Unified Access Gateway 设备是从企业防火墙之外对远程桌面和应用程序进行安全访问的默认网关。
有关 Unified Access Gateway 最新版本的文档,请参阅 https://docs.vmware.com/cn/Unified-Access-Gateway/index.html 中的《部署和配置 VMware Unified Access Gateway》文档。
Unified Access Gateway 设备位于网络隔离区 (Demilitarized Zone, DMZ) 中,并作为可信网络内部的连接的代理主机,能够保护虚拟桌面、应用程序主机和服务器免受公共 Internet 的威胁,从而提供额外的安全保护层。
配置 Unified Access Gateway 设备
Unified Access Gateway 与常规 VPN 解决方案类似,因为它们都确保仅将经过严格身份验证的用户产生的流量转发到内部网络。
Unified Access Gateway 优于常规 VPN 的方面包括。
- 访问控制管理器。Unified Access Gateway 自动应用访问规则。Unified Access Gateway 可识别进行内部连接所需的用户授权和寻址。VPN 同样如此,因为大部分 VPN 允许管理员为每个用户或用户组单独配置网络连接规则。一开始,使用 VPN 没有什么问题,但需要投入大量的管理工作以维护所需的规则。
- 用户界面。Unified Access Gateway 并未改变简单直观的 Horizon Client 用户界面。通过使用 Unified Access Gateway,在启动 Horizon Client 时,经过身份验证的用户位于其 View 环境中,并且可以控制对其桌面和应用程序的访问。在启动 Horizon Client 之前,VPN 要求必须先设置 VPN 软件并单独进行身份验证。
- 性能。Unified Access Gateway 从设计上最大限度提高安全性和性能。在 Unified Access Gateway 中,可以保证 PCoIP、HTML Access 和 WebSocket 协议的安全性,无需进行额外封装。VPN 作为 SSL VPN 来实施。该实现满足安全要求,在启用传输层安全 (Transport Layer Security, TLS) 的情况下被视为是安全的,但具有 SSL/TLS 的基础协议仅基于 TCP。现代的视频远程协议利用基于 UDP 的无连接传输,强制使用基于 TCP 的传输时,性能优势将受到极大影响。这并不适用于所有 VPN 技术,因为那些也可以使用 DTLS 或 IPsec 而不是 SSL/TLS 的 VPN 技术可以正确使用 Horizon 7 桌面协议。
使用 Unified Access Gateway 提高 Horizon 安全性
Unified Access Gateway 设备在用户身份验证上面添加设备认证身份验证层以仅限从已知正确的设备中进行访问,并在虚拟桌面基础架构上添加了另一层安全保护,从而提高了安全性。
注: 仅在适用于 Windows 的
Horizon Client 上支持该功能。
- 请参阅《部署和配置 VMware Unified Access Gateway》文档中的“在 Unified Access Gateway 设备上配置证书或智能卡身份验证”,网址为 https://docs.vmware.com/cn/Unified-Access-Gateway/index.html。
- 端点合规性检查功能除了提供 Unified Access Gateway 中可用的其他用户身份验证服务之外,还为访问 Horizon 桌面提供了一层额外的安全保护。请参阅 https://docs.vmware.com/cn/Unified-Access-Gateway/index.html 中《部署和配置 VMware Unified Access Gateway》文档的“Horizon 的端点合规性检查”。
重要说明: 如果
Unified Access Gateway 设备配置为双因素身份验证(RSA SecureID 和 RADIUS),启用了 Windows 用户名匹配并具有多个用户域,则应该启用连接服务器以发送域列表,以便用户在使用 Windows 用户名和密码进行身份验证时可以选择正确的域。
双跃点 DMZ
如果在 Internet 和内部网络之间需要使用双跃点 DMZ,您可以将外部 DMZ 中的 Unified Access Gateway 设备部署为内部 DMZ 中的 Unified Access Gateway 的 Web 反向代理以创建双跃点 DMZ 配置。流量可通过每个 DMZ 层中的特定反向代理,但无法绕过 DMZ 层。有关配置详细信息,请参阅《部署和配置 VMware Unified Access Gateway》文档。