Scenariusz: Podłączanie urządzeń mobilnych przez bramę połączenia

19 marca 2024

ID 204219

W tym scenariuszu opisano sposób podłączania zarządzanych urządzeń znajdujących się poza siecią główną z Serwerem administracyjnym.

Wymagania wstępne

Scenariusz ma następujące wymagania wstępne:

 • Strefa zdemilitaryzowana (DMZ) jest zorganizowana w sieci Twojej organizacji.
 • Serwer administracyjny Kaspersky Security Center jest zainstalowany w sieci firmowej.

Etapy

Ten scenariusz przebiega etapami:

 1. Wybieranie urządzenia kliencka w DMZ

  To urządzenie zostanie użyte jako brama połączenia. Urządzenie, które wybrałeś, musi spełniać wymagania dla bram połączenia.

 2. Instalowanie Agenta sieciowego w roli bramy połączenia

  Do zainstalowania Agenta sieciowego na wybranym urządzeniu zalecane jest używanie instalacji lokalnej.

  Domyślnie plik instalacyjny znajduje się w następującym miejscu: \\<nazwa serwera>\KLSHARE\PkgInst\NetAgent_<numer wersji>

  W oknie Brama połączenia kreatora instalacji Agenta sieciowego wybierz Użyj Agenta sieciowego jako bramy połączenia w DMZ. Ten tryb jednocześnie aktywuje rolę bramy połączenia i nakazuje Agentowi sieciowemu czekać na połączenia z Serwera administracyjnego zamiast nawiązywać połączenia z Serwerem administracyjnym.

  Alternatywnie możesz zainstalować Agenta sieciowego na urządzeniu z systemem Linux i skonfigurować Agenta sieciowego do pracy jako brama połączenia, ale zwróć uwagę na listę ograniczeń Agenta sieciowego działającego na urządzeniach z systemem Linux.

 3. Zezwalanie na połączenia w zaporach sieciowych w bramie połączenia

  Aby upewnić się, że Serwer administracyjny może faktycznie połączyć się z bramą połączenia w strefie DMZ, zezwolić na połączenia z portem TCP o numerze 13000 we wszystkich zaporach ogniowych między Serwerem administracyjnym a bramą połączenia.

  Jeśli brama połączenia nie ma rzeczywistego adresu IP w Internecie, ale zamiast tego znajduje się poza NAT (Network Address Translation — translacja adresów sieciowych), skonfiguruj regułę, aby przekazywać połączenia przez NAT.

 4. Tworzenie grupy administracyjnej dla urządzeń zewnętrznych

  Utwórz nową grupę w grupie Zarządzane urządzenia. Ta nowa grupa będzie zawierała zewnętrzne zarządzane urządzenia.

 5. Podłączanie bramy połączenia do Serwera administracyjnego

  Brama połączenia, którą skonfigurowałeś, oczekuje na połączenie z Serwera administracyjnego. Jednakże Serwer administracyjny nie wyświetla urządzenia z bramą połączenia wśród zarządzanych urządzeń. Dzieje się tak ponieważ brama połączenia nie próbowała nawiązać połączenia z Serwerem administracyjnym. Dlatego też należy przeprowadzić specjalną procedurę w celu zapewnienia, że Serwer administracyjny zainicjuje połączenie z bramą połączenia.

  Wykonaj następujące czynności:

  1. Dodaj bramę połączenia jako punkt dystrybucji.
  2. Przenieś bramę połączenia z grupy Nieprzypisane urządzenia do grupy utworzonej dla urządzeń zewnętrznych.

  Brama połączenia została podłączona i skonfigurowana.

 6. Podłączanie zewnętrznych komputerów stacjonarnych do Serwera administracyjnego

  Zwykle zewnętrzne komputery stacjonarne nie są przenoszone wewnątrz obwodu. Dlatego musisz skonfigurować je tak, aby łączyły się z Serwerem administracyjnym przez bramę podczas instalowania Agenta sieciowego.

 7. Konfigurowanie aktualizacji dla zewnętrznych komputerów stacjonarnych

  Jeśli aktualizacje aplikacji zabezpieczających są skonfigurowane do pobierania z Serwera administracyjnego, komputery zewnętrzne pobierają aktualizacje przez bramę połączenia. Ma to dwie wady:

  • To niepotrzebny ruch, który zajmuje przepustowość kanału komunikacji internetowej firmy.
  • Niekoniecznie jest to najszybszy sposób uzyskiwania aktualizacji. Jest bardzo prawdopodobne, że pobieranie aktualizacji z serwerów aktualizacji Kaspersky byłoby tańsze i szybsze.

  Wykonaj następujące czynności:

  1. Przenieś wszystkie komputery zewnętrzne do oddzielnej grupy administracyjnej, którą utworzyłeś wcześniej.
  2. Wyklucz grupę z urządzeniami zewnętrznymi z zadania aktualizacji.
  3. Utwórz osobne zadanie aktualizacji dla grupy z urządzeniami zewnętrznymi.
 8. Podłączanie przenośnych laptopów do Serwera administracyjnego

  Przenośne laptopy są czasami w sieci, a czasami poza nią. W celu efektywnego zarządzania należy połączyć je z Serwerem administracyjnym w różny sposób w zależności od ich lokalizacji. Aby efektywnie wykorzystywać ruch sieciowy, muszą również pobierać uaktualnienia z różnych źródeł w zależności od ich lokalizacji.

  Należy skonfigurować reguły dla użytkowników mobilnych: profile połączeń i opisy lokalizacji sieciowych. Każda reguła definiuje instancję Serwera administracyjnego, z którym muszą łączyć się przenośne laptopy w zależności od ich lokalizacji oraz instancji Serwera administracyjnego, z którego muszą pobierać aktualizacje.

Zobacz również:

Dostęp do internetu: Agent sieciowy jako brama połączenia w strefie zdemilitaryzowanej

Czy ten artykuł był pomocny?
Co możemy zrobić lepiej?
Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.
Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.