方案:通过连接网关连接漫游设备
此方案描述了如何将位于主网络外部的受管理设备连接到管理服务器。
先决条件
该方案具有以下先决条件:
- 在组织的网络中已规划一个隔离区域 (DMZ)。
- 公司网络上已部署 Kaspersky Security Center 管理服务器。
阶段
此方案的实施分为几个阶段:
- 选择 DMZ 中的客户端设备
- 以连接网关角色安装网络代理
我们建议您使用本地安装在所选设备上安装网络代理。
默认情况下,安装文件位于:\\<服务器名称>\KLSHARE\PkgInst\NetAgent_<版本号>
在网络代理安装向导的“连接网关”窗口中,选择“使用网络代理作为 DMZ 连接网关”。此模式同时激活连接网关角色,并通知网络代理等待来自管理服务器的连接,而不是建立与管理服务器的连接。
或者,您可以在 Linux 设备上安装网络代理,并将网络代理配置为连接网关,但是要注意在 Linux 设备上运行的网络代理的限制列表。
- 在防火墙中允许与连接网关的连接
为确保管理服务器可以实际连接到 DMZ 中的连接网关,请在管理服务器与连接网关之间的所有防火墙中允许与 TCP 端口 13000 的连接。
如果连接网关在互联网上没有真实 IP 地址,而是位于网络地址转换 (NAT) 后面,请配置规则以通过 NAT 转发连接。
- 针对外部设备创建管理组
在“受管理设备”组下创建一个新组。该新组将包含外部受管理设备。
- 将连接网关连接到管理服务器
您配置的连接网关正在等待来自管理服务器的连接。但是,管理服务器未在受管理设备中列出具有连接网关的设备。这是因为连接网关尚未尝试建立与管理服务器的连接。因此,您需要一个特殊程序来确保管理服务器发起与连接网关的连接。
执行以下操作:
- 添加连接网关作为分发点。
- 将连接网关从“未分配的设备”组移动到您针对外部设备创建的组。
连接网关连接并配置完毕。
- 将外部台式机连接到管理服务器
通常,外部台式机不在周界内移动。因此,在安装网络代理时,需要将这些计算机配置为通过网关连接到管理服务器。
- 设置外部台式机的更新
如果将安全应用程序更新配置为从管理服务器下载,则外部计算机将通过连接网关下载更新。这有两个缺点:
- 这是不必要的流量,占用了公司的互联网通信通道的带宽。
- 这不一定是获取更新的最快方法。对于外部计算机来说,从 Kaspersky 更新服务器接收更新很可能更实惠、更快捷。
执行以下操作:
- 将移动中的笔记本电脑连接到管理服务器
移动中的笔记本电脑有时在网络内部,有时在网络外部。为实现有效管理,您需要它们根据所在位置以不同方式连接到管理服务器。为了有效利用流量,它们还需要根据所在位置从不同来源接收更新。
您需要配置针对漫游用户的规则:连接配置文件和网络位置描述。每个规则都定义了移动中的笔记本电脑必须根据所在位置连接到的管理服务器实例,以及必须从中接收更新的管理服务器实例。