漏洞管理WAN架构

ManageEngine Vulnerability Manager Plus是一款企业漏洞管理软件,可帮助您扫描、评估、确定优先级和修复网络终端中的漏洞。它包括漏洞扫描漏洞评估、自动补丁管理、安全配置管理零日漏洞缓解、高风险软件审计和web服务器强化等功能。Vulnerability Manager Plus支持在分布式设置中修补计算机,如分支机构或远程办公室(WAN),并支持移动用户,例如经常出差的销售人员。

优点

使用Vulnerability Manager Plus的WAN架构的优点包括:

  1. 经济实惠、简单快捷的漏洞管理解决方案
  2. 利用的带宽少
  3. 启用网络中立的补丁管理
  4. 对VPN连接使用相同的基础设施,不需要单独的VPN基础设施
  5. 确保服务器和代理之间的通信安全
  6. 使用一个Web控制台集中修补计算机

以下指南将帮助您通过架构图了解漏洞管理的过程。

vulnerability-management-wan-architecture

IT管理员或网络安全团队需要以下组件来执行远程计算机中的漏洞管理:

  1. Vulnerability Manager Plus服务器
  2. 分发服务器
  3. 代理
  4. Web控制台

Vulnerability Manager Plus服务器:

Vulnerability Manager Plus服务器可帮助您集中执行网络终端中的所有漏洞管理任务,其中包括:

    • 在计算机中安装代理
    • 扫描计算机的漏洞和错误配置
    • 部署补丁和安全配置
    • 卸载高风险软件

网络中具有此处所述要求的任何Windows计算机都可以作为Vulnerability Manager Plus服务器。客户站点的Vulnerability Manager Plus服务器订阅中央漏洞数据库,从中同步有关漏洞及其修复的最新信息。补丁直接从厂商站点下载,集中存储在服务器的补丁库中,并将复制到您的网络终端以节省带宽。

组件

此部分包含有关Vulnerability Manager Plus架构组件的详细信息。请参阅图1:Vulnerability Manager Plus的WAN架构。

服务器

  • 端口
  • 目的
  • 类型
  • 连接
  • 6020
  • 代理服务通信
  • HTTP
  • 入站到服务器
  • 6027
  • 代理服务通信
  • TCP
  • 入站到服务器
  • 6022
  • 启用聊天和系统管理器
  • HTTP
  • 入站到服务器
  • 6383
  • 代理或分发服务器与Vulnerability Manager Plus服务器之间的通信
  • HTTPS
  • 入站到服务器
  • 135
  • 启用远程管理以及文件和打印机共享
  • TCP
  • 从被管计算机出站
  • 445
  • 启用文件和打印机共享
  • TCP
  • 从被管计算机出站

Vulnerability Manager Plus服务器必须安装在您的局域网(例如总部)中,并且必须配置为边缘设备。这意味着指定的端口(默认为6020,可配置)应该可以通过Internet访问。您需要采用必要的安全标准来强化装有Vulnerability Manager Plus 服务器的操作系统。所有远程位置的代理向此Vulnerability Manager Plus服务器报告。

服务器充当存储补丁详细信息的容器,并根据请求向代理提供说明。建议始终保持Vulnerability Manager Plus服务器运行,以执行日常漏洞管理活动。

分发服务器:

分发服务器是安装在分支机构的一台计算机中的轻量级软件。此代理将与Vulnerability Manager Plus服务器通信,以获取该分支机构中所有计算机的信息。驻留在分支办公室计算机中的代理将与分发服务器联系,以获取可用的信息并处理请求。

      • 利用的带宽少,因为只有一个代理会定期与服务器联系
      • 从Vulnerability Manager Plus服务器中提取要安装的补丁和其他相关详细信息,并使其可用于分支机构中的其他计算机
      • 支持与服务器通信的安全模式(SSL/HTTPS)
      • 分发服务器安装是一次性的,后续升级将自动执行

代理:

要执行漏洞扫描和管理,服务器将在网络系统中安装一个轻量级、多用途代理。代理每隔90分钟与服务器联系一次,以获取数据,以便在终端中执行漏洞扫描,并执行服务器委派的任务,它在完成任务后将结果返回到服务器。代理还与服务器保持连续的精简连接,以便执行按需任务。

可以手动安装代理,也可以在使用Vulnerability Manager Plus管理的所有分支办公室计算机中使用登录脚本安装代理。此任务为一次性任务。代理的升级是自动完成的。Vulnerability Manager Plus提供两个选项,可帮助管理员跨广域网管理计算机。您选择的选项取决于您要在远程办公室管理的计算机数量。您可以使用以下任一选项:

      1. 分发服务器和WAN代理:如果要在远程办公室中修补10台以上的计算机,建议使用此选项。
      2. 仅限WAN代理:如果要修补远程办公室中少于10台计算机,建议使用此选项。

Web控制台:

Web控制台是一个图形用户界面,用于访问服务器和执行漏洞管理任务。这个控制台可以从任何地方访问。例如,它可以通过局域网、广域网和使用Internet或VPN的家庭访问。访问Web控制台不需要单独的客户端安装。