Scenario: Connessione dei dispositivi fuori sede tramite un gateway di connessione

8 aprile 2024

ID 204219

Questo scenario descrive come connettere i dispositivi gestiti che si trovano all'esterno della rete principale ad Administration Server.

Prerequisiti

Lo scenario prevede i seguenti prerequisiti:

  • Una rete perimetrale deve essere organizzata nella rete dell'organizzazione.
  • Kaspersky Security Center Administration Server deve essere distribuito nella rete aziendale.

Passaggi

Questo scenario procede per fasi:

  1. Selezione di un dispositivo client nella rete perimetrale

    Questo dispositivo verrà utilizzato come gateway di connessione. Il dispositivo selezionato deve soddisfare i requisiti per i gateway di connessione.

  2. Installazione di Network Agent nel ruolo di gateway di connessione

    È consigliabile utilizzare un'installazione locale per installare Network Agent nel dispositivo selezionato.

    Per impostazione predefinita, il file di installazione si trova in: \\<nome server>\KLSHARE\PkgInst\NetAgent_<numero versione>

    Nella finestra Gateway di connessione dell'Installazione guidata di Network Agent selezionare Utilizzare Network Agent come gateway di connessione nella rete perimetrale. Questa modalità attiva contemporaneamente il ruolo del gateway di connessione e indica a Network Agent di attendere le connessioni da Administration Server anziché stabilire connessioni ad Administration Server.

    In alternativa, è possibile installare Network Agent in un dispositivo Linux e configurare Network Agent in modo che funga da gateway di connessione, ma è necessario prestare attenzione all'elenco delle limitazioni di Network Agent in esecuzione nei dispositivi Linux.

  3. Autorizzazione delle connessioni nei firewall sul gateway di connessione

    Per assicurarsi che Administration Server sia effettivamente in grado di connettersi al gateway di connessione nella rete perimetrale, consentire le connessioni alla porta TCP 13000 in tutti i firewall tra Administration Server e il gateway di connessione.

    Se il gateway di connessione non dispone di un indirizzo IP reale in Internet ma si trova invece dietro una configurazione NAT (Network Address Translation), configurare una regola per inoltrare le connessioni tramite NAT.

  4. Creazione di un gruppo di amministrazione per i dispositivi esterni

    Creare un nuovo gruppo nel gruppo Dispositivi gestiti. Questo nuovo gruppo conterrà dispositivi gestiti esterni.

  5. Connessione del gateway di connessione ad Administration Server

    Il gateway di connessione configurato è in attesa di una connessione da Administration Server. Tuttavia, Administration Server non elenca il dispositivo con il gateway di connessione tra i dispositivi gestiti. Questo è dovuto al fatto che il gateway di connessione non ha tentato di stabilire una connessione ad Administration Server. È pertanto necessaria una procedura speciale per garantire che Administration Server avvii una connessione al gateway di connessione.

    Procedere come segue:

    1. Aggiungere il gateway di connessione come punto di distribuzione.
    2. Spostare il gateway di connessione dal gruppo Dispositivi non assegnati al gruppo creato per i dispositivi esterni.

    Il gateway di connessione è stato connesso e configurato.

  6. Connessione dei computer desktop esterni ad Administration Server

    Solitamente i computer desktop esterni non vengono spostati all'interno del perimetro. Pertanto è necessario configurarli per eseguire la connessione ad Administration Server tramite il gateway durante l'installazione di Network Agent.

  7. Configurazione degli aggiornamenti per i computer desktop esterni

    Se gli aggiornamenti delle applicazioni di protezione sono configurati per il download da Administration Server, i computer esterni scaricano gli aggiornamenti tramite il gateway di connessione. Questo comporta due svantaggi:

    • Si tratta di traffico non necessario che occupa la larghezza di banda del canale di comunicazione Internet aziendale.
    • Questo non è necessariamente il modo più rapido per ottenere aggiornamenti. È molto probabile che per i computer esterni sarebbe più economico e veloce ricevere gli aggiornamenti dai server di aggiornamento Kaspersky.

    Procedere come segue:

    1. Spostare tutti i computer esterni nel gruppo di amministrazione separato creato in precedenza.
    2. Escludere il gruppo con i dispositivi esterni dall'attività di aggiornamento.
    3. Creare un'attività di aggiornamento separata per il gruppo con i dispositivi esterni.
  8. Connessione dei laptop mobili ad Administration Server

    I laptop mobili a volte sono all'interno della rete e altre volte all'esterno della rete. Per una gestione efficace, è necessario che questi si connettano ad Administration Server in modo diverso a seconda della posizione. Per un utilizzo efficiente del traffico, è inoltre necessario che ricevano gli aggiornamenti da origini diverse a seconda della posizione.

    È necessario configurare le regole per gli utenti fuori sede: profili di connessione e descrizioni dei percorsi di rete. Ciascuna regola definisce l'istanza di Administration Server a cui i laptop mobili devono connettersi a seconda della posizione e l'istanza di Administration Server da cui devono ricevere gli aggiornamenti.

Vedere anche:

Accesso a Internet: Network Agent come gateway di connessione nella rete perimetrale

Hai trovato utile questo articolo?
Cosa pensi che potremmo migliorare?
Grazie per il feedback! Ci stai aiutando a migliorare.
Grazie per il feedback! Ci stai aiutando a migliorare.