如何使用安全网关服务器保障移动/漫游用户的通信?
本文档介绍了使用安全网关服务器保障漫游用户通信相关步骤。安全网关服务器可用于当漫游代理(在移动设备和计算机上)通过互联网访问服务器时。它通过充当产品服务器和漫游代理之间的中间服务器,防止直接向互联网暴露服务器。这确保了产品服务器免受网络攻击风险和威胁。
注意:安全网关服务器应安装在与Endpoint Central服务器、分发服务器或故障转移服务器安装在不同机器上。但是,它可以安装在代理所在的机器上。
安全网关是如何工作的?
安全网关服务器是一个将会暴露在互联网上的组件。安全网关服务器充当被管的漫游代理和中心服务器之间的中间服务器。所有来自漫游代理的通信都将通过安全网关进行转发。当代理尝试联系中心服务器时,安全网关服务器接收所有通信并重定向至中心服务器。
注意:在各个DNS服务器中,将安全网关的公共IP地址和产品服务器的私有IP地址映射公共FQDN。例如,如果你的FQDN是"product.server.com",则将其映射到安全网关和中心服务器的IP地址。通过这种映射,漫游用户的WAN代理将通过互联网经由安全网关访问中心服务器,而LAN网络中的代理将直接到达中心服务器,从而加快了解析速度。
安全网关服务器的软件要求
您可以将安全网关服务器安装在以下任一Windows操作系统版本上:
- Windows 7
- Windows 8
- Windows 8.1
- Windows 10
- Windows 11
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
安全网关服务器的硬件要求
安全网关服务器的硬件要求包括以下内容:
1 - 5000计算机
服务器 |
资源 |
要求 |
安全网关服务器 |
处理器信息 |
物理机: Intel Core i3 (2 core/4 thread) 2.9 Ghz 3 MB cache
虚拟机: 4个虚拟处理器 2.9 GHz 3 MB cache |
内存大小 |
4 GB |
磁盘空间 |
40 GB* |
网络要求 |
网卡速度 |
最小1 GBPS网卡(NIC) |
带宽 |
最小1 MBPS (T1连接) |
* 根据扫描频率动态增长
5001 - 9000计算机
服务器 |
资源 |
要求 |
安全网关服务器 |
处理器信息 |
物理机: Intel Core i5 (4 core/8 thread) 2.3 GHz
虚拟机: 8个虚拟处理器 2.3 GHz |
内存大小 |
4 GB |
磁盘空间 |
80 GB* |
网络要求 |
网卡速度 |
最小1 GBPS网卡(NIC) |
带宽 |
最小1 MBPS (T1连接) |
* 根据扫描频率动态增长
9001 - 15000计算机
服务器 |
资源 |
要求 |
安全网关服务器 |
处理器信息 |
物理机: Intel Core i7 (6 core/12 thread) 3.2 GHz
虚拟机: 12个虚拟处理器 3.2 GHz |
内存大小 |
4 GB |
磁盘空间 |
120 GB* |
网络要求 |
网卡速度 |
最小1 GBPS网卡(NIC) |
带宽 |
最小1 MBPS (T1连接) |
* 根据扫描频率动态增长
15001 - 18000计算机
服务器 |
资源 |
要求 |
安全网关服务器 |
处理器信息 |
物理机: Intel Xeon E5 (8 core/16 thread) 2.6 GHz
虚拟机: 16个虚拟处理器 2.6 GHz |
内存大小 |
8 GB |
磁盘空间 |
150 GB* |
网络要求 |
网卡速度 |
最小1 GBPS网卡(NIC) |
带宽 |
最小1 MBPS (T1连接) |
* 根据扫描频率动态增长
18001 - 25000计算机
服务器 |
资源 |
要求 |
安全网关服务器 |
处理器信息 |
物理机:Intel Xeon E5 (12 core/24 thread) 2.7 GHz
虚拟机: 24个虚拟处理器 2.7 GHz |
内存大小 |
8 GB |
磁盘空间 |
200 GB* |
网络要求 |
网卡速度 |
最小1 GBPS网卡(NIC) |
带宽 |
最小1 MBPS (T1连接) |
* 根据扫描频率动态增长
Endpoint Central的安全网关配置,请按照以下步骤进行:
- 修改Endpoint Central设置的步骤
- 安装和配置安全网关的步骤
- 基础设施推荐
修改Endpoint Central设置的步骤
- 在添加远程办公室时,在Endpoint Central服务器详细信息下,输入安全网关的IP地址而不是中心服务器的IP地址。这是为了确保WAN代理和分发服务器通过安全网关进行通信。
- 启用DS/WAN代理与中心服务器通信的安全通信(HTTPS)。
- 使用安全网关的公共FQDN/IP地址配置NAT设置。
- 在产品控制台上,单击 管理页签 > 服务器设置 >NAT设置
- 选择通过互联网管理设备
- 根据以下所示,在NAT设置下添加安全网关服务器的FQDN作为公共FQDN
安装和配置安全网关的步骤
- 下载并在DMZ区域中的一台机器上安装安全网关。
- 在安装过程之后将打开的窗口下输入以下详细信息,设置安全网关 窗口。
- Endpoint Central服务器名称:指定Endpoint Central服务器的FQDN/DNS/IP地址。或者如果使用故障转移服务器,指定虚拟IP地址。
- Endpoint Central Https端口:指定移动设备用于联系Endpoint Central服务器的端口号(例如:8383)。建议使用相同的端口8383(HTTPS)。
- Endpoint Central通知服务器端口:8027(执行按需操作时),这将自动预填写
- Web Socket端口:8443(HTTPS),这将自动预填
- 用户名和密码:输入具有管理特权的Endpoint Central用户凭据。
基础设施推荐
确保按照以下步骤进行:
- 提供打开了8383(https)端口的安全网关公共IP地址给中心服务器。
- 对于配置非AD机器,建议使用公共IP地址。
- 配置安全网关应使其可以通过NAT设置中配置的公共IP/FQDN地址到达。您也可以将边界设备/路由器配置成这样,即发送到公共IP/FQDN地址的所有请求都被重定向到Endpoint Central安全网关。
- 强制使用HTTPS通信
确保防火墙上打开以下端口,以允许WAN代理与终端中央安全网关通信。
端口 |
类型 |
用途 |
连接 |
8383 |
HTTPS |
用于WAN代理/分发服务器与使用安全网关的中心服务器之间的通信。 |
入站到服务器 |
8027 |
TCP |
用于执行按需操作 |
入站到服务器 |
8443 |
HTTPS |
用于远程控制、聊天、系统管理等的Web Socket端口。 |
入站到服务器 |
您已经确保了中心服务器、WAN代理和漫游用户之间的安全通信。