桌面虚拟化在内部网络安全访问上的应用研究

李金彤

（国家广播电视总局七二三台，河北石家庄，050000）

1 虚拟化技术概述

1.1 虚拟化概念

虚拟化技术就是指通过利用虚拟化技术，将一台计算机模拟出多台计算机功能，每一台计算机都有自己独立的操作系统、CPU以及储存空间，所模拟出的计算机系统独立运行并不会受到影响，与独立实体计算机功能相同。虚拟化技术来源于市场需求，随着计算机的普及，各行各业都离不开现代化办公模式，而计算机数量的增加，为企业IT维护带来了巨大挑战。作为企业的数据中心以及网络中心，在网络需求增加的同时，服务器的数量也随之增多，为了确保网络的正常运行，一台服务器需要安装两个应用服务，这也就导致网络中心运营压力加大，服务器数量增多，维护人员的工作量也就随之上升，并且工作要求更为严格。网络中心本就需要全天候运行，自身产生的能源消耗较大，企业所付出的成本也随之增多。

1.2 桌面虚拟化

1.2.1 桌面虚拟化架构组成

桌面虚拟化是云计算技术中的重要组成部分，桌面虚拟化架构就是利用服务器进行集中处理，在服务器虚拟化技术的应用下，客户机能够在网络中心的服务器中实现同一运算与集中，客户机可以保留数据处理的简单功能，在键盘与鼠标的同步应用下完成操作，但并不需要参与到计算机运算中。这就说明计算机的运算功能与输入输出的显示功能实现解耦合，而后分离。在服务器终端，服务器承载着不同终端的桌面，每一终端客户机并不局限于日常使用的计算机中，也可以是智能手机、PC电脑、平板电脑等智能终端，此类智能终端只是具备输基本入与输出功能，虽然不具备处理复杂数据的功能，但桌面虚拟化技术的应用能够使得网络服务器中心的功能与运算能力明显提升，具备终端机的基础性能，使得计算机操作范围明显扩大。

1.2.2 虚拟桌面服务器端

虚拟桌面服务器端一般放置于计算机网络中心，主要使用性能强劲的高端服务器设备。服务器虚拟化技术的应用使得服务器系统存放在不同终端机的虚拟机，每一虚拟机能够对应相应的用户桌面，具备存储、硬盘等资源。

1.2.3 终端用户桌面端

终端用户桌面端一般采用瘦客户机，包括显示器、键盘与鼠标等设备，同时也能够利用智能手机、平板电脑等移动智能电子设备运行。

1.2.4 连接管理中间件组件

在虚拟桌面服务器端与终端用户桌面端之间，存在连接管理中间间组件，起到桥梁的作用，进而实现用户连接与调度功能。在桌面虚拟架构中，能够实现对桌面客户端的管理调度，进而实现桌面虚拟化，其中中间组件包括Broker，能够对资源进行认证管理协调，进而使得虚拟桌面功能得以全面启动。

1.3 桌面显示协议

桌面显示协议能够将服务器端虚拟机所形成的虚拟桌面带到客户端，这一功能直接影响着用户对虚拟桌面使用的感受，优秀的显示协议能够使得中端用户操作感受良好，仿佛在操作终端桌面，同时也关乎着桌面虚拟化的实际效果。当前桌面显示协议主要包括SPICE、ICA、PCoIP、RDP等等。其中ICA为数据压缩功能，对传输带宽的要求较低。图像显示直接影响用户的实际体验效果，PCoIP能够通过分层递进的方式显示出图片，也就是先传输较为模糊的图像，而后逐步清晰，SPICE的图像传输体验也较为优异。

1.4 桌面虚拟化的应用

桌面虚拟化与传统PC端相比，能耗更低，更利于对其进行管理，在前期投入的成本较少，数据的安全性能更高，受到企业、酒店与学校等多个单位的欢迎。在企业办公中最常见的系统为OA、ERP以及CRM，一般使用浏览器登录的方式，常用的Office办公软件，对硬件的要求并不高，可以使用瘦客户机。桌面虚拟化能够实现以点带面的方式，利用终端机来代替台式机，尤其是对于企业集中管理的公共机房而言，操作起来更加便捷。桌面虚拟化能够使得节能效率达到80%，终端并不需要对其进行维护，使得IT工作人员的效率明显提升。而在酒店管理系统中，在应用桌面虚拟化技术时，主要是满足网页浏览、视频对话、视频播放等功能需求，通过对终端数据的统一管理，能够实现系统安全性能的有效提高，IT工作人员能够远程维护相关设备，节约工作时间。

2 桌面虚拟化的优势

2.1 内部网络数据信息不落地

终端用户在处理虚拟桌面上的相关信息时，数据会处在网络中心中，用户所应用的办公计算机并不会存储与内网数据相关的信息内容。而敏感数据在生成、传输与消费过程中都在内网的控制范围内，能够有效防控因个人原因导致数据信息泄露情况的发生。

2.2 桌面配置更灵活

管理人员在配置虚拟化桌面时，可以根据不同部门的需求，业务的类型，为不同用户部署不同的桌面硬件环境，并为其匹配相应的数据访问权限。

2.3 满足移动接入端需求

用户在访问虚拟桌面时，一般会通过VPN的方式连接办公网络，使得移动终端与固定终端应用办公网络与内网相同，所制定的大多为安全管理策略，使得移动终端能够实现接入内网。

2.4 可拓展性优异

内网用户数量持续增长，属于渐进过程，在初期阶段只需要配置满足虚拟桌面运行的服务器及硬件存储功能即可。随着后期用户数量的不断上涨，可以拓展后端服务器的存储资源，无需对前端虚拟桌面加以改动。

2.5 降低运维工作量

虚拟桌面的系统与软件都是经过统一部署，而在后期调整升级以及安装固定时，都可在后台进行统一操作，这时数据中心就可以实现管理维护工作的全面落实，避免在传统管理模式中，需要大量维护工作在终端进行，使得管理人员的工作量明显减少，工作效率有效提升。即使在运行过程中出现故障，也可以通过备份功能对数据进行快速恢复[5]。

3 桌面虚拟化在内网安全访问上的保障

3.1 用户接入控制

在办公网络边界处，一般会部署VPN设备，通过使用L2TPVPN技术，使得身份认证方式更加完整，确保接入用户的合法性。用户在登录VPN系统后所使用USB Key可重复使用内网终端登录系统的写入数字证书，能够有效避免双USB Key带来的各项困扰。

3.2 攻击防御和防控病毒

IPS入侵防御系统一般在VPN网关后端部署，实现对接入用户攻击与病毒的防御，同时也能够支持缓冲溢出攻击、木马、网页篡改、网络钓鱼、SQL注入、间谍软件、流量异常等多个攻击的防御[6]。而对于虚拟用户终端而言，可以将其纳入到内网杀毒系统进行统一管理，在升级病毒服务系统的同时，也能够从服务器终端下发相应管理策略。

3.3 区域安全隔离

在控制不同区域用户访问权限时，一般会使用高性能防火墙，针对不同的用户需求设计相应的访问权限，禁止用户访问后台系统。

3.4 安全审计

一般情况下，主机监控以及审计系统在内网中的部署较为常见，同时也会在虚拟终端上安装客户端，并进行打印审计、光盘审计，以及存储介质管理、补丁更新管理，在用户操作业务系统时，一般会进行后台审计，使其行为能够被记录。