本章中說明的部署案例可協助您找出並組織環境中的 Unified Access Gateway 部署。Unified Access Gateway 是一個通常安裝在非軍事區 (DMZ) 中的應用裝置,用來確保進入企業資料中心的流量僅僅是經過嚴格驗證的遠端使用者所產生的流量。
您可以使用 Horizon 8、Horizon Cloud Service、Workspace ONE Access 和 Workspace ONE UEM 部署Unified Access Gateway。
備註: 若要使用 Horizon Cloud Service 實作 Unified Access Gateway,請參閱位於
VMware Docs 的
《VMware Horizon Cloud Service - next-gen 指南》中的
部署 Horizon 8 Edge 以用於 Horizon 8 部署和 Horizon Cloud - next-gen 控制平面。
Unified Access Gateway 作為安全閘道
Unified Access Gateway 會將驗證要求導向至適當的伺服器,並捨棄所有未經驗證的要求。使用者只能存取其有權存取的資源。
Unified Access Gateway 還能確保經過驗證之使用者的流量只能導向該使用者真正有權使用的桌面平台和應用程式資源。這個層級的保護涉及具體檢測桌面平台通訊協定、協調可能迅速變動的原則和網路位址,以便精確地控制存取權限。
Unified Access Gateway 可作為您的公司信任網路內連線的 Proxy 主機。這種設計可為虛擬桌面平台、應用程式主機以及伺服器阻擋面向公眾的網際網路,因此提供了額外一層的安全保護。
Unified Access Gateway 專為 DMZ 所設計。以下是實作的強化設定。
- 最新 Linux 核心和軟體修補程式
- 適用於網際網路和內部網路流量的多重 NIC 支援
- 已停用 SSH
- 已停用 FTP、Telnet、Rlogin 或 Rsh 服務
- 已停用不需要的服務
使用 Unified Access Gateway 而非虛擬私人網路
Unified Access Gateway 與通用 VPN 解決方案很類似,因為它們都可確保僅在代表經過嚴格驗證的使用者時,才會將流量轉送至內部網路。
Unified Access Gateway 優於通用 VPN 的方面包括:
- Access Control Manager。Unified Access Gateway 會自動套用存取規則。Unified Access Gateway 會辨識使用者的權利和在內部連線所需的定址。VPN 也有相同的功效,因為大多數的 VPN 允許管理員分別針對每位使用者或使用者群組設定網路連線規則。剛開始,使用 VPN 可以順利運作,但需要投入大量的管理工作來維護必要規則。
- 使用者介面。Unified Access Gateway 不會變更簡潔的 Horizon Client 使用者介面。利用 Unified Access Gateway,當 Horizon Client 啟動時,經驗證的使用者會在其 Horizon Connection Server 環境中,並對其桌面平台和應用程式擁有受控制的存取權。根據 VPN 的要求,您必須先設定 VPN 軟體並分別進行驗證,然後才能啟動 Horizon Client。
- 效能。Unified Access Gateway 是專為將安全性和效能最大化而設計。有了 Unified Access Gateway,您不需要其他封裝就可以保護 PCoIP、HTML Access 及 WebSocket 通訊協定。VPN 會實作為 SSL VPN。此實作可滿足安全需求,而且在啟用傳輸層安全性 (Transport Layer Security, TLS) 的情況下,我們都會認為它們是安全的,不過使用 SSL/TLS 的基礎通訊協定只是以 TCP 為基礎。論及利用無連線 UDP 式傳輸的現代化視訊遠端通訊協定,當強制透過 TCP 型傳輸時,其效能優勢可能會大打折扣。這種說法不見得適用於所有 VPN 技術,因為能額外與 DTLS 或 IPsec (而非 SSL/TLS) 協同作業的技術也能與 Horizon Connection Server 桌面平台通訊協定搭配運作。