Схема трафика данных Корпоративного каталога приложений в демилитаризованной зоне

На рисунке ниже представлен трафик данных, когда Корпоративный каталог приложений находится в демилитаризованной зоне, а управляемые устройства, включая мобильные устройства, находятся в интернете.

Схема трафика данных Корпоративного каталога приложений.

Управляемые устройства, подключенные к Серверу администрирования через Корпоративный каталог приложений и шлюз соединения

На этой схеме управляемые устройства подключены к Серверу администрирования через Корпоративный каталог приложений и шлюз соединения, находящиеся в демилитаризованной зоне.

Подробная схема доступна в справке Kaspersky Security Center.

Стрелки указывают направление трафика: каждая стрелка проведена от устройства, которое инициирует соединение, к устройству, которое "отвечает" на вызов. Указаны номер порта и название протокола, используемые для передачи данных. Каждая стрелка пронумерована и содержит следующую информацию о соответствующем трафике данных:

  1. Сервер администрирования передает данные в базу данных. Если вы установили Сервер администрирования и базу данных на разные устройства, вы должны сделать доступными необходимые порты на устройстве, где расположена база данных (например, порт 3306 для MySQL Server и MariaDB Server, или порт 1433 для Microsoft SQL Server). Подробную информацию см. в документации СУБД.
  2. Сервер администрирования принимает подключения от Агентов администрирования и от подчиненных Серверов администрирования через SSL-порт 13000.

    Если вы используете Kaspersky Security Center одной из предыдущих версий, то в вашей сети Сервер администрирования может принимать подключения от Агентов администрирования через порт 14000 (не SSL). Kaspersky Security Center также поддерживает подключение Агентов администрирования через порт 14000, однако рекомендуется использовать SSL-порт 13000.

    В ранних версиях Kaspersky Security Center точка распространения называлась "агент обновлений".

  3. Данные от Консоли администрирования на базе MMC передаются на Сервер администрирования через порт 13291. Консоль администрирования может быть установлена на том же устройстве или на другом.
  4. Приложения на одном устройстве обмениваются локальным трафиком (либо на Сервере администрирования, либо на управляемом устройстве). Открывать внешние порты не требуется.
  5. Данные с Сервера администрирования на серверы "Лаборатории Касперского" (например, данные KSN, информация о лицензиях) и данные с серверов "Лаборатории Касперского" на Сервер администрирования (например, обновления приложений и обновления антивирусных баз) передаются по протоколу HTTPS.

    Если вы не хотите иметь доступ в интернет на вашем Сервере администрирования, вы должны управлять этими данными вручную.

  6. Только для мобильных Android-устройств: данные с Сервера администрирования передаются на серверы Google. Это соединение используется для уведомления мобильных Android-устройств о том, что требуется их подключение к Серверу администрирования. Затем на мобильные устройства отправляются push-уведомления.
  7. Только для мобильных Android-устройств: push-уведомления от серверов Google отправляются на мобильное устройство. Это соединение используется для уведомления мобильных устройств о том, что требуется их подключение к Серверу администрирования.
  8. Только для мобильных iOS-устройств: данные с Сервера iOS MDM передаются на серверы Apple Push Notification. Затем на мобильные устройства отправляются push-уведомления.
  9. Только для мобильных iOS-устройств: push-уведомления от серверов Apple отправляются на мобильное устройство. Это соединение используется для уведомления мобильных iOS-устройств о том, что требуется их подключение к Серверу администрирования.
  10. Только для мобильных устройств: управляемое приложение передает данные на Сервер администрирования (или в шлюз соединения) через TLS-порт 13292 / 13293 напрямую, или через Microsoft Forefront Threat Management Gateway (TMG).
  11. Только для мобильных устройств: данные от мобильного устройства передаются инфраструктуре "Лаборатории Касперского".

    Если мобильное устройство не имеет доступа в интернет, данные передаются на Сервер администрирования через порт 17100, а Сервер администрирования передает их инфраструктуре "Лаборатории Касперского". Однако этот сценарий используется очень редко.

  12. Только для мобильных iOS-устройств: данные от мобильного устройства передаются через TLS-порт 443 на Сервер iOS MDM, который находится на том же устройстве, на котором установлен Сервер администрирования или шлюз соединения.
  13. Только при использовании Корпоративного каталога приложений: утилита klakaut подключается к Серверу администрирования через шлюз соединения, установленный в демилитаризованной зоне.
  14. Только при использовании Корпоративного каталога приложений: Корпоративный каталог приложений принимает подключения от сервера Apache.
  15. Только при использовании Корпоративного каталога приложений: Корпоративный каталог приложений подключается к утилите klakaut, входящей в комплект поставки Консоли администрирования на базе MMC.
  16. Корпоративный каталог приложений и Консоль управления Корпоративным каталогом приложений открываются в браузере. Данные из браузера, установленного на устройстве администратора или пользователя, передаются на веб-сервер Apache через TLS-порт 8070 / 8071.

    Порт 8070 используется для подключения через браузер сотрудников и администраторов компании к Корпоративному каталогу приложений. Порт 8071 используется для подключения через браузер администраторов компании к Консоли управления Корпоративным каталогом приложений.

В начало