【51CTO.com 獨(dú)家譯稿】我將為大家介紹如何在將VMware View部署在自己無法控制或不受信任的主機(jī)上時(shí)，利用思科的SSL VPN來保障其運(yùn)行安全。由于自備電腦進(jìn)行工作的風(fēng)氣愈發(fā)盛行，加之VDI也開始涉及B2B（即企業(yè)間業(yè)務(wù)往來，尤其是供應(yīng)商與承包商之間）合作伙伴間的訪問業(yè)務(wù)，如何安全地將VDI部署于其中就顯得格外重要。在這里我會(huì)提出一些建議，幫助大家利用思科的ASA SSL VPN方案保證View運(yùn)行環(huán)境的安全穩(wěn)定。

1.對(duì)基于SSL VPN portal的無客戶端瀏覽器網(wǎng)絡(luò)用戶進(jìn)行驗(yàn)證。盡可能地使用雙重身份驗(yàn)證。也就是說利用AD值（即距離值）及認(rèn)證證書這兩種因素協(xié)同審核。

2.鎖定思科的非客戶端portal并清空瀏覽器的緩存。緩存清空是指刪除掉cookie信息、臨時(shí)文件等瀏覽器所保存的資料，注意這時(shí)需要斷開SSL VPN。

 #p#

3.在身份驗(yàn)證通過之后，盡快安裝并運(yùn)行思科AnyConnect SSL VPN客戶端。這一過程將設(shè)置一套來自主機(jī)的完整VPN通路。大家所設(shè)定的anyconnect以及portal集群方案會(huì)自動(dòng)安裝。

我們在集群方案中所配置的整套VPN通路如下所示

4.Anyconnect將會(huì)對(duì)主機(jī)狀態(tài)進(jìn)行評(píng)估，以確保該主機(jī)已經(jīng)安裝了所有必要的補(bǔ)丁、執(zhí)行了安全控制工具并具備正確的硬件運(yùn)行要求。大家也可以進(jìn)行檢查，看看這臺(tái)企業(yè)所有或是企業(yè)控制的主機(jī)是否應(yīng)用了認(rèn)證檢查或注冊檢查。首先在集群方案中設(shè)置如下狀態(tài)模塊。

接下來，下圖為設(shè)置并啟用主機(jī)掃描 

 #p#

然后在CSD主機(jī)掃描中啟用高級(jí)端點(diǎn)評(píng)估

最后，配置DAP（即數(shù)據(jù)獲取與處理）以檢查主機(jī)狀態(tài)及AAA認(rèn)證（即身份驗(yàn)證、授權(quán)及統(tǒng)計(jì)）。

5.在狀態(tài)評(píng)估階段，大家同樣要進(jìn)行檢查以確保主機(jī)上安裝并運(yùn)行了防病毒客戶端，且已升級(jí)至最新版本。我們還將依靠A/V客戶端來檢測系統(tǒng)中是否存在鍵盤記錄程序。如果A/V客戶端不是最新版本，Anyconnect能夠自動(dòng)為其升級(jí)。#p#

6.根據(jù)狀態(tài)評(píng)估掃描所反饋的結(jié)果來執(zhí)行任何自動(dòng)或手動(dòng)的修復(fù)工作。而如果主機(jī)被證明存在重大的安全問題，客戶端會(huì)自動(dòng)斷開連接。

7.為VMware View設(shè)置執(zhí)行方案，以確保以下項(xiàng)目被鎖定

一、剪貼板功能被鎖定以保證剪切、粘貼、復(fù)制這些操作從VDI到主機(jī)都無法進(jìn)行；

二、禁用所有的主機(jī)驅(qū)動(dòng)器從/到VDI主機(jī)的讀寫操作（包括USB接口、映射驅(qū)動(dòng)器以及本地硬盤驅(qū)動(dòng)器訪問等等）

8.在主機(jī)上自動(dòng)安裝（如果尚未安裝）并運(yùn)行View客戶端。這可以通過讓Anycconect在網(wǎng)絡(luò)連接上運(yùn)行腳本的方式實(shí)現(xiàn)。VBS（即采用VB編寫的腳本）或bat（即批處理文件）腳本將對(duì)View客戶端進(jìn)行檢查，若該客戶端不存在，則腳本會(huì)進(jìn)行下載并安裝。如果View客戶端已存在，則腳本會(huì)將其啟動(dòng)。

9.對(duì)那些能夠在View和Anycconect會(huì)話處于活動(dòng)狀態(tài)時(shí)運(yùn)行的應(yīng)用程序進(jìn)行鎖定。大家可以通過建立應(yīng)用程序白名單或者黑名單的方式來達(dá)到這種運(yùn)行控制要求。要實(shí)現(xiàn)此功能，我們需要將主機(jī)注冊表中的信息利用前面提到的腳本進(jìn)行修改。而想要將這些變更進(jìn)行移除，大家要利用到脫機(jī)腳本。#p#

以下是一個(gè)VBS腳本范例，大家可以根據(jù)自己的使用習(xí)慣進(jìn)行修改。只要將其載入ASA防火墻即可。

If WScript.Arguments.length =0 Then  
'run script as administrator  
Set objShell = CreateObject("Shell.Application")  
'Pass a bogus argument with leading blank space, say [ uac]  
objShell.ShellExecute "wscript.exe", Chr(34) & _  
WScript.ScriptFullName & Chr(34) & " uac", "", "runas", 1  
Else  
'Add your code here  
Dim WshShell  
Set WshShell = WScript.CreateObject("WScript.Shell")  
'code to prevent certain apps from running  
WshShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun", 1, "REG_DWORD" 
WshShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer", "DisallowRun" 
WshShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\1", "calc.exe", "REG_SZ" 
'Code to open ie and direct it to vmware view download page  
wshShell.run "iexplore.exe -new http://downloads.vmware.com/d/info/desktop_downloads/vmware_view/4_6" 
'code to start an application on the host  
'wshShell.run "c:\Program Files\VMware\VMware View\Client\bin\wswc.exe" 
wshShell.run "%windir%\system32\notepad.exe" 
End If  
Set WshShell = Nothing 

這里是為大家準(zhǔn)備的VBS脫機(jī)腳本范例

If WScript.Arguments.length =0 Then  
'run script as administrator  
Set objShell = CreateObject("Shell.Application")  
'Pass a bogus argument with leading blank space, say [ uac]  
objShell.ShellExecute "wscript.exe", Chr(34) & _  
WScript.ScriptFullName & Chr(34) & " uac", "", "runas", 1  
Else  
'Add your code here  
Dim WshShell  
Set WshShell = WScript.CreateObject("WScript.Shell")  
'code to undo DisallowRun registry keys  
WshShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun", 0, "REG_DWORD"  
WshShell.RegDelete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\"  
End If 

#p#

10.回到終止SSL VPN通路的ASA設(shè)備頭端，我們將希望能盡快為其分配防火墻保障體系。理想狀況下我們只允許作為通路的主機(jī)與自己的VMware View服務(wù)器會(huì)話，且該會(huì)話應(yīng)通過指定的端口實(shí)現(xiàn)。

11.ASA設(shè)備上將運(yùn)行僵尸網(wǎng)絡(luò)過濾及全套IPS（即互聯(lián)網(wǎng)協(xié)議群）。在主機(jī)安全控制的幫助下，這些客戶端將使整個(gè)通路覆蓋于僵尸網(wǎng)絡(luò)過濾機(jī)制之下，而且IPS會(huì)識(shí)別出所有來自接入主機(jī)的惡意軟件。首先如下圖所示，啟用僵尸網(wǎng)絡(luò)過濾功能。然后啟用dns監(jiān)控并對(duì)流量配置進(jìn)行設(shè)定以對(duì)全部或是指定接口進(jìn)行掃描。最后，根據(jù)危險(xiǎn)級(jí)別對(duì)操作模塊進(jìn)行配置。

 #p#

12.別忘了關(guān)注View 桌面程序自身的安全。正在運(yùn)行的應(yīng)該是A/V，PFW（即任務(wù)進(jìn)程信息），A/S等等，類似一般主機(jī)的常見狀態(tài)。我們同樣要像在一般主機(jī)上那樣處理這些程序的網(wǎng)絡(luò)接入及安全問題。這意味著將其數(shù)據(jù)包運(yùn)行在IPS，防火墻以及網(wǎng)頁過濾功能等等的保護(hù)之下。由于vSphere服務(wù)器的固有漏洞具有相當(dāng)大的安全隱患（目前所有view桌面程序都存在該漏洞），因此我們一定要最大限度地發(fā)揮VMware vSphere服務(wù)器自身的基礎(chǔ)保護(hù)能力。

在部署的過程中，我們有許多情況要考慮并制定出解決方案。希望我的文章能為大家提供一點(diǎn)幫助。如果大家認(rèn)為我在某些方面有所遺漏，請(qǐng)留言告知。當(dāng)然，我在文中所提到的方法絕不是惟一的，大家可以隨意挑選自己更喜歡的方案來達(dá)到目的。

這是一篇ASA管理員指南文章的鏈接

http://www.cisco.com/en/US/products/ps6120/products_installation_and_con...

www.cisco.com/go/asa

這是一篇VMware View介紹文檔的鏈接

http://www.vmware.com/support/pubs/view_pubs.html

原文鏈接：http://www.networkworld.com/community/node/73261

【51CTO.com獨(dú)家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請(qǐng)注明原文出處及出處！】

【編輯推薦】

1. NASA服務(wù)器被曝存在重大安全隱患
2. 思科ASA防火墻實(shí)現(xiàn)動(dòng)態(tài)路由協(xié)議的全冗余
3. 企業(yè)為什么需要SSL VPN
4. 如何使用Safe3 Web應(yīng)用防火墻