如何使用安全网关服务器保障移动/漫游用户的通信?

 

本文档介绍了使用安全网关服务器保障漫游用户通信相关步骤。安全网关服务器可用于当漫游代理(在移动设备和计算机上)通过互联网访问服务器时。它通过充当产品服务器和漫游代理之间的中间服务器,防止直接向互联网暴露服务器。这确保了产品服务器免受网络攻击风险和威胁。

注意:安全网关服务器应安装在与Endpoint Central服务器、分发服务器或故障转移服务器安装在不同机器上。但是,它可以安装在代理所在的机器上。

 

 

安全网关是如何工作的?

安全网关服务器是一个将会暴露在互联网上的组件。安全网关服务器充当被管的漫游代理和中心服务器之间的中间服务器。所有来自漫游代理的通信都将通过安全网关进行转发。当代理尝试联系中心服务器时,安全网关服务器接收所有通信并重定向至中心服务器。Endpoint Central安全网关服务器架构

注意:在各个DNS服务器中,将安全网关的公共IP地址和产品服务器的私有IP地址映射公共FQDN。例如,如果你的FQDN是"product.server.com",则将其映射到安全网关和中心服务器的IP地址。通过这种映射,漫游用户的WAN代理将通过互联网经由安全网关访问中心服务器,而LAN网络中的代理将直接到达中心服务器,从而加快了解析速度。

 

安全网关服务器的软件要求

您可以将安全网关服务器安装在以下任一Windows操作系统版本上:

  • Windows 7
  • Windows 8
  • Windows 8.1
  • Windows 10
  • Windows 11
  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

 

安全网关服务器的硬件要求

安全网关服务器的硬件要求包括以下内容:

 
 
 
1 - 5000计算机
 
 
 
5001 - 9000计算机
 
 
 
9001 - 15000计算机
 
 
 
15001 - 18000计算机
 
 
 
18001 - 25000计算机
 
 
 
25000以上个计算机

 

Endpoint Central的安全网关配置,请按照以下步骤进行:

  • 修改Endpoint Central设置的步骤
  • 安装和配置安全网关的步骤
  • 基础设施推荐

 

修改Endpoint Central设置的步骤

  1. 在添加远程办公室时,在Endpoint Central服务器详细信息下,输入安全网关的IP地址而不是中心服务器的IP地址。这是为了确保WAN代理和分发服务器通过安全网关进行通信。
  2. 启用DS/WAN代理与中心服务器通信的安全通信(HTTPS)。
  3. 使用安全网关的公共FQDN/IP地址配置NAT设置。  
      • 在产品控制台上,单击 管理页签 > 服务器设置 >NAT设置        
      • 选择通过互联网管理设备
      • 根据以下所示,在NAT设置下添加安全网关服务器的FQDN作为公共FQDN

Endpoint Central安全网关NAT设置

 

安装和配置安全网关的步骤

  1. 下载并在DMZ区域中的一台机器上安装安全网关。
  2. 在安装过程之后将打开的窗口下输入以下详细信息,设置安全网关 窗口。

安全网关安装设置

    • Endpoint Central服务器名称:指定Endpoint Central服务器的FQDN/DNS/IP地址。或者如果使用故障转移服务器,指定虚拟IP地址。
    • Endpoint Central Https端口:指定移动设备用于联系Endpoint Central服务器的端口号(例如:8383)。建议使用相同的端口8383(HTTPS)。
    • Endpoint Central通知服务器端口:8027(执行按需操作时),这将自动预填写
    • Web Socket端口:8443(HTTPS),这将自动预填
    • 用户名和密码:输入具有管理特权的Endpoint Central用户凭据。

 

基础设施推荐

确保按照以下步骤进行:

  1. 提供打开了8383(https)端口的安全网关公共IP地址给中心服务器。
  2. 对于配置非AD机器,建议使用公共IP地址。
  3. 配置安全网关应使其可以通过NAT设置中配置的公共IP/FQDN地址到达。您也可以将边界设备/路由器配置成这样,即发送到公共IP/FQDN地址的所有请求都被重定向到Endpoint Central安全网关。
  4. 强制使用HTTPS通信

确保防火墙上打开以下端口,以允许WAN代理与终端中央安全网关通信。

端口 类型 用途 连接
8383 HTTPS 用于WAN代理/分发服务器与使用安全网关的中心服务器之间的通信。 入站到服务器
8027 TCP 用于执行按需操作 入站到服务器
8443 HTTPS 用于远程控制、聊天、系统管理等的Web Socket端口。 入站到服务器

您已经确保了中心服务器、WAN代理和漫游用户之间的安全通信。

我们的客户