关于连接漫游设备

一些受管理设备始终在主网络外部（例如，公司区域分支机构中的计算机；自助服务终端、ATM 和安装在各个销售点的终端；员工家庭办公室中的计算机）。一些设备不时在外围移动（例如，访问区域分支机构或客户办公室的用户的笔记本电脑）。

您仍然需要监视和管理对漫游设备的保护 - 接收这些设备的保护状态的实际信息，并确保设备上面的安全应用程序为最新。这是非常必要的，例如，如果某台设备在远离主网络时被入侵，那么只要它连接到主网络，就可能成为传播威胁的平台。要将漫游设备连接到管理服务器，可以使用两种方法：

• 隔离区域 (DMZ) 中的连接网关

  查看数据流量方案：LAN 上的管理服务器、互联网上的受管理设备、正在使用的连接网关

• DMZ 中的管理服务器

  查看数据流量方案：DMZ 中的管理服务器、互联网上的受管理设备

DMZ 中的连接网关

将漫游设备连接到管理服务器的推荐方法是在组织的网络中组织一个 DMZ，并在该 DMZ 中安装连接网关。外部设备将连接到连接网关，网络内部的管理服务器将通过连接网关发起与设备的连接。

与其他方法相比，此方法更安全：

• 您不需要开放从网络外部访问管理服务器的权限。
• 遭到入侵的连接网关不会对网络设备的安全性构成高风险。连接网关本身实际不进行任何管理，也不建立任何连接。

而且，连接网关不需要很多硬件资源。

但是，此方法的配置过程更复杂：

• 要将设备用作 DMZ 中的连接网关，您需要安装网络代理并以特定方式将其连接到管理服务器。
• 不能在所有情况下都使用同一个地址连接到管理服务器。在外围，不仅需要使用不同的地址（连接网关地址），还需要不同的连接模式：通过连接网关。
• 还需要为不同位置的笔记本电脑定义不同的连接设置。

要将连接网关添加到先前配置的网络：

1. 以连接网关模式安装网络代理。
2. 在要连接到新添加的连接网关的设备上重新安装网络代理。

DMZ 中的管理服务器

另一种方法是在 DMZ 中安装一个管理服务器。

此配置不如其他方法安全。在这种情况下，要管理外部笔记本电脑，管理服务器必须接受来自互联网上任何地址的连接。它仍然将管理内部网络中的所有设备，但是从 DMZ 进行管理。因此，被入侵的服务器可能造成巨大损失，尽管发生此类事件的可能性很低。

如果 DMZ 中的管理服务器不管理内部网络中的设备，则风险将大大降低。例如，服务提供商可以使用这种配置来管理客户的设备。

在以下情况下，您可能要使用此方法：

• 如果您熟悉安装和配置管理服务器，并且不想执行其他程序来安装和配置连接网关。
• 如果您需要管理更多设备。管理服务器的最大容量为 100,000 个设备，而连接网关最多可支持 10,000 个设备。

此解决方案也可能存在困难：

• 管理服务器需要更多硬件资源，而且另外需要一个数据库。
• 设备的信息将存储在两个不相关的数据库中（网络内的管理服务器数据库和 DMZ 中的另一个数据库），这会使监控复杂化。
• 要管理所有设备，需要将管理服务器连接到一个层级中，这不仅使监控复杂化，也使管理复杂化。从属管理服务器实例给管理组的可能结构加上了限制。您必须决定如何以及将哪些任务和策略分发到从属管理服务器实例。
• 配置外部设备从外部使用 DMZ 中的管理服务器以及从内部使用主管理服务器，并不比将它们配置为通过网关使用有条件连接简单。
• 高安全风险。遭到入侵的管理服务器实例使得入侵其受管理的笔记本电脑更容易。如果发生这种情况，黑客只需要等待其中一台笔记本电脑返回公司网络，即可继续对局域网进行攻击。