如何使用安全网关服务器保护Desktop Central服务器与移动/漫游用户的通信?
说明
本文档将向您说明使用安全网关服务器保护Desktop Central服务器与漫游用户的通信所涉及的步骤。当漫游代理(在移动设备和台式机上)通过Internet访问服务器时,可以使用安全网关服务器。安全网关服务器充当Desktop Central服务器和漫游代理之间的中间服务器,它可以防止Desktop Central服务器直接暴露于Internet。这样可以确保Desktop Central服务器的安全性,不受网络攻击的威胁。
安全网关如何工作?
Desktop Central安全网关服务器是暴露于Internet的组件。它充当受管漫游代理和Desktop Central服务器之间的中间服务器。来自漫游代理的所有通信都将通过安全网关进行重定向。当代理尝试联系Desktop Central服务器时,安全网关服务器将接收所有通信,并重定向到Desktop Central服务器。
注意:将安全网关的公共IP地址和Desktop Central服务器的私有IP地址映射到各自的DNS中的公共FQDN。例如,如果您的FQDN为“product.server.com”,则将其映射到您的安全网关和Desktop Central服务器IP地址。通过此映射,漫游用户的WAN代理将通过安全网关(使用Internet)访问Desktop Central服务器,而LAN网络中的代理将直接到达Desktop Central服务器,从而加快了解析速度。
安全网关服务器的软件要求
您可以在以下任何Windows操作系统版本上安装安全网关服务器:
- Windows 7
- Windows 8
- Windows 8.1
- Windows 10
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
安全网关服务器的硬件要求
安全网关服务器的硬件要求包括:
处理器:Intel Core i5(4 core/8 thread) 2.3 GHz. 6 MB cache
内存:4 GB
硬盘空间:5 GB
步骤
要将基于安全网关的通信引入Desktop Central,请执行以下步骤:
- 修改Desktop Central设置
- 安装并配置安全网关
- 基础架构建议
修改Desktop Central设置
- 添加远程办公室时,在Desktop Central服务器详细信息下输入安全网关IP地址而不是Desktop Central服务器IP地址。这是为了确保WAN代理和DS与安全网关的通信。
- 在DS/WAN代理下启用与Desktop Central服务器通信的安全通信(HTTPS)。
- 使用安全网关的公共FQDN/IP地址配置NAT设置。
- 在Desktop Central服务器控制台,点击管理页签 -> 服务器设置 -> NAT设置。
- 针对NAT设备下的公共FQDN添加安全网关服务器的FQDN,如下所示:
安装并配置安全网关
- 在隔离区的计算机上下载并安装安全网关。
- 在设置安全网关窗口下输入以下信息,该窗口将在安装过程结束后打开。
- DC服务器名称:指定DC服务器的FQDN/DNS/IP地址。
- DC Https端口:指定移动设备用于连接DC服务器的端口号(例:8383 - 建议在安全模式下为Desktop Central服务器使用相同的端口8383(HTTPS))。
- DC通知服务器端口:8027(用于执行按需操作),它将自动填充。
- Web Socket端口:8443(HTTPS),它将自动填充。
- 文件传输端口:8031(HTTPS),它将自动填充,但可根据需要进行修改。
- 用户名和密码:输入具有管理权限的Desktop Central用户的凭证。
基础架构建议
确保您执行以下步骤:
- 安全网关端口为8383(https)的公共IP地址应提供给Desktop Central服务器进行可访问性验证。
- 配置安全网关,它应该可以通过NAT设置中配置的公共IP/FQDN地址访问。您还可以配置边界设备/路由器,使所有发送到公共IP/FQDN地址的请求都会被重定向到Desktop Central安全网关。
- 使用HTTPS通信。
- 确保在防火墙上打开以下端口,以便WAN代理与Desktop Central安全网关进行通信。
端口 |
类型 |
目的 |
连接 |
8383 |
HTTPS |
用于WAN代理/分发服务器和使用Desktop Central安全网关的Desktop Central服务器之间的通信 |
服务器入站 |
8027 |
TCP |
执行按需操作 |
服务器入站 |
8443 |
HTTPS |
Web socket端口用于远程控制、聊天、系统管理等 |
服务器入站 |
8031 |
HTTPS |
用于传输文件 |
服务器入站 |
现在,您已经实现了Desktop Central服务器、WAN代理和漫游用户之间的安全通信。