如何安装VMware虚拟安全设备VShield Manager

在VC上导入vShield虚拟机的OVA文件即可，具体管理可参照VMWARE官方手册

安装vShield Manager

vShield Manager可以从Vmware官方网站下载，大小为550MB。它被打包成一个包含所有vShield组件的虚拟设备。从点击文件部署开放虚拟器件开始，接着部署OVF模板。选择vShieldOVA文件，通过提供下述信息完成该向导。

• 虚拟机的名字；

• 虚拟机所在的主机服务器；

• 数据存储以及vShieldManager中虚拟网卡映射到的网络

• 向导中的网络映射部分显示非服务/管理控制台以及非VMkernel网络。因此如果在你的虚拟交换机vSwitch上只有一个网络，向导将自动选择这个网络，不必提供其他选择。

• 为了安全的最大化，把vShieldManager放在单独的管理网络中，这个管理网络能够和VCenter服务器和每个被保护主机上的vShield代理虚拟机建立连接。同样的，你不应该使用相同的端口组作为主机的服务/管理控制台或者VMkernel网络。

配置vShield Manager

一旦虚拟化安全器件部署完成，启动它然后配置网络信息。默认用户名是admin，密码是default。登录后，输入enable进入使能模式，使能模式是一个有更多特权的模式，类似于su。使能模式的默认密码也是default。输入setup命令，然后输入必需的网络信息，然后退出并重新登录使更改生效。

接下来，通过ping默认网关测试网络连通性。打开Web浏览器，输入vShield Manager的IP地址，登录进入vShield界面。登录的用户名和密码与命令行界面相同（分别为admin和default）。需要注意的是vShield界面是一个单独维护的帐号。

通过在配置选项卡上输入vCenter服务器信息，进行vShield Manager和vCenter服务器的信息同步。这个操作允许vShield Manager从vCenter服务器读取初始配置（也就是主机，虚拟机，集群，虚拟网卡），保持两端的信息同步。

1、准备使用Security Server

Security Server是一个运行部分 View Connection Server 功能的特殊 View Connection Server 实例。您可以使用Security Server在 Internet 和内部网络之间提供额外的安全保护层。

Security

Server位于 DMZ 内，充当受信任网络中的连接代理主机。每台Security Server均与一个 View Connection

Server 实例配对，并将所有流量转发给该实例。您可以将多个Security Server与一个连接服务器进行配对。这样的设计能保护 View

Connection Server 实例免受公共 Internet 的威胁，并强制所有无保护的会话请求经过Security

Server传输，从而提供额外的安全保护层。

基于 DMZ 的Security

Server部署要求打开防火墙上的一些端口，以允许客户端与 DMZ 内的Security

Server进行连接。您还需要配置端口，以供内部网络中的Security Server与 View Connection Server

实例通信使用。防火墙的详细配置请参考下文的配置。

由于用户直接连接到内部网络中的任何 View Connection Server 实例，因此您不必在基于 LAN 的部署中实施Security Server。

要

限制帧的广播范围，应在隔离的网络中部署与Security Server配对的 View Connection Server

实例。该拓扑结构有助于防止内部网络中的恶意用户监视Security Server与 View Connection Server

实例之间的通信。同时，您也可以使用网络交换机的高级安全功能，避免Security Server和 View Connection Server

的通信受到恶意监视，并抵御 ARP 缓存投毒 (ARP Cache Poisoning) 等监控攻击。

2、安装View Security Server环境要求

1) 硬件要求

硬件组件

需要

建议

中央处理器

Pentium IV 2.0 GHz 处理器或更

高版本

4 个 CPU

内存

如果是：Windows 2008 R2 64位

8GB RAM 或更高

建议使用Windows 2008 R2

内存

如果是：Windows 2003 32位

4 GB RAM 或更高

使用Windows 2003无法使用PCOIP协议进行广域网访问

网络要求

一个或多个 100M/1G bps 网络接口卡 (NIC)

建议使用2个NIC，一个指向内部网络和Connection Server 通讯，另一个通过NAT发布到公网用于外网访问连接

2) View Security Server支持的操作系统

操作系统

位数

版本

服务包

Windows 2008 R2

64位

Standard

Enterprise

无或SP1

Windows 2003 R2

32位

Standard

Enterprise

SP2

注 意：

Security

Server由于需要暴露在公网，所以建议不要加入域，同时建议先安装好最新补丁，防止系统受到病毒侵害和网络冲击。编者曾经在项目POC和实施过程中经

常遭到病毒骚扰，以至延误工期，而大部分安全问题都可以通过安装补丁方式进行解决。另外，您的计算机如果已经安装了IIS请在安装Connection

Server之前卸载。

3、Security Server网络拓扑结构

下面一张图展示了拓扑结构显示一个在 DMZ 中包含两台负载平衡Security Server的高可用性环境。Security Server与内部网络中的两个 View Connection Server 实例通信。

当远程用户连接Security Server时，他们必须成功通过身份验证，才可以访问 View 桌面。在这种拓扑结构中，DMZ 两端都实施了合适的防火墙规则，这种结构适用于通过 Internet 上的客户端设备来访问 View 桌面。

您可以为每个 View Connection Server 实例连接多个Security Server。您也可以将 DMZ 部署与标准部署结合使用，以便支持内部用户和外部用户访问。

4、安装View Security Server

---