您可以使用Horizon Cloud with On-Premises InfrastructureHorizon Air 云基础架构来部署 Unified Access Gateway

部署方案

通过 Unified Access Gateway,可以从远程安全访问客户数据中心内部部署的虚拟桌面和应用程序。Unified Access Gateway 通过对内部部署的 HorizonHorizon Air 进行操作来实现统一管理。

Unified Access Gateway 为企业提供了强大的用户身份安全保障,并且还能精确控制对他们已获授权的桌面和应用程序的访问。

Unified Access Gateway 虚拟设备通常部署在网络隔离区 (Demilitarized Zone, DMZ) 中。部署在 DMZ 中可以确保进入数据中心并传送到桌面和应用程序资源的流量是经过严格身份验证的用户产生的流量。Unified Access Gateway 虚拟设备还确保可以将经过身份验证的用户产生的流量仅传送到用户有权访问的桌面和应用程序资源。该保护级别包括具体检查桌面协议以及协调可能快速变化的策略和网络地址以准确地控制访问。

下图显示了包含前端和后端防火墙的配置示例。

图 1. DMZ 拓扑中的 Unified Access Gateway

您必须验证具有 Horizon 的无缝 Unified Access Gateway 部署的要求。

  • 默认情况下,端口 8443 必须可用于 Blast TCP/UDP。但是,也可为 Blast TCP/UDP 配置端口 443。
    注: 如果将 Unified Access Gateway 配置为使用 IPv4 和 IPv6 模式,则 Blast TCP/UDP 必须设置为端口 443。请参阅 Unified Access Gateway 为 Horizon 基础架构提供 IPv4 和 IPv6 双模式支持
  • 在使用 Horizon 部署 Unified Access Gateway 时,必须启用 Blast 安全网关和 PCoIP 安全网关。这样可以确保显示协议能够自动通过 Unified Access Gateway 作为代理。BlastExternalURLpcoipExternalURL 设置指定 Horizon Client 使用的连接地址,以便通过 Unified Access Gateway 上的相应网关路由这些显示协议连接。由于这些网关可以确保代表经过身份验证的用户对显示协议流量进行控制,因此,提高了安全性。Unified Access Gateway 忽略未授权的显示协议流量。
  • Horizon 连接服务器实例上禁用安全网关(Blast 安全网关和 PCoIP 安全网关),然后在 Unified Access Gateway 设备上启用这些网关。
注: 如果代理模式发生重叠,则 Horizon Connection Server 无法与启用的 Web 反向代理一起使用。因此,如果在同一个 Unified Access Gateway 实例上同时为 Horizon 和 Web 反向代理实例配置并启用了代理模式,请从 Horizon 设置中移除代理模式“/”,并在 Web 反向代理中保留该模式,以防止发生重叠。在 Web 反向代理实例中保留“/”代理模式可确保在用户单击了 Unified Access Gateway 的 URL 后,系统会显示正确的 Web 反向代理页面。如果仅配置了 Horizon 设置,则无需进行上述更改。

身份验证

Unified Access Gateway 中支持的用户身份验证方法包括:

  • Active Directory 用户名和密码。
  • Kiosk 模式。有关 Kiosk 模式的详细信息,请参阅 Horizon 文档。
  • RSA SecurID 双因素身份验证,通过了 RSA for SecurID 正式认证。
  • 通过一系列第三方、双因素安全供应商解决方案实现的 RADIUS。
  • 智能卡、CAC 或 PIV X.509 用户证书。
  • SAML。

系统通过 Horizon Connection Server来支持这些身份验证方法。Unified Access Gateway 不需要直接与 Active Directory 进行通信。该通信作为通过 Horizon Connection Server的代理,该服务器可以直接访问 Active Directory。在根据身份验证策略对用户会话进行身份验证后,Unified Access Gateway 可以将授权信息请求以及桌面和应用程序启动请求转发到 Horizon Connection ServerUnified Access Gateway 还管理其桌面和应用程序协议处理程序,以允许它们仅转发授权的协议流量。

Unified Access Gateway 本身可以处理智能卡身份验证。这包括一些选项,Unified Access Gateway 使用这些选项与在线证书状态协议 (Online Certificate Status Protocol, OCSP) 服务器进行通信,以检查 X.509 证书吊销等信息。