小弟大学学的专业是信息安全,在进入虚拟化领域之前一直在国际知名安全软件公司任职多年,对杀毒软件也算略知一二,到了桌面虚拟化领域,杀毒会不会变得有所不同呢?

如果把所有虚拟桌面当作传统桌面一样安装传统企业级杀毒软件,势必给本就紧张的服务器资源雪上加霜,一旦所有机器开始病毒扫描,带来的IO风暴可能会让这个虚拟桌面环境瘫痪,那么有什么办法能解决类似问题呢?

VMWARE在这里给大家提供了一个API接口,从此不需要在每台计算机上面安装杀毒软件了,通过VSPHERE底层就可以进行良好的病毒防护,这个API接口叫做VSHIELD,一些杀毒软件厂商,例如趋势把这个接口结合到起安全解决方案当中,今天我们就来详细的看看如何配置VSHEILD。

无代理方式(VMware)应用环境准备

需要准备2台ESX主机,用来测试DS7.5的所有功能。

注意:DSM主机最好用64位系统

描述

程序

操作系统

功能

ESX1

DSM

Win2003 sp2 32/64 Win2008 32/64

DS管理控制台

*至少分配4GB内存

vShield Manager

 

VMware VShield管理平台

vCenter

Win2003_x64

 

Windows操作系统

Win2003_x32

Agent方式测试主机

ESX2

DSVA

 

DS Appliance

Windows操作系统

Win7_x64

Agentless+Agent方式测试主机

Windows操作系统

Win2008_x64

Agentless测试主机

软件名称

用途

VMware-vShield-Manager-4.1.0-287872.ova

vShield Manager

VMware-vShield-Endpoint-Driver-1.0.0-289485.x86_64.msi

EndPoint 驱动64位平台

VMware-vShield-Endpoint-Driver-1.0.0-289485.x86_32.msi

EndPoint 驱动32位平台

Manager-Windows-7.5.1378.x64.exe

DSM 64位平台

Manager-Windows-7.5.1378.i386.exe

DSM 32位平台

FilterDriver-ESX-7.0.0-894.x86_64.zip

ESX平台FilterDriver

Appliance-ESX-7.5.0-1600.x86_64.zip

DSVA

Agent-Windows-7.5.0-1602.x86_64.msi

DSA64位平台

Agent-Windows-7.5.0-1602.i386.msi

DSA32位平台

激活码

到期时间

用途

DX-9J38-4SE5J-V9AL2-GHH92-NYHCX-W7KHN

2011-03-03

DS激活码

TJ42L-H01DQ-M83TT-A04RK-30KH1

60天

vShield EndPoint

clip_p_w_picpath002

代理方式(物理服务器)应用环境准备

Agent方式应用只需准备DSM服务器和测试服务器;

程序

操作系统

IP地址

功能

DSM

Win2008_x64

 

DS管理控制台

Test-win2008

Win2008_x64

 

Agent测试主机

软件列表:

软件名称

用途

Manager-Windows-7.5.1378.x64.exe

DSM 64位平台

Manager-Windows-7.5.1378.i386.exe

DSM 32位平台

Agent-Windows-7.5.0-1602.x86_64.msi

DSA64位平台

Agent-Windows-7.5.0-1602.i386.msi

DSA32位平台

产品激活码:

激活码

到期时间

用途

DX-9J38-4SE5J-V9AL2-GHH92-NYHCX-W7KHN

2011-03-03

DS激活码

  安装Vmware环境

1. 安装vCenter Server和Client 4.1

注:vCenter主机名不能超过15个字符,否则安装失败

2. 安装ESX/ESXi 4.1

3. 在vCenter中创建数据中心,并添加ESX/ESXi主机

4. 安装所需操作系统(Windows2008 64bit、Windows2003 32bit等)

5. 为操作系统安装VMWARE TOOLS

6. 配置个主机使用IP地址

  安装vShield Manager

1. 登录vCenter 控制台

2. File->Deploy OVF Template-> VMware-vShield-Manager-4.1.0-287872.ova

clip_p_w_picpath001

clip_p_w_picpath003

clip_p_w_picpath005

clip_p_w_picpath007

clip_p_w_picpath009

clip_p_w_picpath011

clip_p_w_picpath013

clip_p_w_picpath014

clip_p_w_picpath015

clip_p_w_picpath016

3. 如果用户有VLAN配置,需要先修改vShield Manager的网卡配置

4. 启动vShield Manger主机

5. 进入vShield Manger Console,默认用户名:admin,密码:default

6. 输入”enable”命令和密码default

clip_p_w_picpath018

7. 输入”setup”命令进入IP 地址配置,配置预分配的IP地址、网关和DNS

注:进入”setup”命令需要等待vShield Manager主机完全启动完成

clip_p_w_picpath020

8. 输入”exit”或”reboot”命令完成IP地址配置

3.3配置vShield Manager

1. 输入https://<vSM-ip>登录vShield Manager web控制台

2. 配置vCenter Server信息,点击”Save”

clip_p_w_picpath022

clip_p_w_picpath024

3. 在vCenter中添加vShield EndPoint授权

进入”Home”-&gt;”Licensing”-&gt;Report line select ”Asset”,进入”vShield-Endpoint”,”Enter Key”。

clip_p_w_picpath026

clip_p_w_picpath028

4. 为被保护ESX主机安装EndPoint组件

clip_p_w_picpath030

clip_p_w_picpath031

clip_p_w_picpath033

3.4安装VM的vShield Endpoint驱动

1. 执行驱动程序

clip_p_w_picpath034

2. 重新启动vm

3.5安装DSM7.5

1. 将DSM7.5安装程序全部放到同一目录下,再执行DSM Manager程序,这样DSM会自动导入”FilterDriver”和”Appliance”程序,无需后续手工导入

clip_p_w_picpath035

2. 安装过程中需要选择数据库类型和”Manager Address”等信息,如果用户全部是域环境可以使用主机名,否则建议修改”Manager Address”为IP地址,这样可以避免很多通讯问题

clip_p_w_picpath036

clip_p_w_picpath037

3. 安装完成后可以通过https://<DSM-IP>:4119/来登录控制台

3.5在DSM上添加vCenter

1. 进入DSM控制台

2. 选择”Computer”-&gt;”Add VMware vCenter”

clip_p_w_picpath038

3. 输入vCenter信息

clip_p_w_picpath040

4. 输入vShield Manager信息

clip_p_w_picpath042

5. VM Kernel VNIC配置,请保持默认

clip_p_w_picpath043

6. 同意SSL证书

clip_p_w_picpath045

7. 摘要信息

clip_p_w_picpath047

8. 添加完成

clip_p_w_picpath049

部署Filter Driver&DSVA

1. 进入DSM控制台的”Computer”界面,选择vCenter中的ESX,右键选择”Action”-&gt;”Prepared ESX”

clip_p_w_picpath002[5]

2. 此过程必须保证ESX能够与DSM主机通讯

clip_p_w_picpath004

3. 部署驱动需要ESX进入到维护模式下完成

clip_p_w_picpath006

4. 程序等待ESX进入维护模式

clip_p_w_picpath007

5. 手工关闭此ESX主机上的所有VM,并等待安装Filter Driver

clip_p_w_picpath008

clip_p_w_picpath009

6. Filter Driver部署完成,部署Appliance

clip_p_w_picpath010

clip_p_w_picpath011

7. 部署DSVA到ESX上,输入Appliance 名称

clip_p_w_picpath011[1]

clip_p_w_picpath012

8. 选择磁盘使用模式

clip_p_w_picpath013

9. 部署中,Building过程可能需要几分钟

clip_p_w_picpath014[5]

10. SSL证书

clip_p_w_picpath016

11. 部署DSVA的OVF文件,并开启DSVA

clip_p_w_picpath017

12. 登录DSVA控制台,用户名:dsva 密码:dsva

clip_p_w_picpath019

13. 进入”Configure Management Network”,输入IP地址信息,按”Enter”保存

clip_p_w_picpath021

14. 进入”Configure Time Zone”,设置为”Asia/Chongqing”

clip_p_w_picpath023

15. 退出配置界面。

注意:DSVA界面会现在该IP应用到哪块网卡上,如果IP地址有VLAN,请在VM设置中修改。

clip_p_w_picpath024

16. 激活DSVA

clip_p_w_picpath025

17. 选择”Security Profile”模板给DSVA,此Profile为系统默认模板,如果需要使用SSH登录DSVA,修改”Deep Security Virtual Appliance”模板

clip_p_w_picpath026

18. 选择需要激活的VM

注:如果VM关机状态会提示Active fail,请提前开启vm

clip_p_w_picpath027

19. 部署和激活完成

clip_p_w_picpath028

20. 登录控制检查激活状态和An-Malware状态

clip_p_w_picpath029

3.7检查各功能组件状态

登录DSM控制台,并进入”Computer”页,查看ESX的Filter Driver和DSVA运行是否正常

注:”Integrity Monitoring”和”LogInspection”需要安装DSA才能实现

clip_p_w_picpath030

clip_p_w_picpath031[5]

clip_p_w_picpath033[5]