基于VMware-vSphere的简易桌面云解决方案

1、精选文档 基于 VMware vShpere 面向信息安全的 小型化桌面云方案 桌面虚拟化平台+企业信息安全解决方案 基于VMware vSphere 的桌面云（桌面虚拟化）方案 2016/8/15 目录 1 中小企业桌面信息安全 2 1-1中小企业的信息安全挑战 2 1-2简单、实用的安全桌面云系统 3 1-3务必使用企业级的虚拟化平台 4 2 面向信息安全的云桌面方案 5 2-1总体方案 5 2-2极简单的桌面云服务器 6 2-3数据存储的安全可靠 7 2-4网络接入层的安全保障 7 2-5数据访问的安全保证 7 2-6双网隔离的办公模式 7 3 最简单的部署方案 8 4 包含红、黄、绿区

2、的部署方案 9 5 双网口云终端的部署方案 11 6基本配置清单 12 6-1 硬件配置清单（ 50 办公型用户） 12 6-2 软件配置清单（ 50 办公型用户） 13 可编辑 精选文档 1 中小企业桌面信息安全 1-1 中小企业的信息安全挑战 根据 FBI 对近 500 家公司调查显示： 面对来自于公司内部的信息安全威胁， 85% 的安全损失是由企业 内部原因造成的。对那些来自公司内部的安全问题，不是靠单纯的安装杀毒软件和防火墙就能解决的。 如何面对桌面进行统一的管理，已经成为大多数公司 IT 管理的必要手段。其中包括： 统一的软件和应用程序安装； 统一规范桌面等级（分红、黄、绿不同的办公

3、区域） ； 统一终端设备接入办公网络的准入规则； 严格规范信息数据在不同等级桌面之间的流动等等。 中小企业的内部信息网络一般由终端、服务器、网络设施以及各种ERP、OA 、设计和生产系统组成。 除了常规的安装防病毒和防火墙软件之外，他们主要面临的桌面安全威胁有： PC 办公系统，磁盘损坏，桌面信息数据丢失； 非法设备接入网络，盗取信息资产； 移动介质（如 U 盘）通过桌面 PC 盗取信息资产； 内网设备连接互联网，通过邮件，上载，共享等手段，盗取信息资产； 中小企业在面临这些信息安全问题的时候，通常面临资金投入的压力，传统的桌面安全监控软件，上 网行为管理软件等等，价格相对比较昂贵，而且软件配

4、置复杂，只能解决部分问题。 同时传统的信息安全手段，通常是以牺牲员工和外界（互联网）联络为代价的。让员工的工作环境变 成了孤岛，既不利于员工创造性的发挥，也不利于资料查询和实时的信息获取。 挪里肓简 单，可拿 的低麻本 的信息安 全方案呢? 宪緡鑒能蛊矗養科 員工檢钢无意的 拷实疑覃悝內却翎丰 粤客迪过互麻网 硏取芷也吒頤厂I 信息安全风险是IT管理人员关注的焦点 1-2简单、实用的安全桌面云系统 基于Vmware vSphere虚拟化平台，通过 Deskpool构建信息安全的桌面办公系统，为中小企业提 供了一种低成本的，高强度安全的桌面解决方案。该系统主要通过以下几个技术手段为桌面信息安全提

5、供 保障： ? 基于桌面云的 Widnows 办公桌面系统，数据保存在数据中心， 有RAID级别的数据可靠性保障; ? 面向桌面云的数据备份策略，确保数据得到冗余保存； ? 基于桌面云的方案，提供了统一的软件安装和应用发布手段； ? 通过划分红、黄、绿不同的网络，实现信息资产与互联网和非法接入终端的隔离； ? 通过实施802.1X的终端设备接入认证，确保终端的合法接入； ? 通过使用禁止U盘读写的嵌入式云终端，堵住信息资产通过办公桌席流出的通道； ? 通过双网口的云终端，确保员工的办公坐席，能同时能访问相互隔离的红区和绿区的远程桌面； 实现一边安全办公一边上网冲浪的体验。 ? 企业级的虚拟化平

6、台(Vmware vSphere )，相对其它开源的虚拟化平台，提供更加高强度的企 业级可靠性。 緊止U盘扶 写的扳入勺 烬端设备 全圭煤的 中心 802 IxR络 接入认iJ 如黄、1 艮划麻 F双岡n於端 r疚现双远程 k桌面莊接 RAIW定 时备份的 敎撫專灾 多重手段保证信息安全 1-3务必使用企业级的虚拟化平台 处于基础设施层面的虚拟化操作系统，是保证企业应用能7x24小时稳定运行的关键因素。虽然目前 大量的机构投入了人力物力发展和包装开源的虚拟化系统，但笔者仍然极力向中小企业主们推荐企业级的 虚拟化操作系统，以确保服务的连续性。目前VMware的ESXi和微软的Hyper-V 是使

7、用最广泛的企业 级虚拟化平台，企业市场的占有率在 90%以上，而且都有免费版本供用户选择。面向中小企业信息安全的 云桌面方案首选Vmware和Hyper-V的虚拟化操作系统部署。 Scfra G;nr-ap i 2-?r 3 r二尹 可编辑 2015年Gartner的虚拟化平台分类 OA USB USB设备读写功能被禁止。 黄区 勰止z逊斥、Xl- 面向信息安全的云桌面解决方案示意图 2面向信息安全的云桌面方案 2-1总体方案 面向中小企业的云桌面解决方案，如下图所示，在网络划分上主要由红区、黄区和绿区组成。云桌面的用 户分为黄区用户和绿区用户。 黄区内的办公坐席用户使用云终端可以安全操作红区

8、内的云桌面和访问关键的信息资产（例如ERP、 或者生产系统等）。黄区的网络交换机、服务器和云终端等，都支持802.1X网络身份认证功能，云终端的 外设的读写功能被禁止。黄区在物理上与其它网络和互联网隔离。 绿区内的办公坐席用户使用云终端可以直接访问绿区内的云桌面，绿区内的云桌面可以自由访问互联网。 绿区内的办公坐席用户如果需要使用云终端访问红区内的云桌面，需要经过桌面云网关才能够访问。桌面云网 关具有单通的功能，可以禁止信息资产从黄区（红区）流向绿区。 还有一种办公坐席是使用双网口的云终端设备，一个网口连接黄区，另一个网口连接绿区。云终端通过两 个网口同时连接红区的云桌面和绿区的云桌面。用户可

9、以同时在两个云桌面上操作。实现安全办公和网络冲浪 两不误的工作模式。双网口云终端的 I ( -ik J-i:f 网络环境 面向信息安全的云桌面云解决方案的关键角色包括： 红区：通常是指受控的企业数据中心或者IT机房，部署了企业信息系统和桌面云服务器，红区是指被 严格管理的物理场所，只有授权用户才能进入的区域，通常它也会作为黄区的一部分存在。 黄区：是指对网络接入设备全部实施安全认证的网络区域，物理上黄区通常是和外界隔离的，是一个 信息孤岛。只有在部署了桌面云网关的时候，才可能允许信息单向流入，黄区内的办公桌席只使用受 控的云终端设备 绿区：是指网络上允许任何设备接入，也允许访问互联网的办公区域

10、。绿区的用户，可以使用云终端 或者PC办公，通过桌面云网关接入红区的远程桌面，再访问受保护的信息资产。 桌面云服务器： 是ESXi桌面云服务器，当它部署在红区，它发布的云桌面就可以方案关键信息资产， 如果部署在绿区，通常是给需要访问互联网的用户使用。 云终端：是每个办公桌席访问云桌面的终端设备。通常是嵌入式设备，本地不存储任何数据，只是作 为远程云桌面的显示设备以及键盘鼠标的输入设备，云终端的USB读写功能可以被禁止，防止通过U 盘等设备拷贝数据。云终端也可以是云客户端程序。 双网口的云终端：是指具有两个网口的云终端设备，可以同时连接两个不同网段的云桌面。 802.1X网络认证：是一种标准的网

11、络设备接入认证协议，一个启用了802.1X网络身份认证功能的区 域，需要交换机设备，服务器、云终端等所有网络节点支持802.1X认证协议。 桌面云网关：客户端和云桌面处于两个相互隔离的网络时，需要桌面云网关提供远程桌面的跨网段访 问功能，同时桌面云网关可以设置只允许数据单向导通的文件共享服务。 2-2极简单的桌面云服务器 众所周知，桌面云的部署一直是令IT人员的头痛的一项工作，比如XenDesktop Microsoft RDS VMware View等桌面解决方案，通常需要很强的背景知识，操作步骤繁琐，容易岀错；中小企业很难有配套的人员实施 和维护。相比之下，本云桌面解决方案将系统简化到极致

12、，所有的桌面云管理模块被集成到了一个虚拟机中， 桌面云的部署成为了服务器虚拟化上的虚拟机导入工序，简单易用。如下图: 一体化的系统架构 现在VMware vSphere的桌面系统部署也只需要导入Deskpool管理节点的虚拟机即可。IT管理员可以 在半小时内完成软件的安装和配置。 该桌面云解决方案，同时推荐使用 ARM-Li nux 的云终端设备，免安装、免维护，开机即用。在面向企业 用户的应用场景，还提供一下的软件功能： 外设重定向功能，兼容绝大多数外部设备。 提供 PC 客户端，充分利用现有 PC 资源。 虚拟设备映射功能，解决大流量的摄像头和高拍仪的应用问题。 功能强大的终端管理软件，轻

13、松实现云终端的集中管控。 双远程桌面协议支持： RDP8.1 和 PCoIP 。 2-3 数据存储的安全可靠 办公桌面被虚拟化在桌面云服务器，员工通过云终端访问桌面，数据全部在机房（红区）。 云桌面服务采用企业级硬盘和 RAID10 或 RAID5 的数据存储模式，提高可靠性。 红区与外网隔离，避免的病毒的侵扰和黑客的攻击。 2-4 网络接入层的安全保障 黄区的交换机设备支持 802.1x 网络接入认证（使用 MAC 地址绑定的方式，面临 MAC 地址欺诈的入 侵风险，存在较大的安全漏洞）。 黄区内所有的网络设备支持 802.1x 接入身份认证，只有经过授权的设备才能进入黄区网络。 云终端的

14、802.1x 认证信息用户不可见，由管理系统设置。 云终端恢复出厂设置， 802.1x 身份认证信息自动清除。 云终端支持证书管理，无合法证书的终端管理系统不能管理黄区的云终端。 2-5 数据访问的安全保证 黄区的云终端 USB 端口，设置为禁止数据文件的读和写。 云终端 USB 端口的读写设置，非授权用户不可见，也不可修改。 绿区的用户连接红区的云桌面，只能通过桌面云网关，桌面云网关提供远程桌面协议的桥接和数据文 件单向流动的服务。红区的数据只能进不能出。 2-6 双网隔离的办公模式 双网口的嵌入式云终端，可以提供双远程桌面连接服务，同时保证两个云桌面网络和数据的隔离。 使用双网口的嵌入式云

15、终端的用户，可一边访问红区的云桌面，同时访问绿区的云桌面。 双网口的嵌入式云终端接黄区的网口，持有合法的 802.1x 认证信息。 双网口的嵌入式云终端， USB 读写功能被禁止。 3最简单的部署方案 最简单的部署方案，只包含黄区和红区，甚至最小系统场景下，只包含红区。这种方案适合小型化用户, 对信息安全的需要比较简单粗糙。具有以下特点： 办公桌席的数量比较少 员工办公不允许上互联网 办公网络与外界完全隔离 数据中心（服务器）只能由管理员操作 802.1X的认证数据库内置在交换机中 Deskpool云桌面服务器 业务系统服务器 红区 DHC服务器 黄区 6P 4、内存插槽16个内存插槽； 5、总硬盘插槽8个SATA/SAS 硬盘插槽； 6、网卡4个千兆网口； 7、其他接口1个COM ； 2个USB ； 1个VGA ； 8、配置1+1冗余电源。 9、内存：待定 10、存储：待定 1台 桌面云网关 PC服务器 - 1台 网络设备 802.1X交换机 - 2台 交换机 - - 网线 - - 路由器 - - 办公坐位 云终端 A