シナリオ:接続ゲートウェイを使用したモバイルユーザーデバイスの接続
このシナリオでは、メインネットワークの外部にある管理対象デバイスを管理サーバーに接続する方法について説明します。
必須条件
シナリオには次の前提条件があります:
- 非武装地帯(DMZ)が組織のネットワークに編成されていること。
- Kaspersky Security Center 管理サーバーが企業ネットワークに導入されていること。
実行するステップ
このシナリオは段階的に進行します:
- DMZ 内のクライアントデバイスの選択
このデバイスは接続ゲートウェイとして使用されます。選択するデバイスは、接続ゲートウェイの要件を満たしている必要があります。
- 接続ゲートウェイのロールへのネットワークエージェントのインストール
ローカルインストールを使用して、選択したデバイスにネットワークエージェントをインストールすることを推奨します。
既定では、インストールファイルは次の場所にあります:\\<サーバー名>\KLSHARE\PkgInst\NetAgent_<バージョン番号>
ネットワークエージェントのセットアップウィザードの[接続ゲートウェイ]ウィンドウで、[DMZ 内でネットワークエージェントを接続ゲートウェイとして使用する]を選択します。このモードは同時に接続ゲートウェイのロールをアクティブにし、管理サーバーからの接続を待機するようにネットワークエージェントに指示します。管理サーバーへの接続の確立は指示しません。
または、Linux デバイスにネットワークエージェントをインストールし、ネットワークエージェントを接続ゲートウェイとして動作するように設定することも可能です。ただし、Linux デバイスで実行されるネットワークエージェントの制限事項のリストを確認しておく必要があります。
- 接続ゲートウェイのファイアウォールにおける接続の許可
管理サーバーが実際に DMZ の接続ゲートウェイに接続できることを確認するには、管理サーバーと接続ゲートウェイの間のすべてのファイアウォールで TCP ポート 13000 への接続を許可します。
接続ゲートウェイがインターネット上に実際の IP アドレスを持たず、ネットワークアドレス変換(NAT)を使用している場合は、NAT を介して接続を転送するルールを設定します。
- 外部デバイスの管理グループの作成
管理対象デバイスグループの下に新しいグループを作成します。この新しいグループには、外部の管理対象デバイスを含めます。
- 接続ゲートウェイの管理サーバーへの接続
設定した接続ゲートウェイは、管理サーバーからの接続を待機しています。ただし、管理サーバーは、管理対象デバイス間の接続ゲートウェイを使用するデバイスを一覧表示しません。これは、接続ゲートウェイが管理サーバーへの接続確立を試行していないためです。したがって、管理サーバーが接続ゲートウェイへの接続を開始するようにするには、特別な手順が必要です。
次の手順に従います:
- 接続ゲートウェイをディストリビューションポイントとして追加します。
- 未割り当てデバイスから、外部デバイス用に作成したグループに接続ゲートウェイを移動します。
接続ゲートウェイが接続および設定されます。
- 管理サーバーへの外部デスクトップコンピューターの接続
通常、外部デスクトップコンピューターは境界の内側に移動されません。したがって、ネットワークエージェントのインストール時に、ゲートウェイを介して管理サーバーに接続するように設定する必要があります。
- 外部デスクトップコンピューターのアップデートの設定
セキュリティ製品のアップデートが管理サーバーからダウンロードされるように設定されている場合、外部コンピューターは接続ゲートウェイを介してアップデートをダウンロードします。この方法には、2 つの欠点があります:
- これは不要なトラフィックであり、会社のインターネット通信チャネルの帯域幅を占有します。
- この方法により、アップデートの取得が必ずしも最速になるとは限りません。外部コンピューターがカスペルスキーのアップデートサーバーからアップデートを取得する方が、低コストで高速である可能性があります。
次の手順に従います:
- 移動中のノート PC の管理サーバーへの接続
移動中のノート PC は、ネットワーク内に存在する場合もあれば、ネットワーク外に存在する場合もあります。効果的に管理するには、場所に応じて異なる方法で管理サーバーに接続する必要があります。トラフィックを効率的に使用するには、場所に応じて異なるアップデート元からアップデートを受信することも必要です。
次のモバイルユーザー向けのルールを設定する必要があります:接続プロファイルとネットワークロケーション記述。各ルールは、移動するノート PC が場所に応じて接続する必要がある管理サーバーのインスタンスと、アップデートの受信元とする必要がある管理サーバーのインスタンスを定義します。