安全网关服务器 - ManageEngine Device Control Plus

如何使用安全网关服务器实现移动/漫游用户通信安全？

概述

本文档将介绍使用安全网关服务器实现漫游用户通信安全的步骤。当漫游代理通过Internet访问服务器时，使用安全网关服务器作为中央服务器和漫游代理的中间服务器，避免中央服务器直接暴露在网络中，降低安全风险。

配置安全网关服务器的详细演示视频，请点击这里。

安全网关是如何工作的？

安全网关服务器将作为中央服务器和被管漫游代理的中间服务器，暴露于网络中。当代理试图联系中央服务器时，安全网关服务器将接收漫游代理的所有通信，再重定向到中央服务器。

注意：将安全网关的公共IP地址和中央服务器的私有IP地址映射到各自DNS中一个共同的FQDN。例如，如果共同的FQDN是 "product.server.com"，就把FQDN同时映射到安全网关和中央服务器的IP地址。通过这种映射，漫游用户的广域网代理将通过安全网关（通过Internet）访问中央服务器，而局域网代理将直接访问中央服务器，从而实现更快的服务响应。

安全网关服务器软件要求

安全网关服务器支持以下Windows操作系统版本：

Windows 7
Windows 8
Windows 8.1
Windows 10
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019

安全网关服务器硬件要求

安全网关服务器硬件要求如下：

1至250台计算机

***1至250台计算机***
服务器	参数	要求
安全网关服务器	处理器	英特尔酷睿i3（2核/4线程）2.0 Ghz 3 MB缓存
内存	4 GB
硬盘空间	50 GB*
网络要求	网卡速度	最低1Gbps（NIC）
带宽	最低1Mbps（T1连接）

251至500台计算机

***251至500台计算机***
服务器	参数	要求
安全网关服务器	处理器	英特尔酷睿i3（2核/4线程）2.4 Ghz 3 MB缓存
内存	4 GB
硬盘空间	50 GB*
网络要求	网卡速度	最低1Gbps（NIC）
带宽	最低1Mbps（T1连接）

501至1000台计算机

***501至1000台计算机***
服务器	参数	要求
安全网关服务器	处理器	英特尔酷睿i3（2核/4线程）2.9 Ghz 3 MB缓存
内存	4 GB
硬盘空间	50 GB*
网络要求	网卡速度	最低1Gbps（NIC）
带宽	最低1Mbps（T1连接）

1001至3000台计算机

***1001至3000台计算机***
服务器	参数	要求
安全网关服务器	处理器	英特尔酷睿i5（4核/8线程）2.3 Ghz
内存	8 GB
硬盘空间	50 GB*
网络要求	网卡速度	最低1Gbps（NIC）
带宽	最低1Mbps（T1连接）

3001至5000台计算机

***3001至5000台计算机***
服务器	参数	要求
安全网关服务器	处理器	英特尔酷睿i7（6核/12线程）3.2 Ghz
内存	8 GB
硬盘空间	50 GB*
网络要求	网卡速度	最低1Gbps（NIC）
带宽	最低1Mbps（T1连接）

5001至10000台计算机

***5001至10000台计算机***
服务器	参数	要求
安全网关服务器	处理器	Intel Xeon E5（8 核/16 线程）2.6 GHz
内存	16 GB
硬盘空间	50 GB*
网络要求	网卡速度	最低1Gbps（NIC）
带宽	最低1Mbps（T1连接）

10001至15000台计算机

***10001至15000台计算机***
服务器	参数	要求
安全网关服务器	处理器	Intel Xeon E5（12核/24线程）2.7 GHz
内存	32 GB
硬盘空间	50 GB*
网络要求	网卡速度	最低1Gbps（NIC）
带宽	最低1Mbps（T1连接）

15001至20000台计算机

***15001至20000台计算机***
服务器	参数	要求
安全网关服务器	处理器	Intel Xeon E5（14核/28线程）2.7 GHz
内存	32 GB
硬盘空间	50 GB*
网络要求	网卡速度	最低1Gbps（NIC）
带宽	最低1Mbps（T1连接）

20001至25000台计算机

***20001至25000台计算机***
服务器	参数	要求
安全网关服务器	处理器	Intel Xeon E5（16核/32线程）3.0 GHz
内存	32 GB
硬盘空间	50 GB*
网络要求	网卡速度	最低1Gbps（NIC）
带宽	最低1Mbps（T1连接）

25001至30000台计算机

***25001至30000台计算机***
服务器	参数	要求
安全网关服务器	处理器	Intel Xeon E5（16核/32线程）3.0 GHz
内存	32 GB
硬盘空间	50 GB*
网络要求	网卡速度	最低1Gbps（NIC）
带宽	最低1Mbps（T1连接）

超过30000台计算机

步骤

使用安全网关进行通信的步骤如下：

修改产品设置
安装并配置安全网关
基础设施的建议

修改产品设置

添加远程办公室时，在中央服务器详细信息下输入安全网关IP地址，而不是中央服务器IP地址。这是为了确保广域网代理和DS与安全网关通信。
启用DS/WAN代理与Endpoint Central服务器安全通信（HTTPS）。
使用安全网关的公共FQDN/IP地址配置NAT设置。

打开Endpoint Central服务器控制台，点击管理 -> 服务器设置 -> NAT设置
将安全网关服务器的FQDN添加到NAT设备下的公共FQDN中，如下图所示

安装并配置安全网关

在隔离区的机器上下载并安装安全网关。
在安装过程中弹出的设置安全网关窗口，输入以下详细信息。
- EC服务器名称：指定EC服务器的FQDN/DNS/IP地址。
- EC Https端口：指定移动设备用于联系EC服务器的端口号（例如：8383——建议在安全模式下为Endpoint Central服务器使用相同的端口8383（HTTPS））。
- EC通知服务器端口：8027（用于执行按需操作），此项将自动预填充。
- Web socket端口：8443（HTTPS），此项将自动预填充。
- 文件传输端口：8031（HTTPS），此项将自动预填充，可根据需要修改。
- 用户名和密码：输入具有管理员权限的Endpoint Central用户凭证。

基础设施的建议

请按如下步骤操作

向Endpoint Central服务器提供8383端口（https）的安全网关公共IP地址，进行访问验证。
配置安全网关，使通过NAT设置中配置的公网IP/FQDN地址可达。配置边缘设备/路由器，使所有发送到公共IP/FQDN地址的请求都被重定向到Endpoint Central安全网关。
必须使用HTTPS通信
确保在防火墙上打开以下端口，用于广域网代理与Endpoint Central安全网关通信。

端口	类型	用途	连接
8383	HTTPS	用于WAN代理/分发服务器与使用安全网关的Endpoint Central服务器之间的通信。	入站到服务器
8027	TCP	用于执行按需操作	入站到服务器
8443	HTTPS	用于远程控制、聊天、连接系统管理器等的Web socket端口。	入站到服务器
8031	HTTPS	用于传输文件	入站到服务器

现在，Endpoint Central服务器、WAN代理和漫游用户之间的通信安全设置完成。