卡巴斯基安全管理中心 14

情境:透過連線閘道連線辦公室外的裝置

2024年1月26日

ID 231227

此方案說明如何將位於主網路外的受管理裝置連線到管理伺服器。

先決條件

該情境需有以下先決條件:

  • 非警戒區域 (DMZ) 會在組織的網路中組織。
  • 卡巴斯基安全管理中心管理伺服器已佈署在公司網路上。

階段

此情境分階段進行:

  1. 在 DMZ 中選取用戶端裝置

    此裝置將作為連線閘道使用。您選取的裝置必須滿足連線閘道的要求

  2. 以連線閘道角色安裝網路代理

    我們建議您使用本機安裝在所選裝置上安裝網路代理。

    預設情況下,安裝檔案位於:\\<伺服器名稱>\KLSHARE\PkgInst\NetAgent_<版本編號>

    在網路代理安裝精靈的連線閘道視窗中,選取使用網路代理作為 DMZ 連線閘道。此模式同時啟動連線閘道角色,並通知網路代理等待來自管理伺服器的連線,而不是建立與管理伺服器的連線。

    或者,您可以在 Linux 裝置上安裝網路代理並將網路代理設定為連線閘道使用,但是要注意在 Linux 裝置上執行的網路代理限制清單

  3. 允許連線閘道上防火牆中的連線

    為確保管理伺服器實際上可以連線到 DMZ 中的連線閘道,請允許連線到管理伺服器和連線閘道間所有防火牆中的 TCP 連接埠 13000。

    如果連線閘道在網際網路上沒有真實 IP 地址,而是位於網路位址轉換 (NAT) 後面,請配置規則以透過 NAT 轉發連線。

  4. 建立外部裝置的管理群組

    受管理裝置群組下建立新群組。此新群組將包含外部受管理裝置。

  5. 將連線閘道連到管理伺服器

    您配置的連線閘道正在等待來自管理伺服器的連線。但是,管理伺服器未在受管理裝置中列出具有連線閘道的裝置。這是因為連線閘道尚未嘗試建立與管理伺服器的連線。因此,您需要一個特殊程序來確保管理伺服器啟動到連線閘道的連線。

    請執行下列操作:

    1. 將連線閘道新增為發佈點
    2. 將連線閘道未配置的裝置群組移動到您為外部裝置建立的群組。

    連線閘道已連線並配置。

  6. 將外部桌上型電腦連線到管理伺服器

    通常,外部桌上型電腦不會在週邊環境中移動。因此,在安裝網路代理時,需要配置它們以透過閘道連線到管理伺服器。

  7. 設定外部桌上型電腦的更新

    如果將安全應用程式的更新設定為從管理伺服器下載,則外部電腦將透過連線閘道下載更新。這有兩個缺點:

    • 這是不必要的流量,會佔用公司的網際網路通訊頻道的頻寬。
    • 這不一定是獲取更新的最快方法。對於外部電腦來說,從 Kaspersky 更新伺服器接收更新可能會更便宜、更快捷。

    請執行下列操作:

    1. 將所有外部電腦移至您先前建立的單獨管理群組
    2. 從更新工作中排除具有外部裝置的群組
    3. 使用外部裝置為該群組建立單獨的更新工作
  8. 將行動的筆記型電腦連線到管理伺服器

    行動的筆記型電腦有時位於網路內部,而其他時間位於網路外部。為了有效管理,您需要根據其位置以不同的方式連線到管理伺服器。為了有效利用流量,他們還需要根據所在位置從不同來源接收更新。

    您需要為漫遊使用者配置規則連線設定檔網路位置描述。每個規則都根據其位置定義了行動筆記型電腦必須連線到的管理伺服器實例,以及必須從中接收更新的管理伺服器實例。

另請參閱:

網際網路存取:DMZ 中作為連線閘道的網路代理

此文章對您有幫助嗎?
我們可以如何改善?
感謝您的意見回饋!您正協助我們改善。
感謝您的意見回饋!您正協助我們改善。