Serwer administracyjny w sieci LAN, zarządzane urządzenia w Internecie, TMG w użyciu
17 kwietnia 2023
ID 183056
Poniższy rysunek przedstawia ruch sieciowy danych, gdy Serwer administracyjny jest w sieci lokalnej (LAN), a zarządzane urządzenia, w tym urządzenia mobilne, są w internecie. Na tym rysunku Microsoft Forefront Threat Management Gateway (TMG) jest w użyciu. Jednakże, jeśli chcesz używać firmowej zapory sieciowej, możesz użyć innej aplikacji; więcej informacji znajdziesz w dokumentacji dla wybranej aplikacji.
Serwer administracyjny w sieci lokalnej; zarządzane urządzenia nawiązują połączenie z Serwerem administracyjnym poprzez Microsoft Forefront Threat Management Gateway
Ten schemat wdrażania jest zalecany, jeśli nie chcesz, żeby urządzenia mobilne nawiązywały połączenie bezpośrednio z Serwerem administracyjnym i nie chcesz przypisać bramy połączenia w DMZ.
Strzałki wskazują inicjowanie ruchu sieciowego: każda strzałka wskazuje kierunek z urządzenia, które inicjuje połączenie, do urządzenia, które „odpowiada” na połączenie. Dostarczony jest numer portu oraz nazwa protokołu użytego do przesyłania danych. Każda strzałka posiada etykietę liczby, a szczegóły dotyczące odpowiedniego ruchu danych wyglądają następująco:
- Serwer administracyjny wysyła dane do bazy danych. Jeśli instalujesz Serwer administracyjny i bazę danych na różnych urządzeniach, musisz udostępnić potrzebne porty na urządzeniu, na którym znajduje się baza danych (na przykład: port 3306 dla MySQL Server i MariaDB Server lub port 1433 dla Microsoft SQL Server). Odpowiednie informacje można znaleźć w dokumentacji do DBMS.
- Żądania komunikacji od Serwera administracyjnego są przesyłane do wszystkich niemobilnych zarządzanych urządzeń poprzez port UDP o numerze 15000.
Agenty sieciowe wysyłają żądania do siebie nawzajem w obrębie jednej domeny broadcastowej. Dane są następnie wysyłane do Serwera administracyjnego i są używane do określenia ograniczeń domeny broadcastowej i do automatycznego przydzielenia punktów dystrybucji (jeśli ta opcja jest włączona).
- Informacje o zamknięciu zarządzanych urządzeń są przesyłane z Agenta sieciowego do Serwera administracyjnego poprzez port UDP o numerze 13000.
- Serwer administracyjny odbiera połączenie od Agentów sieciowych i podrzędnych Serwerów administracyjnych poprzez port SSL o numerze 13000.
Jeśli używałeś wcześniejszej wersji Kaspersky Security Center, Serwer administracyjny w Twojej sieci może odbierać połączenia od Agentów sieciowych poprzez port bez szyfrowania SSL o numerze 14000. Kaspersky Security Center obsługuje także połączenia Agentów sieciowych poprzez port 14000, chociaż zalecane jest korzystanie z portu SSL o numerze 13000.
We wcześniejszych wersjach Kaspersky Security Center punkt dystrybucji nosił nazwę „Agent aktualizacji”.
- Zarządzane urządzenia (za wyjątkiem urządzeń mobilnych) żądają aktywacji poprzez port TCP o numerze 17000. Nie jest to konieczne, jeśli urządzenie posiada własny dostęp do Internetu; w tym przypadku urządzenie wysyła dane do serwerów Kaspersky bezpośrednio przez Internet.
- Dane z Konsoli administracyjnej opartej na konsoli MMC zostaną przesłane do Serwera administracyjnego poprzez port 13291 (Konsola administracyjna może zostać zainstalowana na tym samym lub na innym urządzeniu).
- Lokalny ruch sieciowy aplikacji na pojedynczym urządzeniu (na Serwerze administracyjnym lub na zarządzanym urządzeniu). Żadne porty zewnętrzne nie muszą być otwarte.
- Dane z Serwera administracyjnego na serwery Kaspersky (takie jak dane KSN lub informacje o licencjach) oraz dane z serwerów Kaspersky na Serwer administracyjny (takie jak uaktualnienia aplikacji i aktualizacje antywirusowych baz danych) są przesyłane przy użyciu protokołu HTTPS.
Jeśli nie chcesz, żeby Twój Serwer administracyjny miał dostęp do Internetu, musisz ręcznie zarządzać tymi danymi.
- Kaspersky Security Center 13.2 Web Console Server wysyła dane na Serwer administracyjny, który może być zainstalowany na tym samym lub innym urządzeniu, poprzez port TLS o numerze 13299.
9a. Dane z przeglądarki, która jest zainstalowana na oddzielnym urządzeniu administratora, są przesyłane do Kaspersky Security Center 13.2 Web Console Server poprzez port TLS o numerze 8080. Kaspersky Security Center 13.2 Web Console Server może zostać zainstalowany na Serwerze administracyjnym lub na innym urządzeniu.
- Tylko dla urządzeń mobilnych z systemem Android: dane z Serwera administracyjnego są przesyłane na serwery Google. To połączenie jest używane do informowania urządzeń mobilnych Android, że są niezbędne do nawiązania połączenia z Serwerem administracyjnym. Powiadomienia push są wysyłane na urządzenia mobilne.
- Tylko dla urządzeń mobilnych z systemem Android: powiadomienia push z serwerów Google są wysyłane na urządzenie mobilne. To połączenie jest używane do informowania urządzeń mobilnych, że są niezbędne do nawiązania połączenia z Serwerem administracyjnym.
- Tylko dla urządzeń mobilnych z systemem iOS: dane z serwera iOS MDM są przesyłane do serwerów Apple Push Notification. Powiadomienia push są wysyłane na urządzenia mobilne.
- Tylko dla urządzeń mobilnych z systemem iOS: powiadomienia push z serwerów Apple są wysyłane na urządzenie mobilne. To połączenie jest używane do informowania urządzeń mobilnych iOS, że są niezbędne do nawiązania połączenia z Serwerem administracyjnym.
- Tylko dla urządzeń mobilnych: dane z zarządzanej aplikacji są przesyłane do Serwera administracyjnego (lub do bramy połączenia) poprzez port TLS o numerze 13292 / 13293— bezpośrednio lub poprzez Microsoft Forefront Threat Management Gateway (TMG).
- Tylko dla urządzeń mobilnych: dane z urządzenia mobilnego są przesyłane do infrastruktury Kaspersky.
15a. Jeśli urządzenie mobilne nie ma dostępu do Internetu, dane są przesyłane do Serwera administracyjnego poprzez port o numerze 17100, a Serwer administracyjny wysyła je do infrastruktury Kaspersky; jednakże ten scenariusz jest stosowany bardzo rzadko.
- Żądania dla pakietów z zarządzanych urządzeń, w tym urządzeń mobilnych, są przesyłane do serwera WWW, który znajduje się na tym samym urządzeniu co Serwer administracyjny.
- Tylko dla urządzeń mobilnych z systemem iOS: dane z urządzenia mobilnego są przesyłane za pośrednictwem portu TLS o numerze 443 na serwer iOS MDM, który znajduje się na tym samym urządzeniu co Serwer administracyjny, lub na bramie połączenia.