如何使用安全网关服务器保护移动/漫游用户的通讯安全?
描述
本文档将向您介绍使用安全网关服务器组件保护漫游用户通信的步骤。当漫游代理(移动设备和桌面)通过internet访问服务器时,可以使用安全网关服务器。它通过充当Desktop Central服务器和漫游代理之间的中间服务器,防止Desktop Central服务器直接暴露到internet。这确保了Desktop Central服务器远离漏洞攻击的风险和威胁。
安全网关服务器是如何工作的?
Desktop Central安全网关服务器是一个暴露在Internet中的组件。这个安全网关服务器在管理的漫游代理和Desktop Central服务器之间扮演者中间服务器的角色。来自漫游代理的所有通信都将通过安全网关服务器进行导航。当代理试图联系Desktop Central服务器时,安全网关服务器接收所有通信并重定向到Desktop Central服务器。
注意:将安全网关服务器的公共IP地址和Desktop Central服务器的私有IP地址映射到各自DNS中的公共FQDN。例如,如果您的FQDN是“product.server.com”,则将其映射到您的安全网关服务器和Desktop Central服务器IP地址。通过这种映射,漫游用户的WAN代理将通过安全网关服务器(使用internet)访问Desktop Central服务器,而局域网内的代理将直接访问Desktop Central服务器,从而实现更快的解析。
安全网关服务器的硬件要求
安全网关服务器的硬件要求如下:
处理器:Intel Core i5(4 核/8 线程) 2.3 GHz.6 MB 缓存
RAM 大小 : 4 GB
步骤:
要将基于安全网关服务器的通讯引入Desktop Central,请按照以下步骤进行:
- 修改Desktop Central设置
- 安装并配置安全网关
- 复制证书
- 基础架构推荐
修改Desktop Central设置
- 在添加远程办公室时,在Desktop Central服务器详细信息下输入安全网关服务器IP地址,而不是Desktop Central Server IP地址。这是为了保证广域网代理和DS与安全网关服务器的通信。
- 在DS/WAN代理下启用到Desktop central服务器通信的安全通信(HTTPS)。
- 使用安全网关服务器的公共FQDN/IP地址配置NAT设置。
安装并配置安全网关服务器
- 下载并在非军事区机器上安装安全网关服务器。
- 安装结束后将打开设置安全网关服务器窗口,请在其中输入以下信息。
- DC服务器名称:指定DC服务器的FQDN/DNS/IP地址
- DC Http 端口: 指定安全网关服务器用来连接DC服务器的端口号(例如: 8020)
- DC Https 端口: 指定移动设备用来联系DC服务器的端口号(例如: 8383 -建议在安全模式下对Desktop Central服务器使用相同的端口8383(HTTPS))
- DC通知服务器端口:8027(按需操作),这将自动预填
- Web Socket端口: 8443(HTTPS),这将自动预填。
复制证书
如果构建号低于90056,并且您正在使用自签证书,请遵循下面给出的步骤。对于构建号90056及以上版本,这是自动完成的。
- 复制Desktop Central服务器中的server.crt和server.key文件 , 路径 ManageEngine\DesktopCentral_Server\apache\conf directory, to the location where Secure Gateway Server is installed - ManageEngine\MEForwardingServer\nginx\conf
如果您使用的是第三方证书,请参考以下步骤:
- 将第三方证书重命名为 server.crt
- 将个人密匙重命名为 server.key
- I如果使用中间证书,请将文件名修改为 intermediate.crt
- 复制server.crt, server.key和intermediate.crt文件到安装了安全网关服务器的本地中 - ManageEngine\MEForwardingServer\nginx\conf\
- 进入 ManageEngine\MEForwardingServer\conf\websetting.conf 文件并添加命令行: intermediate.certificate=intermediate.crt
复制证书之后,单击“安装”以完成安装过程。
基础架构推荐
确保遵循以下步骤:
- 配置安全网关服务器,使其可以通过在NAT设置中配置的公共IP/FQDN地址访问。您还可以配置边界设备/路由器,使发送到公共IP/FQDN地址的所有请求都重定向到Desktop Central安全网关服务器。
- 必须使用HTTPS通信
- 您必须确保防火墙上的下列端口是打开的,以便WAN代理与Desktop Central安全网关服务器通信。
端口 |
类型 |
目的 |
连接 |
8383 |
HTTPS |
用于使用Desktop Central安全网关服务器在WAN代理/分发服务器和Desktop Central服务器之间进行通信。 |
服务器入站 |
8027 |
TCP |
按需操作 |
服务器入站 |
8443 |
HTTPS |
Web socket端口,用于远程控制、聊天、系统管理等。 |
服务器入站 |
现在就可以确保Desktop central服务器、WAN代理和漫游用户之间的通信安全了。