內部網路中的所有裝置,但會透過 DMZ 進行管理。因此,儘管發生此類事件的可能性很小,但有風險的伺服器可能會造成巨大的損失。
如果 DMZ 中的管理伺服器不管理內部網路中的裝置,則風險將大大降低。例如,服務提供商可以使用這種設定來管理客戶的裝置。
在以下情況下,您可能要使用此方法:
此解決方案也可能有困難: