1、准备使用Security Server
Security Server是一个运行部分 View Connection Server 功能的特殊 View Connection Server 实例。您可以使用Security Server在 Internet 和内部网络之间提供额外的安全保护层。
Security Server位于 DMZ 内,充当受信任网络中的连接代理主机。每台Security Server均与一个 View Connection Server 实例配对,并将所有流量转发给该实例。您可以将多个Security Server与一个连接服务器进行配对。这样的设计能保护 View Connection Server 实例免受公共 Internet 的威胁,并强制所有无保护的会话请求经过Security Server传输,从而提供额外的安全保护层。
基于 DMZ 的Security Server部署要求打开防火墙上的一些端口,以允许客户端与 DMZ 内的Security Server进行连接。您还需要配置端口,以供内部网络中的Security Server与 View Connection Server 实例通信使用。防火墙的详细配置请参考下文的配置。
由于用户直接连接到内部网络中的任何 View Connection Server 实例,因此您不必在基于 LAN 的部署中实施Security Server。
要限制帧的广播范围,应在隔离的网络中部署与Security Server配对的 View Connection Server 实例。该拓扑结构有助于防止内部网络中的恶意用户监视Security Server与 View Connection Server 实例之间的通信。同时,您也可以使用网络交换机的高级安全功能,避免Security Server和 View Connection Server 的通信受到恶意监视,并抵御 ARP 缓存投毒 (ARP Cache Poisoning) 等监控攻击。
2、安装View Security Server环境要求
1) 硬件要求
| 硬件组件 | 需要 | 建议 |
| 中央处理器 | Pentium IV 2.0 GHz 处理器或更高版本 | 4 个 CPU |
| 内存 | 8GB RAM 或更高 | 建议使用Windows 2008 R2 |
| 网络要求 | 一个或多个 100M/1G bps 网络接口卡 (NIC) | 建议使用2个NIC,一个指向内部网络和Connection Server 通讯,另一个通过NAT发布到公网用于外网访问连接 |
2) View Security Server支持的操作系统
| 操作系统 | 位数 | 版本 | 服务包 |
| Windows 2008 R2 | 64位 | Standard Enterprise | 无或SP1 |
注 意:
Security Server由于需要暴露在公网,所以建议不要加入域,同时建议先安装好最新补丁,防止系统受到病毒侵害和网络冲击。编者曾经在项目POC和实施过程中经常遭到病毒骚扰,以至延误工期,而大部分安全问题都可以通过安装补丁方式进行解决。另外,您的计算机如果已经安装了IIS请在安装Connection Server之前卸载。
3、Security Server网络拓扑结构
下面一张图展示了拓扑结构显示一个在 DMZ 中包含两台负载平衡Security Server的高可用性环境。Security Server与内部网络中的两个 View Connection Server 实例通信。
当远程用户连接Security Server时,他们必须成功通过身份验证,才可以访问 View 桌面。在这种拓扑结构中,DMZ 两端都实施了合适的防火墙规则,这种结构适用于通过 Internet 上的客户端设备来访问 View 桌面。
您可以为每个 View Connection Server 实例连接多个Security Server。您也可以将 DMZ 部署与标准部署结合使用,以便支持内部用户和外部用户访问。
4、安装View Security Server
1) 配置Security Server的配对密码
安装Security Server之前,您必须配置Security Server配对密码。View Connection Server 安装程序会在安装过程中提示您输入该密码。
Security Server配对密码是一次性密码,允许Security Server与 View Connection Server 实例配对。密码被提供给 View Connection Server 安装程序后,就会变成无效密码。
步骤:
1 在 View 管理控制台中,选择 View 配置->服务器->连接服务器->更多命令->指定安全服务器配对密码。
4 在[配对密码]和[确认密码]文本框中分别键入密码并指定密码超时值。
您必须在指定的超时期限内使用密码。
5 单击 [确定] 配置密码。
注 意:
此 View 环境配置为为 VIEW View 连接服务器和安全服务器之间的通信启用 IPsec。IPsec 要求打开 Windows 防火墙,以便将活动配置文件用于从连接服务器到安全服务器的配对。
继续操作前,请确保已为 VIEW 连接服务器上的活动配置文件打开 Windows 防火墙。您可以在“管理工具”下的“高级安全 Windows 防火墙”中为活动配置文件打开 Windows 防火墙。
2) 安装Security Server
1 Security Server使用的安装介质,和Connection Server相同。
将“VMware-viewconnectionserver-x86_64-5.2.0-987719.exe”,拷贝到Security Server上,Security Server建议使用物理服务器,操作系统为Windows Server 2008 R2。
2 启动 View Connection Server 安装程序,请双击安装程序文件。
3 接受 VMware 许可条款。
4 接受或更改目标文件夹。
5 选择 [View Security Server] 安装选项。
6 在 [Server(服务器)] 文本框中键入要与Security Server配对的 View Connection Server 实例的主机域名全称或 IP 地址。
Security Server会将网络流量转发到此 View Connection Server 实例。
7 在 [Password(密码)] 文本框中键入Security Server配对密码。
如果密码已过期,可以使用 View Administrator 配置一个新密码,然后在安装程序中键入新密码。
8 在 [External URL(外部 URL)] 文本框中,为使用 RDP 或 PCoIP 显示协议的 View Client 键入Security Server的外部 URL。
URL 必须包含协议、客户端可解析的Security Server名或 IP 地址以及端口号。在网络外运行的安全加密链路客户端会使用该 URL 连接Security Server。
例如:https://WIN-5BTSC6PGFIQ:443
9 在 [PCoIP External URL(PCoIP 外部 URL)] 文本框中,为使用 PCoIP 显示协议的 View Client 键入Security Server的外部 URL。
将 PCoIP 外部 URL 指定为包含端口号 4172 的 IP 地址。请勿包含协议名。
例如: 10.20.30.40:4172
URL 中必须包含能供客户端系统连接到Security Server的 IP 地址和端口号。仅在Security Server上安装了 PCoIP安全网关的情况下,您才可以在该文本框中键入内容。
10 选择如何配置 Windows 防火墙服务。
选择Configure Windows Firewall automatically(自动配置 Windows 防火墙)
让安装程序将 Windows 防火墙配置为允许所需的网络连接。
Do not configure Windows Firewall
(不配置 Windows 防火墙)
11 完成安装向导以完成安装Security Server。
Security Server服务将安装在 Windows Server 计算机中:
- VMware View Security Server
- VMware View Framework 组件
- VMware View Security Gateway 组件
- VMware View PCoIP 安全网关
5、在View Manager中配置 Security Server
在View Manager的管理界面上,点击VIEW配置->服务器->安全服务器:
点击编辑
在相应位置填入Security Server外网IP
在下方连接服务器配置的地方,点击编辑
在相应位置填入Connection Server 本身的IP地址:192.168.170.81
6、配置防火墙规则
基于 DMZ 的Security Server部署中必须包含两个防火墙。
需要部署一个面向外部网络的前端防火墙,用于保护 DMZ 和内部网络。您需要将该防火墙配置为允许外部网络流量到达 DMZ。
需要在 DMZ 和内部网络之间部署一个后端防火墙,用于提供第二层安全保障。您需要将该防火墙配置为仅接受 DMZ 内的服务产生的流量。
防火墙策略可严格控制来自 DMZ 服务的入站通信,这样将大幅降低内部网络泄露的风险。
基于 DMZ 的Security Server的防火墙规则
您需要为基于 DMZ 的Security Server配置特定的前端防火墙规则和后端防火墙规则。
1)前端防火墙规则
要允许外部客户端设备连接到 DMZ 中的Security Server,前端防火墙必须允许特定 TCP 和 UDP 端口上的流量。
2)后端防火墙规则
要允许Security Server与内部网络中的每个 View Connection Server 实例通信,后端防火墙必须允许特定 TCP 端口上的入站流量。位于后端防火墙后面的内部防火墙必须采用类似配置,以允许 View 桌面和 View Connection Server 实例相互通信。
用于 View Connection Server 相互通信的 TCP 端口
View Connection Server 实例组使用其他 TCP 端口来相互通信。例如,View Connection Server 实例使用端口 4100 来相互传输 JMS 路由器之间 (JMSIR) 的流量。同一组中的 View Connection Server 实例之间一般不使用防火墙
在VIEW 5.1中新增了UDP500端口用来进行Connection Server和Security Server之间的IPSEC通讯
3)View Connection Server 的防火墙规则
在防火墙上必须为 View Connection Server 实例及Security Server打开某些端口。
安装 View Connection Server 时,安装程序可为您配置所需的 Windows 防火墙规则(可选)。
4)View Agent 的防火墙规则
View Agent 安装程序会打开防火墙上的特定 TCP 端口。如非特别注明,端口均为传入端口。
5) PCoIP 安全网关
从 View 4.6 开始,Security Server中包含一个 PCoIP 安全网关组件。在启用了 PCoIP 安全网关的情况下,通过身份验证后,使用 PCoIP 协议的 View 客户端可与Security Server再建立一条安全连接。此连接允许远程客户端通过 Internet 访问 View 桌面。
启用 PCoIP 安全网关组件后,Security Server将 PCoIP 流量转发至 View 桌面。如果使用 PCoIP 的客户端也使用USB 重定向功能或多媒体重定向 (MMR) 加速功能,您可以启用 View 安全网关组件来转发这些数据。
配置直接客户端连接时,PCoIP 流量和其他流量从 View 客户端直接转到 View 桌面。
终端用户(如家庭用户或移动用户)通过 Internet 访问桌面时,Security Server可提供所需的安全级别和连接性能,因此无需使用 VPN 连接。PCoIP 安全网关组件可确保唯一能够访问企业数据中心的远程桌面流量是通过严格验证的用户产生的流量。终端用户只能访问被授权访问的桌面资源。
如图所示:
本文转自robbindai 51CTO博客,原文链接:http://blog.51cto.com/virtualyourdesk/1202204
828
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
