本章中介绍的部署方案可以帮助您确定和组织您的环境中的 Unified Access Gateway 部署。Unified Access Gateway 是通常安装在隔离区 (Demilitarized Zone, DMZ) 中的设备,用于确保进入企业数据中心的流量只有经过严格身份验证的远程用户产生的流量。
您可以使用 Horizon 8、Horizon Cloud Service、Workspace ONE Access 和 Workspace ONE UEM 部署 Unified Access Gateway。
注: 要使用 Horizon Cloud Service 实施 Unified Access Gateway,请参阅位于
VMware Docs 的
《VMware Horizon Cloud Service - next-gen 指南》中的
部署 Horizon 8 Edge 以用于 Horizon 8 部署和 Horizon Cloud - next-gen 控制平面。
将 Unified Access Gateway 作为安全网关
Unified Access Gateway 将身份验证请求发送到相应的服务器,并丢弃任何未经过身份验证的请求。用户只能访问被授权访问的资源。
Unified Access Gateway 还确保可以将经过身份验证的用户产生的通信只重定向到用户实际有权访问的桌面和应用程序资源。该保护级别包括具体检查桌面协议以及协调可能快速变化的策略和网络地址以准确地控制访问。
Unified Access Gateway 可作为公司受信任网络中用于连接的代理主机。这种设计禁止从面向公众的 Internet 中访问虚拟桌面、应用程序主机和服务器,从而提供一个额外的安全层。
Unified Access Gateway 专为 DMZ 而设计。它实施了以下强化设置。
- 最新的 Linux 内核和软件修补程序
- 针对 Internet 和内联网流量的多网卡支持
- 禁用了 SSH
- 禁用了 FTP、Telnet、Rlogin 或 Rsh 服务
- 禁用了不需要的服务
使用 Unified Access Gateway 代替虚拟专用网络
Unified Access Gateway 与常规 VPN 解决方案类似,因为它们都确保仅将经过严格身份验证的用户产生的流量转发到内部网络。
Unified Access Gateway 优于常规 VPN 的方面包括:
- 访问控制管理器。Unified Access Gateway 自动应用访问规则。Unified Access Gateway 可识别进行内部连接所需的用户授权和寻址。VPN 同样如此,因为大部分 VPN 允许管理员为每个用户或用户组单独配置网络连接规则。一开始,使用 VPN 没有什么问题,但需要投入大量的管理工作以维护所需的规则。
- 用户界面。Unified Access Gateway 并未改变简单直观的 Horizon Client 用户界面。通过使用 Unified Access Gateway,在启动 Horizon Client 后,经过身份验证的用户位于其 Horizon Connection Server环境中,并且可以控制对其桌面和应用程序的访问。VPN 要求在启动 Horizon Client 之前,必须首先设置 VPN 软件并单独进行身份验证。
- 性能。Unified Access Gateway 从设计上最大限度提高安全性和性能。在 Unified Access Gateway 中,可以保证 PCoIP、HTML Access 和 WebSocket 协议的安全性,无需进行额外封装。VPN 作为 SSL VPN 来实施。该实现满足安全要求,在启用传输层安全 (Transport Layer Security, TLS) 的情况下被视为是安全的,但具有 SSL/TLS 的基础协议仅基于 TCP。现代的视频远程协议利用基于 UDP 的无连接传输,强制使用基于 TCP 的传输时,性能优势将受到极大影响。这并不适用于所有 VPN 技术,因为那些可以使用 DTLS 或 IPsec(而不是 SSL/TLS)的 VPN 也可以很好地使用 Horizon Connection Server 桌面协议。