如何使用安全网关服务器确保漫游用户的通信安全?
描述
本文档将解释使用安全网关服务器来保护漫游用户通信的步骤。当漫游代理(在桌面上)通过互联网访问服务器时,可以使用安全网关服务器。它作为产品服务器和漫游代理之间的中间服务器,防止服务器直接暴露于互联网。这确保了远程访问加(Remote Access Plus)服务器免受脆弱攻击的风险和威胁。
安全网关如何工作?
安全网关服务器是将暴露于互联网的组件。这个安全网关服务器在管理的漫游代理和ManageEngine服务器之间充当中间服务器。来自漫游代理的所有通信都将通过安全网关进行导航。当代理尝试联系ManageEngine服务器时,安全网关服务器接收所有通信并重定向到ManageEngine服务器。
注意: 将安全网关的公共IP地址和远程访问加服务器的私有IP地址映射到您各自DNS中的公共FQDN。例如,如果您的FQDN是“product.server.com”,则将此映射到您的安全网关和远程访问加服务器IP地址。通过这种映射,漫游用户的WAN代理将通过安全网关(使用互联网)访问ManageEngine服务器,LAN网络中的代理将直接到达ManageEngine服务器,从而更快地解决问题。
免责声明: 目前,安全网关服务器不支持语音和视频通话。
安全网关服务器的软件要求
您可以在以下任意版本的Windows操作系统上安装安全网关服务器:
- Windows 11及以后版本
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022及以后版本
安全网关服务器的硬件要求
安全网关服务器的硬件要求包括:
1 到 5000 台计算机
| 服务器 | 参数 | 要求 |
|---|
| 安全网关服务器 |
处理器信息 |
Intel Core i3 (2 核心/4 线程) 2.9 GHz 3 MB 快缓存 |
| RAM 大小 |
4 GB |
| 硬盘空间 |
40 GB* |
| 网络要求 |
网络卡速度 |
最低 1 GBPS 网络接口卡 (NIC) |
| 带宽 |
最低 1 MBPS (T1 连接) |
*可根据扫描频率动态增加
5001 到 9000 台计算机
| 服务器 | 参数 | 要求 |
|---|
| 安全网关服务器 |
处理器信息 |
Intel Core i5 (4 核心/8 线程) 2.3 GHz |
| RAM 大小 |
4 GB |
| 硬盘空间 |
80 GB* |
| 网络要求 |
网络卡速度 |
最低 1 GBPS 网络接口卡 (NIC) |
| 带宽 |
最低 1 MBPS (T1 连接) |
*可根据扫描频率动态增加
9001 到 15000 台计算机
| 服务器 | 参数 | 要求 |
|---|
| 安全网关服务器 |
处理器信息 |
Intel Core i7 (6 核心/12 线程) 3.2 GHz |
| RAM 大小 |
4 GB |
| 硬盘空间 |
120 GB* |
| 网络要求 |
网络卡速度 |
最低 1 GBPS 网络接口卡 (NIC) |
| 带宽 |
最低 1 MBPS (T1 连接) |
*可根据扫描频率动态增加
15001 到 18000 台计算机
| 服务器 | 参数 | 要求 |
|---|
| 安全网关服务器 |
处理器信息 |
Intel Xeon E5 (8 核心/16 线程) 2.6 GHz |
| RAM 大小 |
8 GB |
| 硬盘空间 |
150 GB* |
| 网络要求 |
网络卡速度 |
最低 1 GBPS 网络接口卡 (NIC) |
| 带宽 |
最低 1 MBPS (T1 连接) |
*可根据扫描频率动态增加
18001 到 25000 台计算机
| 服务器 | 参数 | 要求 |
|---|
| 安全网关服务器 |
处理器信息 |
Intel Xeon E5 (12 核心/24 线程) 2.7 GHz |
| RAM 大小 |
8 GB |
| 硬盘空间 |
200 GB* |
| 网络要求 |
网络卡速度 |
最低 1 GBPS 网络接口卡 (NIC) |
| 带宽 |
最低 1 MBPS (T1 连接) |
*可根据扫描频率动态增加
步骤
要在远程访问加中引入基于安全网关的通信,请遵循以下步骤:
- 修改远程访问加设置
- 安装并配置安全网关
- 基础设施建议
修改远程访问加设置
- 使用安全网关的公共FQDN/IP地址配置NAT设置。
- 在产品控制台上,单击Admin选项卡 -> Server Settings -> NAT Settings
- 点击NAT设备下服务器FQDN旁的编辑按钮,并添加如下所示的详细信息
安装和配置安全网关的步骤
- 下载并在DMZ中安装安全网关。
- 在设置安全网关 窗口中输入以下详细信息,该窗口在安装过程后打开。
- 中央服务器名称:指定中央服务器的FQDN/DNS/IP地址。如果使用故障转移服务器,请指定虚拟IP地址。
- Https 端口:指定漫游用户联系中央服务器时使用的端口号(例如:8383)。建议在安全模式下将中央服务器的端口设为8383(HTTPS)。
- 通知服务器端口:8027(进行按需操作),这将自动预填充。
- Web Socket 端口:8443(HTTPS),这将自动预填充。
- 用户名和密码:输入具有管理权限的远程访问加用户凭证。
基础设施建议
确保您遵循以下步骤
- 应向远程访问加服务器提供安全网关的公共IP地址和8383(https)端口以进行可达性验证。
- 配置安全网关,以便通过在NAT设置中配置的公共IP/FQDN地址可以访问它。您还可以配置边缘设备/路由器,以便所有发送到公共IP/FQDN地址的请求重定向到远程访问加安全网关。
- 强制使用HTTPS通信
- 确保在防火墙上打开以下端口,以便WAN代理与远程访问加安全网关进行通信。
| 端口 |
类型 |
用途 |
连接 |
| 8383 |
HTTPS |
用于通过安全网关在WAN代理和远程访问加服务器之间的通信。 |
入站到服务器 |
| 8027 |
TCP |
进行按需操作 |
入站到服务器 |
| 8443 |
HTTPS |
用于远程控制、聊天、系统管理等的Web socket端口。 |
入站到服务器 |
您现在已经安全地在远程访问加服务器、WAN代理和漫游用户之间建立了通信!
