189 8069 5689
经过一段时间的努力,我已经搭建好了VMware View 5的测试环境,整个测试环境如图1所示。
创新互联公司主要从事成都网站设计、成都做网站、网页设计、企业做网站、公司建网站等业务。立足成都服务长春,十载网站建设经验,价格优惠、服务专业,欢迎来电咨询建站服务:13518219792
图1 VMware View测试环境
在图1的环境中,主要由2台DL388G7、16GB内存、Intel E5620CPU、4千兆网卡的服务器组成。VMware View Connection Server(简称VCS)、VCS安全连接服务器、vCenter Server(简称VC)、Active Directory服务器、DHCP与WSUS服务器运行在其中的一台服务器中,Windows 7与Windows XP虚拟桌面模板也运行在这台服务器中。而另一台服务器则承载Windows 7、Windows XP的虚拟桌面池与Windows Server 2003终端虚拟桌面。在网络的出口,由一台路由器连接到Internet。在网络中,还有一台证书服务器。在Internet网络中,使用不同的系统、PC机、笔记本、平板,安装VMware View Client使用VMware View 5虚拟桌面。
【说明】(1)如果VMware View 5虚拟桌面只在局域网中使用,则不需要配置VMware VCS安全连接服务器。
(2)在路由器中,需要将TCP的443端口、TCP与UDP的4172端口映射到VCS安全连接服务器。
(3)在使用VMware View虚拟桌面时,需要使用证书服务器。
有关VMware VCS服务器的安装与配置会在后面的文章中介绍,本文介绍在IPAD2中使用VMware View Client的内容。
在IPAD2中使用VMware View Client的主要步骤如下。
(1)安装信任证书颁发机构,如图2~图4所示。
图2 在IPAD2中登录证书颁发机构
图3 当前证书不可信,选择“安装”
图4 安装证书完成
(2)安装VMware View For IPAD客户端,你可以直接在Itunes中搜索下载,该程序免费。
(3)安装完成后,运行VMware View程序,如图5所示。
图5 运行VMware View
(4)单击右面的“+”添加服务器的地址,注意,需要使用域名而不是IP地址。添加之后,连接该服务器,输入VMware View用户名与密码,如图6所示。
图6 输入用户名与密码
(5)从列表中,选择一个虚拟桌面,当前配置了Windows 7与Windows Server 2003的虚拟桌面,在此选择Windows 7虚拟桌面,如图7所示。
图7 Windows 7虚拟桌面
【说明】VMware View For IPAD只支持PCoIP协议的虚拟桌面,不能使用RDP协议连接VMware View虚拟桌面。所以,如果是基于终端的VMware View虚拟桌面,在IPAD中不受支持。
(6)稍后会登录到虚拟桌面,如图8所示。
图8 登录到虚拟桌面
(7)在第一次登录时,会显示“手势”的帮助,如图9所示。
图9 手势帮助
稍后的时候,你也可以单击屏幕上方中间的按钮,在“帮助”中显示这个手势帮助。
(8)这是在Windows 7虚拟桌面中使用Office 2010的内容,如图10所示。
图10 使用Office 2010
小记:
在VMware View虚拟桌面中,如果要前后翻页,除了拖动右侧的滑动条外,还可以用“手势(双指上下动)”上下滚动,不能像在IPAD的界面中,直接用手拖动。
1、准备使用Security Server
Security Server是一个运行部分 View Connection Server 功能的特殊 View Connection Server 实例。您可以使用Security Server在 Internet 和内部网络之间提供额外的安全保护层。
Security
Server位于 DMZ 内,充当受信任网络中的连接代理主机。每台Security Server均与一个 View Connection
Server 实例配对,并将所有流量转发给该实例。您可以将多个Security Server与一个连接服务器进行配对。这样的设计能保护 View
Connection Server 实例免受公共 Internet 的威胁,并强制所有无保护的会话请求经过Security
Server传输,从而提供额外的安全保护层。
基于 DMZ 的Security
Server部署要求打开防火墙上的一些端口,以允许客户端与 DMZ 内的Security
Server进行连接。您还需要配置端口,以供内部网络中的Security Server与 View Connection Server
实例通信使用。防火墙的详细配置请参考下文的配置。
由于用户直接连接到内部网络中的任何 View Connection Server 实例,因此您不必在基于 LAN 的部署中实施Security Server。
要
限制帧的广播范围,应在隔离的网络中部署与Security Server配对的 View Connection Server
实例。该拓扑结构有助于防止内部网络中的恶意用户监视Security Server与 View Connection Server
实例之间的通信。同时,您也可以使用网络交换机的高级安全功能,避免Security Server和 View Connection Server
的通信受到恶意监视,并抵御 ARP 缓存投毒 (ARP Cache Poisoning) 等监控攻击。
2、安装View Security Server环境要求
1) 硬件要求
硬件组件
需要
建议
中央处理器
Pentium IV 2.0 GHz 处理器或更
高版本
4 个 CPU
内存
如果是:Windows 2008 R2 64位
8GB RAM 或更高
建议使用Windows 2008 R2
内存
如果是:Windows 2003 32位
4 GB RAM 或更高
使用Windows 2003无法使用PCOIP协议进行广域网访问
网络要求
一个或多个 100M/1G bps 网络接口卡 (NIC)
建议使用2个NIC,一个指向内部网络和Connection Server 通讯,另一个通过NAT发布到公网用于外网访问连接
2) View Security Server支持的操作系统
操作系统
位数
版本
服务包
Windows 2008 R2
64位
Standard
Enterprise
无或SP1
Windows 2003 R2
32位
Standard
Enterprise
SP2
注 意:
Security
Server由于需要暴露在公网,所以建议不要加入域,同时建议先安装好最新补丁,防止系统受到病毒侵害和网络冲击。编者曾经在项目POC和实施过程中经
常遭到病毒骚扰,以至延误工期,而大部分安全问题都可以通过安装补丁方式进行解决。另外,您的计算机如果已经安装了IIS请在安装Connection
Server之前卸载。
3、Security Server网络拓扑结构
下面一张图展示了拓扑结构显示一个在 DMZ 中包含两台负载平衡Security Server的高可用性环境。Security Server与内部网络中的两个 View Connection Server 实例通信。
当远程用户连接Security Server时,他们必须成功通过身份验证,才可以访问 View 桌面。在这种拓扑结构中,DMZ 两端都实施了合适的防火墙规则,这种结构适用于通过 Internet 上的客户端设备来访问 View 桌面。
您可以为每个 View Connection Server 实例连接多个Security Server。您也可以将 DMZ 部署与标准部署结合使用,以便支持内部用户和外部用户访问。
4、安装View Security Server
1) 配置Security Server的配对密码
安装Security Server之前,您必须配置Security Server配对密码。View Connection Server 安装程序会在安装过程中提示您输入该密码。
Security Server配对密码是一次性密码,允许Security Server与 View Connection Server 实例配对。密码被提供给 View Connection Server 安装程序后,就会变成无效密码。
步骤:
1 在 View Administrator 中,选择 [View Configuration(View 配置)] [Servers(服务器)]。
2 在 [View Server] 窗格中,选择要与Security Server配对的 View Connection Server 实例。
3 从 [More Commands(更多命令)] 下拉菜单中选择 [Specify Security Server Pairing Password(指定Security Server配对密码)]。
4 在 [Pairing password(配对密码)] 和 [Confirm password(确认密码)] 文本框中分别键入密码并指定密码超时值。
您必须在指定的超时期限内使用密码。
5 单击 [OK(确定)] 配置密码。
2) 安装Security Server
1Security Server使用的安装介质,和Connection Server相同。
将
“VMware-viewconnectionserver-x86_64-5.0.0-481677.exe”,拷贝到Security
Server上,Security Server建议使用物理服务器,操作系统建议Windows Server 2008
R2。如果是32位操作系统,请选择正确的Connection Server安装包。
2 启动 View Connection Server 安装程序,请双击安装程序文件。
3 接受 VMware 许可条款。
4 接受或更改目标文件夹。
5 选择 [View Security Server] 安装选项。
6 在 [Server(服务器)] 文本框中键入要与Security Server配对的 View Connection Server 实例的主机域名全称或 IP 地址。
Security Server会将网络流量转发到此 View Connection Server 实例。
7 在 [Password(密码)] 文本框中键入Security Server配对密码。
如果密码已过期,可以使用 View Administrator 配置一个新密码,然后在安装程序中键入新密码。
8 在 [External URL(外部 URL)] 文本框中,为使用 RDP 或 PCoIP 显示协议的 View Client 键入Security Server的外部 URL。
URL 必须包含协议、客户端可解析的Security Server名或 IP 地址以及端口号。在网络外运行的安全加密链路客户端会使用该 URL 连接Security Server。
例如:
9 在 [PCoIP External URL(PCoIP 外部 URL)] 文本框中,为使用 PCoIP 显示协议的 View Client 键入Security Server的外部 URL。
将 PCoIP 外部 URL 指定为包含端口号 4172 的 IP 地址。请勿包含协议名。
例如: 10.20.30.40:4172
URL 中必须包含能供客户端系统连接到Security Server的 IP 地址和端口号。仅在Security Server上安装了 PCoIP安全网关的情况下,您才可以在该文本框中键入内容。
10 如果您在 Windows Server 2008 上安装Security Server,请选择如何配置 Windows 防火墙服务。
选项操作
Configure Windows Firewall automatically(自动配置 Windows 防火墙)
让安装程序将 Windows 防火墙配置为允许所需的网络连接。
Do not configure Windows Firewall
(不配置 Windows 防火墙)
手动配置 Windows 防火墙规则。如果在 Windows Server 2003 R2 上安装Security Server,必须手动配置所需的 Windows 防火墙规则。
11 完成安装向导以完成安装Security Server。
Security Server服务将安装在 Windows Server 计算机中:
VMware View Security Server
VMware View Framework 组件
VMware View Security Gateway 组件
VMware View PCoIP 安全网关
5、在View Manager中配置 Security Server
在View Manager的管理界面上,点击servers:
在右上角Security Server栏中,点击edit
在相应位置填入Security Server外网IP
在下方Connection Server配置的地方,点击Edit
在相应位置填入Connection Server 本身的IP地址:192.168.1.202
如
果Connection Server安装在Windows Server 2003上,下面一栏“PCOIP External
URL”是灰色的,当勾选“Use PCOIP Secure Gateway for PCOIP connections to
desktop”时,可以忽略警告
6、配置防火墙规则
基于 DMZ 的Security Server部署中必须包含两个防火墙。
需要部署一个面向外部网络的前端防火墙,用于保护 DMZ 和内部网络。您需要将该防火墙配置为允许外部网络流量到达 DMZ。
需要在 DMZ 和内部网络之间部署一个后端防火墙,用于提供第二层安全保障。您需要将该防火墙配置为仅接受 DMZ 内的服务产生的流量。
防火墙策略可严格控制来自 DMZ 服务的入站通信,这样将大幅降低内部网络泄露的风险。
基于 DMZ 的Security Server的防火墙规则
您需要为基于 DMZ 的Security Server配置特定的前端防火墙规则和后端防火墙规则。
1)前端防火墙规则
要允许外部客户端设备连接到 DMZ 中的Security Server,前端防火墙必须允许特定 TCP 和 UDP 端口上的流量。
2)后端防火墙规则
要
允许Security Server与内部网络中的每个 View Connection Server 实例通信,后端防火墙必须允许特定 TCP
端口上的入站流量。位于后端防火墙后面的内部防火墙必须采用类似配置,以允许 View 桌面和 View Connection Server
实例相互通信。
用于 View Connection Server 相互通信的 TCP 端口
View
Connection Server 实例组使用其他 TCP 端口来相互通信。例如,View Connection Server 实例使用端口
4100 来相互传输 JMS 路由器之间 (JMSIR) 的流量。同一组中的 View Connection Server
实例之间一般不使用防火墙
3)View Connection Server 的防火墙规则
在防火墙上必须为 View Connection Server 实例及Security Server打开某些端口。
在
Windows Server 2008 上安装 View Connection Server 时,安装程序可为您配置所需的 Windows
防火墙规则(可选)。在 Windows Server 2003 R2 上安装 View Connection Server
时,必须手动配置所需的 Windows防火墙规则。
4)View Agent 的防火墙规则
View Agent 安装程序会打开防火墙上的特定 TCP 端口。如非特别注明,端口均为传入端口。
5) PCoIP 安全网关
从
View 4.6 开始,Security Server中包含一个 PCoIP 安全网关组件。在启用了 PCoIP
安全网关的情况下,通过身份验证后,使用 PCoIP 协议的 View 客户端可与Security
Server再建立一条安全连接。此连接允许远程客户端通过 Internet 访问 View 桌面。
启用 PCoIP 安全网关组件后,Security Server将 PCoIP 流量转发至 View 桌面。如果使用 PCoIP 的客户端也使用USB 重定向功能或多媒体重定向 (MMR) 加速功能,您可以启用 View 安全网关组件来转发这些数据。
配置直接客户端连接时,PCoIP 流量和其他流量从 View 客户端直接转到 View 桌面。
终
端用户(如家庭用户或移动用户)通过 Internet 访问桌面时,Security Server可提供所需的安全级别和连接性能,因此无需使用
VPN 连接。PCoIP
安全网关组件可确保唯一能够访问企业数据中心的远程桌面流量是通过严格验证的用户产生的流量。终端用户只能访问被授权访问的桌面资源。
Web服务器攻击常利用Web服务器软件和配置中的漏洞,web服务器安全也是我们现在很多人关注的一点,那么你知道web服务器安全设置吗?下面是我整理的一些关于web服务器安全设置的相关资料,供你参考。
web服务器安全设置一、IIS的相关设置
删除默认建立的站点的虚拟目录,停止默认web站点,删除对应的文件目录c:inetpub,配置所有站点的公共设置,设置好相关的连接数限制, 带宽设置以及性能设置等其他设置。配置应用程序映射,删除所有不必要的应用程序扩展,只保留asp,php,cgi,pl,aspx应用程序扩展。对于php和cgi,推荐使用isapi方式解析,用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给客户。
对于数据库,尽量采用mdb后缀,不需要更改为asp,可在IIS中设置一个mdb的扩展映射,将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录,调整日志记录信息。设置为发送文本错误信息。修改403错误页面,将其转向到其他页,可防止一些扫描器的探测。另外为隐藏系统信息,防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相关软件如banneredit修改。
对于用户站点所在的目录,在此说明一下,用户的FTP根目录下对应三个文件佳,wwwroot,database,logfiles,分别存放站点文件,数据库备份和该站点的日志。如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限,图片所在的目录只给予列目录的权限,程序所在目录如果不需要生成文件(如生成html的程序)不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步。
方法
用户从脚本提升权限:
web服务器安全设置二、ASP的安全设置
设置过权限和服务之后,防范asp木马还需要做以下工作,在cmd窗口运行以下命令:
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
即可将WScript.Shell, Shell.application, WScript.Network组件卸载,可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。另法:可取消以上文件的users用户的权限,重新启动IIS即可生效。但不推荐该方法。
另外,对于FSO由于用户程序需要使用,服务器上可以不注销掉该组件,这里只提一下FSO的防范,但并不需要在自动开通空间的虚拟商服务器上使用,只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组,对于需要FSO的用户组给予c:winntsystem32scrrun.dll文件的执行权限,不需要的不给权限。重新启动服务器即可生效。
对于这样的设置结合上面的权限设置,你会发现海阳木马已经在这里失去了作用!
web服务器安全设置三、PHP的安全设置
默认安装的php需要有以下几个注意的问题:
C:\winnt\php.ini只给予users读权限即可。在php.ini里需要做如下设置:
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [默认是on,但需检查一遍]
open_basedir =web目录
disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的;]
web服务器安全设置四、MySQL安全设置
如果服务器上启用MySQL数据库,MySQL数据库需要注意的安全设置为:
删除mysql中的所有默认用户,只保留本地root帐户,为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候,并限定到特定的数据库,尤其要避免普通客户拥有对mysql数据库操作的权限。检查mysql.user表,取消不必要用户的shutdown_priv,reload_priv,process_priv和File_priv权限,这些权限可能泄漏更多的服务器信息包括非mysql的 其它 信息出去。可以为mysql设置一个启动用户,该用户只对mysql目录有权限。设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。对于mysql安装目录给users加上读取、列目录和执行权限。
Serv-u安全问题:
安装程序尽量采用最新版本,避免采用默认安装目录,设置好serv-u目录所在的权限,设置一个复杂的管理员密码。修改serv-u的banner信息,设置被动模式端口范围(4001—4003)在本地服务器中设置中做好相关安全设置:包括检查匿名密码,禁用反超时调度,拦截“FTP bounce”攻击和FXP,对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为:要求复杂密码,目录只使用小写字母,高级中设置取消允许使用MDTM命令更改文件的日期。
更改serv-u的启动用户:在系统中新建一个用户,设置一个复杂点的密码,不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录,需要给予这个用户该目录完全控制权限,因为所有的ftp用户上传,删除,更改文件都是继承了该用户的权限,否则无法操 作文 件。另外需要给该目录以上的上级目录给该用户的读取权限,否则会在连接的时候出现530 Not logged in, home directory does not exist。比如在测试的时候ftp根目录为d:soft,必须给d盘该用户的读取权限,为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题,因为system一般都拥有这些权限的。
web服务器安全设置五、数据库服务器的安全设置
对于专用的MSSQL数据库服务器,按照上文所讲的设置TCP/IP筛选和IP策略,对外只开放1433和5631端口。对于MSSQL首先需要为sa设置一个强壮的密码,使用混合身份验证,加强数据库日志的记录,审核数据库登陆事件的”成功和失败”.删除一些不需要的和危险的OLE自动存储过程(会造成 企业管理 器中部分功能不能使用),这些过程包括如下:
Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注册表访问过程,包括有:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue
Xp_regenumvalues Xp_regread Xp_regremovemultistring
Xp_regwrite
去掉其他系统存储过程,如果认为还有威胁,当然要小心drop这些过程,可以在测试机器上测试,保证正常的系统能完成工作,这些过程包括:
xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember
xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin
sp_addextendedproc
在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例可防止对1434端口的探测,可修改默认使用的1433端口。除去数据库的guest账户把未经认可的使用者据之在外。 例外情况是master和 tempdb 数据库,因为对他们guest帐户是必需的。另外注意设置好各个数据库用户的权限,对于这些用户只给予所在数据库的一些权限。在程序中不要用sa用户去连接任何数据库。网络上有建议大家使用协议加密的,千万不要这么做,否则你只能重装MSSQL了。