GFI LanGuard 部署

部署方案

GFI LanGuard 部署取決于您要監視的計算機和設備數量以及正常運行期間您網絡中的流量負載，選擇一個最符合您基礎設施需求的部署方案。請參考以下部署方案以確定您是否要：

部署 GFI LanGuard 實例

任何 GFI LanGuard 部署均以在您的環境中安裝產品開始。 在 GFI LanGuard 實例安裝成功之后，它將：

• 確定您的網絡中可訪問的計算機，并從作為其網絡發現操作組成部分的目標計算機收集信息，結合使用 SMB、NETBIOS 和 ICMP 協議。 支持的目標包括本地主機、IP、計算機名稱、計算機列表、IP 范圍、整個域/工作組和/或組織單位。
• 一旦確定目標，GFI LanGuard 將執行掃描，以枚舉與目標計算機相關的所有信息。 GFI LanGuard 使用多種技術獲得對此類信息的訪問，其中包括文件和文件夾屬性檢查、注冊表檢查、WMI 命令、SMB 命令以及端口掃描檢查 (TCP/UDP) 等。

部署 GFI LanGuard Central Management Server 以連接多個 GFI LanGuard 實例

使用 GFI LanGuard Central Management Server，可通過一個通用控制臺將多個 GFI LanGuard 實例相連，即使它們被安裝在不同的位置。 GFI LanGuard Central Management Server 控制臺為管理員提供關于不同 GFI LanGuard 實例所管理的所有計算機、網絡或域的安全和漏洞狀態的視圖。 它還可以通過從部署的各個 GFI LanGuard 中捕獲數據來提供集中報告和可見性。

GFI LanGuard Central Management Server 僅用于報告。 掃描和修復僅在 GFI LanGuard 中進行，而信息將在 GFI LanGuard 中可用后集中到 GFI LanGuard Central Management Server。 同步通常每幾分鐘執行一次。 延遲取決于網絡大小和要傳送的數據量。

在無代理模式下部署 GFI LanGuard

無代理審核從 GFI LanGuard 啟動。 GFI LanGuard 可以同特定掃描目標建立遠程會話并通過網絡對這些目標進行審核。 審核完成后，結果將導入結果數據庫且遠程會話結束。 您可以審核單臺計算機、特定計算機范圍或者整個域/工作組。

注意
無代理模式下的掃描使用安裝 GFI LanGuard 的計算機的資源，而且由于審核是遠程完成的，所以會占用更多網絡帶寬。 當掃描目標很多時，此模式會顯著降低 GFI LanGuard的性能并影響網絡速度。 在較大型網絡中，部署代理/中繼代理可適當平衡負載。

部署 GFI LanGuard 代理

GFI LanGuard 可配置為在新發現的計算機上自動部署代理。 代理可最大限度減少網絡帶寬的使用。 這是因為在無代理模式下，GFI LanGuard 服務器組件在網絡上執行審核；而在代理模式下，審核是使用掃描目標的資源來完成的而且只有XML格式的結果文件通過網絡傳輸。

代理通過 TCP 端口 1072 將掃描數據發送到 GFI LanGuard。在安裝 GFI LanGuard 時默認打開此端口。 除非執行掃描或修復操作，否則代理不會占用作為掃描目標的計算機的資源。 如果代理有 60 天沒有響應，則將自動從目標計算機卸載。

注意
GFI LanGuard 代理只能在運行 Microsoft Windows 操作系統且符合最低系統要求設置的計算機上部署。

部署 GFI LanGuard 中繼代理

可以使用中繼代理降低來自 GFI LanGuard 服務器的負載。 配置為中繼代理的計算機會直接從 GFI LanGuard 服務器下載補丁和定義并將它們轉發到客戶端計算機。 使用中繼代理的主要優點是：

• 節省本地或地理分布式網絡中的網絡帶寬。 如果在各站點配置了中繼代理，則只下載一次補丁，然后分發至客戶端
• 消除 GFI LanGuard 服務器組件的負載，將負載分配到各中繼代理中。
• 由于從多個中繼代理管理計算機，所以增加了可以同時保護的設備數量。

在網絡中，可以將計算機分組，然后將每個組指定給中繼代理。

在混合模式下部署 GFI LanGuard

在混合模式下，GFI LanGuard 在某些計算機上配置為在代理模式下工作，而在其他計算機或設備上配置為在無代理模式下工作。

下面的屏幕截圖顯示了如何在局域網 (LAN) 內在混合模式下部署 GFI LanGuard：

系統要求

以下主題提供有關所有 GFI LanGuard 組件的系統要求信息。

GFI LanGuard 系統要求

出于性能原因，運行 GFI LanGuard 的計算機必須符合下述的系統要求。

硬件要求

托管 GFI LanGuard 的計算機必須符合下列硬件要求：

軟件要求

支持的操作系統（32 位/64 位）

下表列出了可以安裝 GFI LanGuard 的操作系統和版本。 確保運行這些操作系統的完整（帶有 GUI）版本，且運行 Microsoft 提供的最新 Service Pack。

支持的數據庫

GFI LanGuard 使用數據庫來存儲網絡安全審核和修復操作的信息。 數據庫后端可以是：

為了提高性能，強烈建議對數據庫服務器使用 SSD 驅動器。 與傳統硬盤驅動器相比，SSD 能夠提供卓越的性能，訪問時間和延遲時間更短。

GFI LanGuard 和 TLS 1.1 或更高版本

如果要在運行 TLS 1.1 及以上版本的環境中部署 GFI LanGuard，則需要在安裝 GFI LanGuard 的計算機上啟用符合 FIPS 的算法。

要啟用符合 FIPS 的算法：

1. 轉到開始 > 運行并鍵入 gpedit.msc
2. 前往計算機配置 > Windows 設置 > 安全設置 > 本地策略。
3. 雙擊安全選項。
4. 在詳細信息窗格中，雙擊系統加密：使用符合 FIPS 的算法進行加密、哈希運算和簽名。
5. 勾選已啟用并單擊確定。
6. 重新啟動計算機或打開命令提示符并鍵入 gpupdate /force。

目標計算機組件

下表提供了需要在用 GFI LanGuard 遠程掃描（無代理）的計算機上安裝或啟用的組件相關信息：

防火墻端口和協議

GFI LanGuard 和中繼代理

在運行下列組件的計算機上配置防火墻允許 TCP 端口 1072 上的入站連接：

• GFI LanGuard
• 中繼代理

安裝 GFI LanGuard 后自動使用此端口，并且處理服務器組件與監視的計算機之間的所有入站通信。 如果 GFI LanGuard 檢測到端口 1072 已被另一應用程序使用，則會自動搜索 1072-1170 范圍內的可用端口。

要手動配置通信端口：

1.啟動 GFI LanGuard。

2.前往配置 > 管理代理。

3.從右側窗格中單擊代理設置。

4.從代理設置對話框，在 TCP 端口文本框中指定通信端口。

5.單擊確定。

GFI LanGuard 代理和無代理計算機

GFI LanGuard 與所管理的計算機（代理和無代理計算機）之間的通信使用下面的端口和協議完成。 托管計算機上的防火墻需要配置為允許以下端口的入站請求：

網關權限

為了下載定義和安全更新，GFI LanGuard 會通過 HTTP 連接到 GFI、Microsoft 和第三方更新服務器。請確保安裝 GFI LanGuard 的計算機的防火墻設置允許連接到：

• gfi-downloader-137146314.us-east-1.elb.amazonaws.com
• *software.gfi.com/lnsupdate/
• *.download.microsoft.com
• *.windowsupdate.com
• *.update.microsoft.com
• GFI LanGuard 支持的所有第三方供應商的更新服務器。

防病毒和備份排除

如果拒絕訪問某些文件，防病毒和備份軟件可能會導致 GFI LanGuard 出現故障。

添加排除，防止防病毒和備份軟件掃描或備份 GFI LanGuard 服務器、代理、中繼代理和 GFI LanGuard Central Management Server 上的以下文件夾：< system drive >\ProgramData\GFI\

GFI LanGuard 代理和中繼代理系統要求

出于性能原因，運行 GFI LanGuard 代理和 GFI LanGuard 中繼代理的計算機必須符合下述的系統要求。

硬件要求

GFI LanGuard 代理

運行 GFI LanGuard 代理的計算機必須滿足下列硬件要求：

GFI LanGuard 中繼代理

在下列條件下，計算機有資格配置為中繼代理：

• 計算機在線并且有良好的運行時間（離線中繼代理會使其客戶端癱瘓）
• 可以快速訪問連接到它的計算機
• 擁有需要的磁盤空間，以便允許緩存。

配置為中繼代理的計算機必須滿足下列硬件要求：

軟件要求

GFI LanGuard 組件可以安裝在滿足此部分列出的軟件要求的任何計算機上。 有關更多信息，請參閱：

支持的操作系統（32 位/64 位）

下表列出了可以安裝 GFI LanGuard 代理和 GFI LanGuard 中繼代理的操作系統：

防火墻端口和協議

此部分提供有關必要的防火墻端口和協議設置的信息：

GFI LanGuard 和中繼代理

在運行下列組件的計算機上配置防火墻允許 TCP 端口 1072 上的入站連接：

• GFI LanGuard
• 中繼代理

要手動配置通信端口：

1.啟動 GFI LanGuard。

2.單擊配置選項卡 > 管理代理。

3.從右側窗格中單擊代理設置。

4.從代理設置對話框，在 TCP 端口文本框中指定通信端口。

5.單擊確定。

GFI LanGuard 代理和無代理計算機

GFI LanGuard 與所管理的計算機（代理和無代理計算機）之間的通信使用下面的端口和協議完成。 托管計算機上的防火墻需要配置為允許以下端口的入站請求：

防病毒和備份排除

如果拒絕訪問某些文件，防病毒和備份軟件可能會導致 GFI LanGuard 出現故障。

添加排除，防止防病毒和備份軟件掃描或備份 GFI LanGuard 服務器、代理、中繼代理和 GFI LanGuard Central Management Server 上的以下文件夾：< system drive > \ProgramData\GFI\

中央管理服務器系統要求

運行 GFI LanGuard Central Management Server 的計算機必須符合下述系統要求。

硬件要求

托管 GFI LanGuard Central Management Server 的計算機必須符合下列最低硬件要求：

支持的操作系統（32 位/64 位）

下表列出了可以安裝 GFI LanGuard Central Management Server 的操作系統和版本。 確保這些操作系統運行 Microsoft 提供的最新 Service Pack。

支持的數據庫

GFI LanGuard Central Management Server 使用數據庫來存儲從多個 GFI LanGuard 安裝中檢索到的信息。 數據庫后端可以是：

為了提高性能，強烈建議對數據庫服務器使用 SSD 驅動器。 與傳統硬盤驅動器相比，SSD 能夠提供卓越的性能，訪問時間和延遲時間更短。

防火墻端口和協議

GFI LanGuard 實例通過端口 1077 與 GFI LanGuard Central Management Server 通信。在運行 GFI LanGuard 和 GFI LanGuard Central Management Server 的計算機上配置防火墻允許 TCP 端口 1077 上的入站連接。

如果端口 1077 已被另一應用程序使用，則 GFI LanGuard Central Management Server 會自動搜索 1077-1277 范圍內的可用端口。

防病毒和備份排除

如果拒絕訪問某些文件，防病毒和備份軟件可能會導致 GFI LanGuard 出現故障。

添加排除，防止防病毒和備份軟件掃描或備份 GFI LanGuard 服務器、代理、中繼代理和 GFI LanGuard Central Management Server 上的以下文件夾：< system drive >\ProgramData\GFI\

新安裝

請參閱安裝 GFI LanGuard。

升級

請參閱升級 GFI LanGuard。