您可以使用Horizon Cloud with On-Premises Infrastructure 和 Horizon Air 云基础架构来部署 Unified Access Gateway。
部署方案
通过 Unified Access Gateway,可以从远程安全访问客户数据中心内部部署的虚拟桌面和应用程序。Unified Access Gateway 通过对内部部署的 Horizon 或 Horizon Air 进行操作来实现统一管理。
Unified Access Gateway 为企业提供了强大的用户身份安全保障,并且还能精确控制对他们已获授权的桌面和应用程序的访问。
Unified Access Gateway 虚拟设备通常部署在网络隔离区 (Demilitarized Zone, DMZ) 中。部署在 DMZ 中可以确保进入数据中心并传送到桌面和应用程序资源的流量是经过严格身份验证的用户产生的流量。Unified Access Gateway 虚拟设备还确保可以将经过身份验证的用户产生的流量仅传送到用户有权访问的桌面和应用程序资源。该保护级别包括具体检查桌面协议以及协调可能快速变化的策略和网络地址以准确地控制访问。
下图显示了包含前端和后端防火墙的配置示例。
您必须验证具有 Horizon 的无缝 Unified Access Gateway 部署的要求。
- Unified Access Gateway 设备指向 Horizon Server 前面的负载平衡器,因此,会动态选择服务器实例。
- 默认情况下,端口 8443 必须可用于 Blast TCP/UDP。但是,也可为 Blast TCP/UDP 配置端口 443。
注: 如果将 Unified Access Gateway 配置为使用 IPv4 和 IPv6 模式,则 Blast TCP/UDP 必须设置为端口 443。您可以允许将 Unified Access Gateway 作为 IPv6 Horizon Client 网桥以连接到 IPv4 后端连接服务器或代理环境。请参阅 为 Horizon 基础架构提供 IPv4 和 IPv6 双模式支持。
- 在使用 Horizon 部署 Unified Access Gateway 时,必须启用 Blast 安全网关和 PCoIP 安全网关。这样可以确保显示协议能够自动通过 Unified Access Gateway 作为代理。BlastExternalURL 和 pcoipExternalURL 设置指定 Horizon Client 使用的连接地址,以便通过 Unified Access Gateway 上的相应网关路由这些显示协议连接。由于这些网关可以确保代表经过身份验证的用户对显示协议流量进行控制,因此,提高了安全性。Unified Access Gateway 忽略未授权的显示协议流量。
- 在 Horizon 连接服务器实例上禁用安全网关(Blast 安全网关和 PCoIP 安全网关),然后在 Unified Access Gateway 设备上启用这些网关。
建议部署 Horizon 7 的用户使用 Unified Access Gateway 设备而不是 Horizon 安全服务器。
Horizon 安全服务器和 Unified Access Gateway 设备之间的区别如下。
- 安全部署。Unified Access Gateway 实施为强化、锁定且预配置的基于 Linux 的虚拟机。
- 可扩展。您可以将 Unified Access Gateway 连接到单个 Horizon 连接服务器,也可以通过多个 Horizon 连接服务器前的负载平衡器进行连接,从而增强高可用性。它作为 Horizon Client 和后端 Horizon 连接服务器之间的一个层。由于部署速度较快,它可以快速扩展/收缩以满足快速变化的企业的要求。
或者,也可以将一个或多个 Unified Access Gateway 设备指向单个服务器实例。在这两种方法中,将在 DMZ 中的一个或多个 Unified Access Gateway 设备前面使用负载平衡器。
身份验证
用户身份验证类似于 Horizon 安全服务器。Unified Access Gateway 中支持的用户身份验证方法包括:
- Active Directory 用户名和密码。
- Kiosk 模式。有关 Kiosk 模式的详细信息,请参阅 Horizon 文档。
- RSA SecurID 双因素身份验证,通过了 RSA for SecurID 正式认证。
- 通过一系列第三方、双因素安全供应商解决方案实现的 RADIUS。
- 智能卡、CAC 或 PIV X.509 用户证书。
- SAML。
系统通过 Horizon Connection Server来支持这些身份验证方法。Unified Access Gateway 不需要直接与 Active Directory 进行通信。该通信作为通过 Horizon Connection Server的代理,该服务器可以直接访问 Active Directory。在根据身份验证策略对用户会话进行身份验证后,Unified Access Gateway 可以将授权信息请求以及桌面和应用程序启动请求转发到 Horizon Connection Server。Unified Access Gateway 还管理其桌面和应用程序协议处理程序,以允许它们仅转发授权的协议流量。
Unified Access Gateway 本身可以处理智能卡身份验证。这包括一些选项,Unified Access Gateway 使用这些选项与在线证书状态协议 (Online Certificate Status Protocol, OCSP) 服务器进行通信,以检查 X.509 证书吊销等信息。