Scenariusz: Podłączanie urządzeń mobilnych przez bramę połączenia
17 kwietnia 2023
ID 204219
W tym scenariuszu opisano sposób podłączania zarządzanych urządzeń znajdujących się poza siecią główną z Serwerem administracyjnym.
Wymagania wstępne
Scenariusz ma następujące wymagania wstępne:
- Strefa zdemilitaryzowana (DMZ) jest zorganizowana w sieci Twojej organizacji.
- Serwer administracyjny Kaspersky Security Center jest zainstalowany w sieci firmowej.
Etapy
Ten scenariusz przebiega etapami:
- Wybieranie urządzenia kliencka w DMZ
To urządzenie zostanie użyte jako brama połączenia. Urządzenie, które wybrałeś, musi spełniać wymagania dla bram połączenia.
- Instalowanie Agenta sieciowego w roli bramy połączenia
Do zainstalowania Agenta sieciowego na wybranym urządzeniu zalecane jest używanie instalacji lokalnej.
Domyślnie plik instalacyjny znajduje się w następującym miejscu: \\<nazwa serwera>\KLSHARE\PkgInst\NetAgent_<numer wersji>
W oknie Brama połączenia Kreatora instalacji Agenta sieciowego wybierz Użyj Agenta sieciowego jako bramy połączenia w DMZ. Ten tryb jednocześnie aktywuje rolę bramy połączenia i nakazuje Agentowi sieciowemu czekać na połączenia z Serwera administracyjnego zamiast nawiązywać połączenia z Serwerem administracyjnym.
Alternatywnie możesz zainstalować Agenta sieciowego na urządzeniu z systemem Linux i skonfigurować Agenta sieciowego do pracy jako brama połączenia, ale zwróć uwagę na listę ograniczeń Agenta sieciowego działającego na urządzeniach z systemem Linux.
- Zezwalanie na połączenia w zaporach sieciowych w bramie połączenia
Aby upewnić się, że Serwer administracyjny może faktycznie połączyć się z bramą połączenia w strefie DMZ, zezwolić na połączenia z portem TCP o numerze 13000 we wszystkich zaporach ogniowych między Serwerem administracyjnym a bramą połączenia.
Jeśli brama połączenia nie ma rzeczywistego adresu IP w Internecie, ale zamiast tego znajduje się poza NAT (Network Address Translation — translacja adresów sieciowych), skonfiguruj regułę, aby przekazywać połączenia przez NAT.
- Tworzenie grupy administracyjnej dla urządzeń zewnętrznych
Utwórz nową grupę w grupie Zarządzane urządzenia. Ta nowa grupa będzie zawierała zewnętrzne zarządzane urządzenia.
- Podłączanie bramy połączenia do Serwera administracyjnego
Brama połączenia, którą skonfigurowałeś, oczekuje na połączenie z Serwera administracyjnego. Jednakże Serwer administracyjny nie wyświetla urządzenia z bramą połączenia wśród zarządzanych urządzeń. Dzieje się tak ponieważ brama połączenia nie próbowała nawiązać połączenia z Serwerem administracyjnym. Dlatego też należy przeprowadzić specjalną procedurę w celu zapewnienia, że Serwer administracyjny zainicjuje połączenie z bramą połączenia.
Wykonaj następujące czynności:
- Dodaj bramę połączenia jako punkt dystrybucji.
- Przenieś bramę połączenia z grupy Nieprzypisane urządzenia do grupy utworzonej dla urządzeń zewnętrznych.
Brama połączenia została podłączona i skonfigurowana.
- Podłączanie zewnętrznych komputerów stacjonarnych do Serwera administracyjnego
Zwykle zewnętrzne komputery stacjonarne nie są przenoszone wewnątrz obwodu. Dlatego musisz skonfigurować je tak, aby łączyły się z Serwerem administracyjnym przez bramę podczas instalowania Agenta sieciowego.
- Konfigurowanie aktualizacji dla zewnętrznych komputerów stacjonarnych
Jeśli aktualizacje aplikacji zabezpieczających są skonfigurowane do pobierania z Serwera administracyjnego, komputery zewnętrzne pobierają aktualizacje przez bramę połączenia. Ma to dwie wady:
- To niepotrzebny ruch, który zajmuje przepustowość kanału komunikacji internetowej firmy.
- Niekoniecznie jest to najszybszy sposób uzyskiwania aktualizacji. Jest bardzo prawdopodobne, że pobieranie aktualizacji z serwerów aktualizacji Kaspersky byłoby tańsze i szybsze.
Wykonaj następujące czynności:
- Podłączanie przenośnych laptopów do Serwera administracyjnego
Przenośne laptopy są czasami w sieci, a czasami poza nią. W celu efektywnego zarządzania należy połączyć je z Serwerem administracyjnym w różny sposób w zależności od ich lokalizacji. Aby efektywnie wykorzystywać ruch sieciowy, muszą również pobierać uaktualnienia z różnych źródeł w zależności od ich lokalizacji.
Należy skonfigurować reguły dla użytkowników mobilnych: profile połączeń i opisy lokalizacji sieciowych. Każda reguła definiuje instancję Serwera administracyjnego, z którym muszą łączyć się przenośne laptopy w zależności od ich lokalizacji oraz instancji Serwera administracyjnego, z którego muszą pobierać aktualizacje.