Сценарий: Подключение автономных устройств через шлюз соединения
06 июля 2023
ID 204219
В этом сценарии описано, как подключить к Серверу администрирования управляемые устройства, находящиеся вне основной сети.
Предварительные требования
Сценарий имеет следующие предварительные требования:
- В сети вашей организации организована демилитаризованная зона (DMZ).
- Сервер администрирования Kaspersky Security Center развернут в корпоративной сети.
Этапы
Этот сценарий состоит из следующих этапов:
- Выбор клиентского устройства в демилитаризованной зоне
Это устройство будет использоваться в качестве шлюза соединения. Выбранное устройство должно соответствовать требованиям для шлюзов соединения.
- Установка Агента администрирования в роли шлюза соединения
Для установки Агента администрирования на выбранное устройство рекомендуем использовать локальную установку.
По умолчанию установочный файл находится по адресу: \\<Имя Сервера>\KLSHARE\PkgInst\NetAgent_<номер версии>
В окне Шлюз соединения мастера установки Агента администрирования выберите параметр Использовать в качестве шлюза соединения в демилитаризованной зоне. Этот режим одновременно активирует роль шлюза соединения и предписывает Агенту администрирования ждать соединений от Сервера администрирования, а не устанавливать соединения с Сервером администрирования.
Также вы можете установить Агент администрирования на устройство под управлением Linux и настроить Агент администрирования для работы в качестве шлюза соединения. Обратите внимание на список ограничений Агента администрирования, работающего на устройствах под управлением Linux.
- Разрешение соединения на сетевом экране шлюза соединения
Чтобы Сервер администрирования мог подключаться к шлюзу соединения в демилитаризованной зоне, разрешите подключения к TCP-порту 13000 во всех сетевых экранах между Сервером администрирования и шлюзом соединения.
Если шлюз соединения не имеет реального IP-адреса в интернете, но вместо этого расположен за Network Address Translation (далее также NAT), настройте правило для пересылки подключений через NAT.
- Создание группы администрирования для внешних устройств
Создайте группу внутри группы Управляемые устройства. Эта новая группа будет содержать внешние управляемые устройства.
- Подключение шлюза соединения к Серверу администрирования
Настроенный вами шлюз соединения ожидает соединения от Сервера администрирования. Однако Сервер администрирования не перечисляет устройство со шлюзом соединения среди управляемых устройств. Это связано с тем, что шлюз соединения не пытался установить соединение с Сервером администрирования. Следовательно, вам потребуется особая процедура, чтобы Сервер администрирования инициировал соединение со шлюзом соединения.
Выполните следующие действия:
- Добавьте шлюз соединения в качестве точки распространения.
- Переместите шлюз соединения из группы Нераспределенные устройства в группу, которую вы создали для внешних устройств.
Шлюз соединения подключен и настроен.
- Подключение внешних настольных компьютеров к Серверу администрирования
Обычно внешние настольные компьютеры не перемещаются внутрь периметра сети. Поэтому вам необходимо настроить их для подключения к Серверу администрирования через шлюз соединения при установке Агента администрирования.
- Настройка обновлений для внешних настольных компьютеров
Если обновления программ безопасности настроены на загрузку с Сервера администрирования, внешние компьютеры загружают обновления через шлюз соединения. Это имеет два недостатка:
- Это лишний трафик, занимающий пропускную способность интернет-канала компании.
- Это не обязательно самый быстрый способ получать обновления. Возможно для внешних компьютеров будет удобнее получать обновления с серверов обновлений "Лаборатории Касперского".
Выполните следующие действия:
- Подключение ноутбуков к Серверу администрирования
Иногда ноутбуки находятся внутри сети, а в другое время – вне сети. Для эффективного управления вам необходимо, чтобы они по-разному подключались к Серверу администрирования в зависимости от своего местоположения. Для эффективного использования трафика им также необходимо получать обновления из разных источников в зависимости от их местоположения.
Вам необходимо настроить правила для автономных пользователей: профили подключения и описания сетевых расположений. Каждое правило определяет экземпляр Сервера администрирования, к которому должны подключаться ноутбуки в зависимости от их местоположения, и экземпляр Сервера администрирования, с которого они должны получать обновления.