Unified Access Gateway 應用裝置是用於從公司防火牆外部安全存取遠端桌面平台和應用程式的預設閘道。
如需最新版本的 Unified Access Gateway 說明文件,請參閱 https://docs.vmware.com/tw/Unified-Access-Gateway/index.html 中的《部署及設定 VMware Unified Access Gateway》文件。
Unified Access Gateway 應用裝置位於網路非軍事區 (DMZ) 內,可用作受信任網路內連線的 Proxy 主機,透過防護虛擬桌面平台、應用程式主機和伺服器不受面向公眾的網際網路所危害,以提供一層額外的安全性。
設定 Unified Access Gateway 應用裝置
Unified Access Gateway 與通用 VPN 解決方案很類似,因為它們都可確保僅在代表經過嚴格驗證的使用者時,才會將流量轉送至內部網路。
Unified Access Gateway 優於通用 VPN 的方面包括下列項目。
- Access Control Manager。Unified Access Gateway 會自動套用存取規則。Unified Access Gateway 會辨識使用者的權利和在內部連線所需的定址。VPN 也有相同的功效,因為大多數的 VPN 允許管理員分別針對每位使用者或使用者群組設定網路連線規則。剛開始,使用 VPN 可以順利運作,但需要投入大量的管理工作來維護必要規則。
- 使用者介面。Unified Access Gateway 不會變更簡潔的 Horizon Client 使用者介面。利用 Unified Access Gateway,當 Horizon Client 啟動時,經驗證的使用者會在其 View 環境中,並對其桌面平台和應用程式擁有受控制的存取權。根據 VPN 的要求,您必須先設定 VPN 軟體並分別進行驗證,然後才能啟動 Horizon Client。
- 效能。Unified Access Gateway 是專為將安全性和效能最大化而設計。有了 Unified Access Gateway,您不需要其他封裝就可以保護 PCoIP、HTML Access 及 WebSocket 通訊協定。VPN 會實作為 SSL VPN。此實作可滿足安全需求,而且在啟用傳輸層安全性 (Transport Layer Security, TLS) 的情況下,我們都會認為它們是安全的,不過使用 SSL/TLS 的基礎通訊協定只是以 TCP 為基礎。論及利用無連線 UDP 式傳輸的現代化視訊遠端通訊協定,當強制透過 TCP 型傳輸時,其效能優勢可能會大打折扣。這種說法不見得適用於所有 VPN 技術,因為能額外與 DTLS 或 IPsec (而非 SSL/TLS) 協同作業的技術也能與 Horizon 7 桌面平台通訊協定搭配運作。
使用 Unified Access Gateway 增強 Horizon 安全性
Unified Access Gateway 應用裝置利用將裝置憑證驗證分層放置在使用者驗證之上,讓您可以將存取限制為僅來自已知的良好裝置,並在虛擬桌面平台基礎結構上新增另一層的安全性,藉此增強安全性。
備註: 僅在 Windows 版
Horizon Client 中支援此功能。
- 請參閱 https://docs.vmware.com/tw/Unified-Access-Gateway/index.html 之《部署及設定 VMware Unified Access Gateway》文件中的〈在 Unified Access Gateway 應用裝置上設定憑證或智慧卡驗證〉。
- 除了 Unified Access Gateway 上提供的其他使用者驗證服務之外,「端點符合性檢查」功能為存取 Horizon 桌面平台提供一層額外的安全性。請參閱《部署及設定 VMware Unified Access Gateway》文件中的〈Horizon 的端點符合性檢查〉,網址為 https://docs.vmware.com/tw/Unified-Access-Gateway/index.html。
重要: 如果
Unified Access Gateway 應用裝置已設定使用雙因素驗證 (RSA SecureID 和 RADIUS) 並啟用 Windows 使用者名稱比對,且具有多個使用者網域,您應該啟用連線伺服器以傳送網域清單,讓使用者在使用 Windows 使用者名稱和密碼進行驗證時可以選取正確的網域。
雙躍點 DMZ
對於在網際網路與內部網路之間需要雙躍點 DMZ 的情況,您可以將外部 DMZ 中的 Unified Access Gateway 應用裝置部署為內部 DMZ 中 Unified Access Gateway 的 Web Reverse Proxy,以建立雙躍點 DMZ 組態。流量可透過每個 DMZ 層中的特定 Reverse Proxy 傳遞,但無法略過 DMZ 層。如需組態詳細資料,請參閱《部署及設定 VMware Unified Access Gateway》文件。