日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
ASA技術(shù)提示:安全地部署SSLVPN以及VMwareView

【.com 獨家譯稿】我將為大家介紹如何在將VMware View部署在自己無法控制或不受信任的主機上時,利用思科的SSL VPN來保障其運行安全。由于自備電腦進行工作的風(fēng)氣愈發(fā)盛行,加之VDI也開始涉及B2B(即企業(yè)間業(yè)務(wù)往來,尤其是供應(yīng)商與承包商之間)合作伙伴間的訪問業(yè)務(wù),如何安全地將VDI部署于其中就顯得格外重要。在這里我會提出一些建議,幫助大家利用思科的ASA SSL VPN方案保證View運行環(huán)境的安全穩(wěn)定。

創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供和布克賽爾蒙古網(wǎng)站建設(shè)、和布克賽爾蒙古做網(wǎng)站、和布克賽爾蒙古網(wǎng)站設(shè)計、和布克賽爾蒙古網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計與制作、和布克賽爾蒙古企業(yè)網(wǎng)站模板建站服務(wù),10余年和布克賽爾蒙古做網(wǎng)站經(jīng)驗,不只是建網(wǎng)站,更提供有價值的思路和整體網(wǎng)絡(luò)服務(wù)。

1.對基于SSL VPN portal的無客戶端瀏覽器網(wǎng)絡(luò)用戶進行驗證。盡可能地使用雙重身份驗證。也就是說利用AD值(即距離值)及認(rèn)證證書這兩種因素協(xié)同審核。

2.鎖定思科的非客戶端portal并清空瀏覽器的緩存。緩存清空是指刪除掉cookie信息、臨時文件等瀏覽器所保存的資料,注意這時需要斷開SSL VPN。

 #p#

3.在身份驗證通過之后,盡快安裝并運行思科AnyConnect SSL VPN客戶端。這一過程將設(shè)置一套來自主機的完整VPN通路。大家所設(shè)定的anyconnect以及portal集群方案會自動安裝。

我們在集群方案中所配置的整套VPN通路如下所示

4.Anyconnect將會對主機狀態(tài)進行評估,以確保該主機已經(jīng)安裝了所有必要的補丁、執(zhí)行了安全控制工具并具備正確的硬件運行要求。大家也可以進行檢查,看看這臺企業(yè)所有或是企業(yè)控制的主機是否應(yīng)用了認(rèn)證檢查或注冊檢查。首先在集群方案中設(shè)置如下狀態(tài)模塊。

接下來,下圖為設(shè)置并啟用主機掃描

 #p#

然后在CSD主機掃描中啟用高級端點評估

最后,配置DAP(即數(shù)據(jù)獲取與處理)以檢查主機狀態(tài)及AAA認(rèn)證(即身份驗證、授權(quán)及統(tǒng)計)。

5.在狀態(tài)評估階段,大家同樣要進行檢查以確保主機上安裝并運行了防病毒客戶端,且已升級至最新版本。我們還將依靠A/V客戶端來檢測系統(tǒng)中是否存在鍵盤記錄程序。如果A/V客戶端不是最新版本,Anyconnect能夠自動為其升級。#p#

6.根據(jù)狀態(tài)評估掃描所反饋的結(jié)果來執(zhí)行任何自動或手動的修復(fù)工作。而如果主機被證明存在重大的安全問題,客戶端會自動斷開連接。

7.為VMware View設(shè)置執(zhí)行方案,以確保以下項目被鎖定

一、剪貼板功能被鎖定以保證剪切、粘貼、復(fù)制這些操作從VDI到主機都無法進行;

二、禁用所有的主機驅(qū)動器從/到VDI主機的讀寫操作(包括USB接口、映射驅(qū)動器以及本地硬盤驅(qū)動器訪問等等)

8.在主機上自動安裝(如果尚未安裝)并運行View客戶端。這可以通過讓Anycconect在網(wǎng)絡(luò)連接上運行腳本的方式實現(xiàn)。VBS(即采用VB編寫的腳本)或bat(即批處理文件)腳本將對View客戶端進行檢查,若該客戶端不存在,則腳本會進行下載并安裝。如果View客戶端已存在,則腳本會將其啟動。

9.對那些能夠在View和Anycconect會話處于活動狀態(tài)時運行的應(yīng)用程序進行鎖定。大家可以通過建立應(yīng)用程序白名單或者黑名單的方式來達到這種運行控制要求。要實現(xiàn)此功能,我們需要將主機注冊表中的信息利用前面提到的腳本進行修改。而想要將這些變更進行移除,大家要利用到脫機腳本。#p#

以下是一個VBS腳本范例,大家可以根據(jù)自己的使用習(xí)慣進行修改。只要將其載入ASA防火墻即可。

 
 
 
 
    
  
  
  
  
  1. If WScript.Arguments.length =0 Then 
    2. 
  
  
  
  
  2. 'run script as administrator 
    3. 
  
  
  
  
  3. Set objShell = CreateObject("Shell.Application") 
    4. 
  
  
  
  
  4. 'Pass a bogus argument with leading blank space, say [ uac] 
    5. 
  
  
  
  
  5. objShell.ShellExecute "wscript.exe", Chr(34) & _ 
    6. 
  
  
  
  
  6. WScript.ScriptFullName & Chr(34) & " uac", "", "runas", 1 
    7. 
  
  
  
  
  7. Else 
    8. 
  
  
  
  
  8. 'Add your code here 
    9. 
  
  
  
  
  9. Dim WshShell 
    10. 
  
  
  
  
  10. Set WshShell = WScript.CreateObject("WScript.Shell") 
    11. 
  
  
  
  
  11. 'code to prevent certain apps from running 
    12. 
  
  
  
  
  12. WshShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun", 1, "REG_DWORD"
    13. 
  
  
  
  
  13. WshShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer", "DisallowRun"
    14. 
  
  
  
  
  14. WshShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\1", "calc.exe", "REG_SZ"
    15. 
  
  
  
  
  15. 'Code to open ie and direct it to vmware view download page 
    16. 
  
  
  
  
  16. wshShell.run "iexplore.exe -new http://downloads.vmware.com/d/info/desktop_downloads/vmware_view/4_6"
    17. 
  
  
  
  
  17. 'code to start an application on the host 
    18. 
  
  
  
  
  18. 'wshShell.run "c:\Program Files\VMware\VMware View\Client\bin\wswc.exe"
    19. 
  
  
  
  
  19. wshShell.run "%windir%\system32\notepad.exe"
    20. 
  
  
  
  
  20. End If 
    21. 
  
  
  
  
  21. Set WshShell = Nothing
    22.

這里是為大家準(zhǔn)備的VBS脫機腳本范例

 
 
 
 
    
  
  
  
  
  1. If WScript.Arguments.length =0 Then 
    2. 
  
  
  
  
  2. 'run script as administrator 
    3. 
  
  
  
  
  3. Set objShell = CreateObject("Shell.Application") 
    4. 
  
  
  
  
  4. 'Pass a bogus argument with leading blank space, say [ uac] 
    5. 
  
  
  
  
  5. objShell.ShellExecute "wscript.exe", Chr(34) & _ 
    6. 
  
  
  
  
  6. WScript.ScriptFullName & Chr(34) & " uac", "", "runas", 1 
    7. 
  
  
  
  
  7. Else 
    8. 
  
  
  
  
  8. 'Add your code here 
    9. 
  
  
  
  
  9. Dim WshShell 
    10. 
  
  
  
  
  10. Set WshShell = WScript.CreateObject("WScript.Shell") 
    11. 
  
  
  
  
  11. 'code to undo DisallowRun registry keys 
    12. 
  
  
  
  
  12. WshShell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun", 0, "REG_DWORD" 
    13. 
  
  
  
  
  13. WshShell.RegDelete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\" 
    14. 
  
  
  
  
  14. End If
    15.

#p#

10.回到終止SSL VPN通路的ASA設(shè)備頭端,我們將希望能盡快為其分配防火墻保障體系。理想狀況下我們只允許作為通路的主機與自己的VMware View服務(wù)器會話,且該會話應(yīng)通過指定的端口實現(xiàn)。

11.ASA設(shè)備上將運行僵尸網(wǎng)絡(luò)過濾及全套IPS(即互聯(lián)網(wǎng)協(xié)議群)。在主機安全控制的幫助下,這些客戶端將使整個通路覆蓋于僵尸網(wǎng)絡(luò)過濾機制之下,而且IPS會識別出所有來自接入主機的惡意軟件。首先如下圖所示,啟用僵尸網(wǎng)絡(luò)過濾功能。然后啟用dns監(jiān)控并對流量配置進行設(shè)定以對全部或是指定接口進行掃描。最后,根據(jù)危險級別對操作模塊進行配置。

 #p#

12.別忘了關(guān)注View 桌面程序自身的安全。正在運行的應(yīng)該是A/V,PFW(即任務(wù)進程信息),A/S等等,類似一般主機的常見狀態(tài)。我們同樣要像在一般主機上那樣處理這些程序的網(wǎng)絡(luò)接入及安全問題。這意味著將其數(shù)據(jù)包運行在IPS,防火墻以及網(wǎng)頁過濾功能等等的保護之下。由于vSphere服務(wù)器的固有漏洞具有相當(dāng)大的安全隱患(目前所有view桌面程序都存在該漏洞),因此我們一定要最大限度地發(fā)揮VMware vSphere服務(wù)器自身的基礎(chǔ)保護能力。

在部署的過程中,我們有許多情況要考慮并制定出解決方案。希望我的文章能為大家提供一點幫助。如果大家認(rèn)為我在某些方面有所遺漏,請留言告知。當(dāng)然,我在文中所提到的方法絕不是惟一的,大家可以隨意挑選自己更喜歡的方案來達到目的。

這是一篇ASA管理員指南文章的鏈接

http://www.cisco.com/en/US/products/ps6120/products_installation_and_con...

www.cisco.com/go/asa

這是一篇VMware View介紹文檔的鏈接

http://www.vmware.com/support/pubs/view_pubs.html


網(wǎng)頁題目:ASA技術(shù)提示:安全地部署SSLVPN以及VMwareView
網(wǎng)址分享:http://www.5511xx.com/article/cdojgig.html