~~方物軍隊桌面虛擬化體系建設(shè)參考方案北京方物軟件有限公司解決方案部2014年6月24日需求與挑戰(zhàn)以虛擬桌面為交付形態(tài)，根據(jù)服務(wù)器虛擬化構(gòu)建IaaS平臺基礎(chǔ)支撐環(huán)境，云計算在安全層面需要解決傳統(tǒng)IT基礎(chǔ)架構(gòu)面臨的問題。：IT安全問題：傳統(tǒng)桌面使用PC終端難以實現(xiàn)規(guī)范和管理，造成安全漏洞多，易遭受病毒/木馬攻擊，從而影響辦公網(wǎng)絡(luò)及辦公終端的安全性。在企業(yè)中采用的物理隔離和邏輯隔離方法，會造成投資成本高，工作效率下降。運維監(jiān)控問題：傳統(tǒng)桌面運維復(fù)雜，在部署，支持，安全性上，針對終端PC難于做到標(biāo)準(zhǔn)化管理，PC硬件型號和型式多種多樣，更新周期也千差萬別，增加了管理的復(fù)雜度。系統(tǒng)打補丁，更新和遷移問題復(fù)雜，很多時候需要到現(xiàn)場解決。對終端PC的控制力度不夠。支持桌面隨著桌面環(huán)境復(fù)雜度的提高而提高。備份、恢復(fù)、遠(yuǎn)程訪問的服務(wù)成本也越來越高。終端安全問題：企業(yè)內(nèi)部泄密問題越來越嚴(yán)重，終端可以在本地保存數(shù)據(jù)，這就使得可以將內(nèi)部重要數(shù)據(jù)和商業(yè)機(jī)密保存到本地，被拷貝走或者直接被帶走，使得商業(yè)機(jī)密泄露。終端對核心業(yè)務(wù)數(shù)據(jù)進(jìn)行單獨訪問，傳統(tǒng)方式主要是采用網(wǎng)絡(luò)安全隔離卡、安全隔離網(wǎng)閘、無盤系統(tǒng)的隔離、雙網(wǎng)絡(luò)系統(tǒng)等物理隔離的辦法，采取物理隔離的方式有較高的安全性，但是數(shù)據(jù)的傳輸與處理仍是以明文的方式來進(jìn)行，客觀上還是有一定的風(fēng)險存在。物理隔離在實際使用中，還存在著不足：易用性和可擴(kuò)展性差。安全桌面操作系統(tǒng)類型多元化每個用戶存在多種辦公環(huán)境，如普通辦公和涉密辦公，涉密辦公一般使用xp安全版，普通辦公有xp和win7多種桌面。外設(shè)特定的單向訪問U盤等外設(shè)要求只能烤出文件，不能帶走文件，具備只讀的功能，傳統(tǒng)做法封閉物理USB控，或流程審批等人為管理方式，缺乏有效的IT自動化運維的手段。終端用戶權(quán)限控制控制用戶權(quán)限，保證所有用戶具備相對應(yīng)的權(quán)限，保證涉密單位的安全性。整體架構(gòu)體系框架方物虛擬桌面安全體系提供端到端的整體解決方案，終端用戶到服務(wù)器端全面構(gòu)建立體防線。首先應(yīng)根據(jù)本級具體的基本要求設(shè)計本級系統(tǒng)的保護(hù)環(huán)境模型，保護(hù)環(huán)境按照安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心進(jìn)行設(shè)計，內(nèi)容涵蓋基本要求的5個方面。同時結(jié)合管理要求，形成如下圖所示的保護(hù)環(huán)境模型：本方案采用虛擬桌面架構(gòu)（VDI）實現(xiàn)，裸金屬方式服務(wù)器端部署桌面系統(tǒng)，用戶客戶端可隨時隨地接入，按需訪問自己的操作系統(tǒng)桌面。業(yè)務(wù)應(yīng)用部署在數(shù)據(jù)中心，管理方式從分散變?yōu)榧?、?yán)格，避免了核心業(yè)務(wù)數(shù)據(jù)泄露的風(fēng)險，最大化保障信息安全。技術(shù)拓?fù)渫瑫r、具備強(qiáng)健的集群擴(kuò)展功能，在音視頻、圖像傳輸?shù)确矫婵色@得本地物理桌面同等用戶體驗，輕松實現(xiàn)BYOD，多網(wǎng)隔離環(huán)境下跨網(wǎng)段接入，數(shù)據(jù)防泄漏等安全需求。云桌面從終端設(shè)備、傳輸安全、網(wǎng)絡(luò)安全、訪問控制、桌面池可控變更、VDI數(shù)據(jù)安全、虛擬機(jī)備份七個維度構(gòu)建全方位立體化的安全解決方案體系。詳細(xì)設(shè)計終端設(shè)備安全桌面按照不同的虛擬桌面進(jìn)行權(quán)限的控制。允許用戶將外設(shè)連接到終端上，達(dá)到本地桌面相同的體驗效果，盡管所有的計算仍然在服務(wù)器端進(jìn)行。云桌面終端支持的外設(shè)類型包括USB外設(shè)，智能卡和加密狗，打印機(jī)，串口和并口設(shè)備。精細(xì)外設(shè)管控：多種外設(shè)訪問權(quán)限類型：只讀/完全/禁止/只寫，外設(shè)白名單，限定只有少數(shù)USB設(shè)備才能用于訪問機(jī)密數(shù)據(jù)，多種剪貼板訪問權(quán)限控制：安全云桌面可以按照不同的安全桌面進(jìn)行權(quán)限的控制。允許用戶將外設(shè)連接到終端上，然后像在本地桌面使用外設(shè)一樣使用這些連接在終端上的外設(shè)，盡管所有的計算仍然在服務(wù)器端進(jìn)行。既包括常見的USB光驅(qū)，也包括各種專業(yè)的USB外設(shè)，如USB身份證掃描設(shè)備、USB轉(zhuǎn)Modem、USBPOS機(jī)、USB掃描儀等。除了對主流USB外設(shè)提供支持外，還可以根據(jù)客戶的業(yè)務(wù)需要，對特殊外設(shè)進(jìn)行定制化開發(fā)和支持。外設(shè)黑白名單安全桌面支持各種類型的USB移動磁盤，包括U盤、移動硬盤等，無需另裝驅(qū)動，即插即用。還提供了對USB設(shè)備的精細(xì)化管理，用戶需要使用USB移動磁盤設(shè)備時，必須先將USB設(shè)備的VID和PID提交給管理員，由管理員做授權(quán)許可后，才能使用USB設(shè)備。剪貼板策略USB磁盤與虛擬桌面之間的剪貼板拷貝功能也是由管理員控制的，管理員可以根據(jù)需要提供USB磁盤與虛擬桌面之間的上行傳輸、下行傳輸、雙向傳輸權(quán)限，或完全禁止使用剪貼板拷貝功能。串口和并口設(shè)備安全桌面可以支持各種串口和并口設(shè)備，包括打印機(jī)、掃描儀、POS機(jī)等，只需要把設(shè)備連接到終端，就可以通過獨有的FAP協(xié)議遠(yuǎn)程攜帶到虛擬桌面使用。傳輸安全鏈路加密云桌面針對傳輸安全，特供SSL協(xié)議對網(wǎng)絡(luò)連接進(jìn)行加密。將明文數(shù)據(jù)轉(zhuǎn)換為密文數(shù)據(jù)，再進(jìn)行傳輸。采用方物軟件FAP傳輸協(xié)議，虛擬桌面遠(yuǎn)程訪問，支持SSL加密。用戶通過加密的連接訪問到桌面，且只傳輸指令與顯示圖片，有效保障數(shù)據(jù)安全不依賴域任何的專用傳輸層協(xié)議分成多個虛擬通道主通道顯示通道輸入通道光標(biāo)通道音頻通道和錄音通道vAccess代理網(wǎng)關(guān)代理vAccess的主要功能就是降低單個vA的并發(fā)訪問壓力，提高vA響應(yīng)速度，提高用戶體驗。其主要目的是實現(xiàn)簡單、高速、有效的訪問。形象的說：我們可以將單個vA看做一個用戶連接桌面的中轉(zhuǎn)站，代理vA就是中轉(zhuǎn)站組。在一般情況下我們通過一個vA去訪問虛擬桌面，vA接到用戶連接的請求后，會將虛擬桌面的端口信息返回給用戶，實現(xiàn)一個有效的連接。當(dāng)用戶并發(fā)請求數(shù)量較大時，一個vA性能根本無法滿足用戶需求，此時代理vA通過桌面連接負(fù)載方式均衡單個vA的連接壓力。方物vAccess服務(wù)器分為三種角色：主控服務(wù)器，單機(jī)服務(wù)器，從屬服務(wù)器。主控服務(wù)器：主要負(fù)責(zé)任務(wù)調(diào)度功能，桌面鏈接調(diào)度分配?？梢杂袃煞N實現(xiàn)方式，既充當(dāng)主控的同時也充當(dāng)單機(jī)，也可以只充當(dāng)主控。從屬服務(wù)器：被調(diào)度對象，失去獨立鏈接桌面的能力，需要通過主控服務(wù)器統(tǒng)一調(diào)度連接。單機(jī)服務(wù)器：具有調(diào)度及連接的功能，并發(fā)用戶較少的情況下，單機(jī)vAccess即可滿足。代理vA的主要實現(xiàn)過程是，首先設(shè)置一臺主控服務(wù)器，主控服務(wù)器包含所有用戶角色及虛擬桌面信息。在主控端添加多個從屬服務(wù)器，從屬服務(wù)器不包含任何信息，只是實現(xiàn)連接的功能，具體連接過程如下：通過vAccess代理網(wǎng)關(guān)的使用，幫助用戶均衡虛擬桌面訪問壓力，達(dá)到鏈路更高可靠性，提供企業(yè)級虛擬化整體解決方案的優(yōu)質(zhì)選擇。網(wǎng)絡(luò)安全域間安全云桌面系統(tǒng)服務(wù)端內(nèi)嵌標(biāo)準(zhǔn)交換機(jī)，虛擬桌面域間可進(jìn)行流量控制和網(wǎng)卡綁定。域內(nèi)安全控制桌面域內(nèi)桌面虛擬機(jī)之間的安全訪問，采用虛擬端口組劃分廣播域，不同虛擬端口組分配不同的標(biāo)簽。進(jìn)行帶寬峰值、突發(fā)大小等流量控制。訪問控制AD域配置安全桌面可以與AD域身份認(rèn)證以及動態(tài)令牌認(rèn)證有機(jī)結(jié)合，與現(xiàn)有的認(rèn)證機(jī)制配合以完成用戶身份驗證。電子令牌身份認(rèn)證可以采用傳統(tǒng)的用戶名密碼方式，也可以采用動態(tài)令牌的方式，并且可選與微軟的域控制器結(jié)合使用云桌面授權(quán)針對不用的用戶組分配不同的使用權(quán)限，包括桌面類型、連接協(xié)議、設(shè)備映射等等。靈活的控制管理可限定用戶在指定時間或IP地址段只能使用指定桌面，避免用戶做與工作、學(xué)習(xí)無關(guān)的事情，支持個人數(shù)據(jù)盤，無論用戶登錄哪個桌面，都能自動加載自己的個人數(shù)據(jù)盤。桌面虛擬化方案提供了基于IP的訪問控制功能，能夠管理用戶的登錄區(qū)域和IP范圍，從而提供了強(qiáng)大的網(wǎng)絡(luò)約束能力，靈活而又方便的管理用戶的登錄。管理員可以根據(jù)需要，配置包括訪問時間在內(nèi)的詳細(xì)的訪問策略，控制桌面虛擬機(jī)的訪問。桌面池可控變更桌面克隆浮動桌面池和專用桌面池都可以采用模板克隆的方式創(chuàng)建，即先在后臺創(chuàng)建一個虛擬機(jī)模板，在該模板中完成所有操作系統(tǒng)、應(yīng)用系統(tǒng)的安裝和相關(guān)配置。然后在創(chuàng)建桌面池時，以該模板為母體，批量克隆出多個完全相同的桌面，從而實現(xiàn)快速大規(guī)模部署。當(dāng)對桌面池的虛擬機(jī)模板進(jìn)行修改時，由于桌面池內(nèi)的其他虛擬機(jī)和該虛擬機(jī)共用主鏡像文件，因此當(dāng)其他虛擬機(jī)重新啟動時，就會自動獲取更新后的虛擬機(jī)模板，從而提供給用戶更新后的桌面環(huán)境。這樣，管理員只需要修改桌面池的模板，就可簡單實現(xiàn)該桌面池內(nèi)的所有桌面的統(tǒng)一升級。系統(tǒng)升級補丁殺毒：采用鏈接克隆技術(shù)通過替換模板功能完成批量部署與升級，減輕管理維護(hù)壓力。VDI數(shù)據(jù)安全可以從存儲中的數(shù)據(jù)和處理中的數(shù)據(jù)兩個維度進(jìn)行考慮。存儲中的數(shù)據(jù)數(shù)據(jù)集中于數(shù)據(jù)中心，避免由于PC磁盤損壞而導(dǎo)致的數(shù)據(jù)遺失，如本地硬盤的RAID功能或存儲設(shè)備的專業(yè)備份功能，保障數(shù)據(jù)安全。用戶終端只接受傳輸圖像，業(yè)務(wù)數(shù)據(jù)與終端完全分離支持個人數(shù)據(jù)盤，用戶可以將自己的數(shù)據(jù)存放在個人數(shù)據(jù)盤，與其他用戶安全隔離方物桌面虛擬化方案提供了強(qiáng)大的數(shù)據(jù)泄密管理能力，從終端無關(guān)性、訪問權(quán)限管理等多個角度防止了可能的數(shù)據(jù)泄密渠道：完善的備份與恢復(fù)：手工備份、定時備份、完整備份、增量備份、快照等功能。處理中的數(shù)據(jù)記錄用戶登錄/退出日志，記錄配置管理日志詳盡而又精細(xì)分類整理的日志，幫助管理員快速查詢和定位集中監(jiān)控安全桌面的狀態(tài)以及事件,基于虛擬機(jī)唯一ID對安全桌面進(jìn)行管控。數(shù)據(jù)存儲加密軟加密方式或硬加密方式，軟加密消耗CPU資源，硬加密外接PCI-E加密卡形式，密鑰管理需要結(jié)合用戶需求做定制化開發(fā)，保證存儲中的數(shù)據(jù)以密文形式。虛擬機(jī)備份旨在為虛擬化及其關(guān)聯(lián)的數(shù)據(jù)存儲提供經(jīng)濟(jì)高效的數(shù)據(jù)保護(hù)整體解決方案。高效可靠與虛擬化緊密結(jié)合，Hypervisor無需任何代理程序，支持LAN-free備份，同時多個vBackup系統(tǒng)進(jìn)行分布式處理，多副本機(jī)制有效避免備份文件損壞丟失。易于擴(kuò)展-備份容量在線擴(kuò)容：可選以太網(wǎng)或FC存儲網(wǎng)增加vBackup結(jié)點，服務(wù)不中斷狀態(tài)下進(jìn)行備份介質(zhì)動態(tài)擴(kuò)容-備份性能彈性增長：分布式文件系統(tǒng)性能隨vBackup節(jié)點數(shù)動態(tài)增管理便捷-在vCenter界面統(tǒng)一管控虛擬化功能與備份功能-策略性批量備份-圖形化操作界面，更易于操作功能設(shè)計統(tǒng)一桌面云平臺提供了兩大類虛擬化方式，分別是應(yīng)用虛擬化和桌面虛擬化，桌面虛擬化又分為共享服務(wù)器桌面、一對一綁定虛擬桌面和單一鏡像管理的一對多虛擬桌面。在面對用戶的使用場景時，選擇的出發(fā)點如下：用戶的個性化需求。對用戶個性化需求的支持從弱到強(qiáng)排序是：純應(yīng)用虛擬化<共享服務(wù)器桌面<單一鏡像管理一對多虛擬桌面<一對一綁定虛擬桌面；應(yīng)用的兼容性。對應(yīng)用兼容性的支持從弱到強(qiáng)排序是：純應(yīng)用虛擬化=共享服務(wù)器桌面<單一鏡像管理一對多虛擬桌面<一對一綁定虛擬桌面；外設(shè)的兼容性。對外設(shè)兼容性的支持從弱到強(qiáng)排序是：純應(yīng)用虛擬化=共享服務(wù)器桌面<單一鏡像管理一對多虛擬桌面=一對一綁定虛擬桌面；虛擬桌面與桌面池方物桌面虛擬化方案允許管理員將虛擬桌面環(huán)境發(fā)布給用戶遠(yuǎn)程使用。用戶可以用終端通過網(wǎng)絡(luò)連接到虛擬桌面環(huán)境上，像使用本地桌面一樣使用虛擬桌面，但實際上虛擬桌面的所有計算處理都是在服務(wù)器端完成，終端與服務(wù)器之間的交互僅僅是輸入指令和輸出顯示圖片，不存在實際數(shù)據(jù)的交互。由于桌面虛擬化將所有的桌面環(huán)境和計算集中于服務(wù)器端，因而必須在服務(wù)器端進(jìn)行集中的虛擬桌面管理。虛擬桌面主要來源于服務(wù)器上運行的虛擬機(jī)，但也可以來自物理機(jī)。所有的桌面都以桌面池的形式管理起來。桌面池分類方物桌面虛擬化方案提供了三種不同類型的桌面池：浮動桌面池、專用桌面池和固定桌面池。浮動桌面池：池中所有桌面的操作系統(tǒng)、應(yīng)用系統(tǒng)都完全一樣。用戶每次登陸時，都從池中隨機(jī)獲得一個全新的桌面，用戶退出時該桌面不會保存任何用戶修改，并且會返回到桌面池中以供下一次分配給新的用戶。用戶如果想保存自己的數(shù)據(jù)，則必須通過AD域配置漫游將數(shù)據(jù)保存到共享存儲上，或者直接用移動磁盤將數(shù)據(jù)拷貝出來。浮動桌面池主要適合于培訓(xùn)教室、機(jī)房、呼叫中心、營業(yè)廳等簡單任務(wù)場景。專用桌面池：初始時池中所有桌面的操作系統(tǒng)、應(yīng)用系統(tǒng)都完全一樣，但用戶第一次登陸并獲取一個桌面后，該用戶與該桌面之間就產(chǎn)生了綁定關(guān)系，該用戶以后每次登陸都將使用該桌面，該用戶退出時該桌面也不再會被分配給其他用戶。用戶在桌面中的所有修改都將被保存下來。固定桌面池：池中桌面與用戶之間由管理員手工指定綁定關(guān)系，用戶每次登陸時，直接根據(jù)管理員的配置進(jìn)入到指定的桌面環(huán)境中。用戶在桌面中的所有修改都將被保存下來。圖3三種類型的桌面池對比桌面發(fā)布對于浮動桌面池和專業(yè)桌面池，管理員可以將其直接發(fā)布給一個或多個用戶組，其中的用戶與虛擬桌面的匹配由系統(tǒng)自動完成或用戶自行手工選擇。對于固定桌面池，管理員必須將其中的每個虛擬桌面與可使用該桌面的用戶進(jìn)行明確指定，不允許系統(tǒng)自動分配或用戶自行選擇。一個虛擬桌面可以分配給多個用戶，一個用戶也可以分配獲得多個虛擬桌面的使用權(quán)。只有在桌面發(fā)布給用戶后，用戶才有權(quán)限登錄使用該桌面。如果一個用戶同時獲得權(quán)限訪問多個桌面，則在用戶登錄成功后會向用戶提示可訪問的所有桌面的列表，由用戶選擇其中一個桌面使用。圖4方物vAccess產(chǎn)品桌面發(fā)布鏈接桌面當(dāng)多個桌面具有相同操作系統(tǒng)和應(yīng)用軟件的時候，如果把這些桌面的公共部分采用同一份磁盤文件進(jìn)行存儲，則一方面可以減少對寶貴的存儲空間的占用，另一方面可以針對公共部分的I/O讀寫等進(jìn)行性能優(yōu)化，或針對公共部分進(jìn)行統(tǒng)一的系統(tǒng)補丁和應(yīng)用系統(tǒng)升級，從而對提升用戶體驗、提高工作效率具有很大的幫助。方物虛擬化方案支持鏈接桌面功能，允許具有相同操作系統(tǒng)和應(yīng)用軟件的多個桌面共享同一個公共模板，同一份公共磁盤鏡像，只有各虛擬桌面之間的差異部分才由各自的虛擬機(jī)文件部分保存，在保持了每個虛擬桌面都擁有完全功能的同時，大大減少了對存儲磁盤空間的占用，并為公共部分的統(tǒng)一升級提供了良好的基礎(chǔ)?？焖俨渴鸷徒y(tǒng)一升級浮動桌面池和專用桌面池都可以采用模板克隆的方式創(chuàng)建，即先在后臺創(chuàng)建一個虛擬機(jī)模板，在該模板中完成所有操作系統(tǒng)、應(yīng)用系統(tǒng)的安裝和相關(guān)配置。然后在創(chuàng)建桌面池時，以該模板為母體，批量克隆出多個完全相同的桌面，從而實現(xiàn)快速大規(guī)模部署。當(dāng)對桌面池的虛擬機(jī)模板進(jìn)行修改時，由于桌面池內(nèi)的其他虛擬機(jī)和該虛擬機(jī)共用主鏡像文件，因此當(dāng)其他虛擬機(jī)重新啟動時，就會自動獲取更新后的虛擬機(jī)模板，從而提供給用戶更新后的桌面環(huán)境。這樣，管理員只需要修改桌面池的模板，就可簡單實現(xiàn)該桌面池內(nèi)的所有桌面的統(tǒng)一升級。圖5快速部署和統(tǒng)一升級桌面負(fù)載均衡當(dāng)桌面池中的虛擬機(jī)分布于多臺服務(wù)器上時，可以對桌面的分配進(jìn)行負(fù)載均衡。負(fù)載均衡可以根據(jù)服務(wù)器的連接數(shù)、CPU負(fù)載和內(nèi)存負(fù)載來進(jìn)行。以連接數(shù)負(fù)載為例，當(dāng)?shù)谝粋€用戶來申請桌面時，系統(tǒng)從服務(wù)器A上為其分配一個桌面；而當(dāng)下個用戶來申請同一桌面池上的桌面時，系統(tǒng)發(fā)現(xiàn)服務(wù)器B上的連接數(shù)少于A，因而從服務(wù)器B上為其分配一個桌面。圖6桌面負(fù)載均衡個人數(shù)據(jù)盤方物桌面虛擬化方案允許為用戶創(chuàng)建個人數(shù)據(jù)盤，這樣用戶可以把自己的文文檔、數(shù)據(jù)和個性化配置都保存在個人數(shù)據(jù)盤中，即便虛擬機(jī)損壞甚至被刪除，用戶的文檔和數(shù)據(jù)等重要信息依然保存，且可以在登錄另一桌面時重新關(guān)聯(lián)上自己的個人數(shù)據(jù)盤，繼續(xù)正常使用文檔和數(shù)據(jù)。方物桌面虛擬化方案同時允許為多個用戶和用戶組批量創(chuàng)建個人數(shù)據(jù)盤，從而大大提升管理員配置效率。終端支持PC電腦部署方物桌面虛擬化方案時，可以對現(xiàn)有的PC電腦進(jìn)行利舊。由于桌面虛擬化方案對終端的處理能力要求不高，即便是已經(jīng)使用了4-5年的舊PC電腦也可以作為終端設(shè)備使用，不會出現(xiàn)性能不足的問題。方物提供了vClient客戶端，可以在windowsXP、windows7等各種桌面操作系統(tǒng)上運行，用戶在vClient上輸入用戶名和密碼后，即可看到自己權(quán)限內(nèi)可以進(jìn)入的虛擬桌面列表，選擇合適的虛擬桌面進(jìn)入即可。所有的數(shù)據(jù)和計算都在服務(wù)器端執(zhí)行，終端上只需要進(jìn)行指令輸入和屏幕顯示即可。無線云終端/瘦客戶機(jī)云終端和瘦客戶機(jī)具有硬件成本低、能耗低、生命周期長等特點，特別適合于作為桌面虛擬化方案中的終端設(shè)備使用。方物桌面虛擬化方案支持云終端和瘦客戶機(jī)方案，并提供內(nèi)嵌式的vClient客戶端，只需將云終端的系統(tǒng)升級為方物內(nèi)嵌vClient，即可以作為終端正常訪問虛擬桌面。方物同時還提供無線云終端設(shè)備FronView2000，用戶無需為每個云終端拉一條網(wǎng)線，可以幾十個云終端共用一個無線路由器，從而減少了對布線的要求，部署更加靈活。移動終端：平板電腦、智能手機(jī)方物桌面虛擬化也可以采用移動終端接入，vClient支持包括iOS、Android等主流移動設(shè)備操作系統(tǒng)，無論是蘋果的iPad、iPhone，還是其他公司的Android平板電腦，都可以正常使用vClient，且用戶體驗與在PC電腦、云終端上使用幾乎沒有差異。外設(shè)支持方物桌面虛擬化方案允許用戶將外設(shè)連接到終端上，然后像在本地桌面使用外設(shè)一樣使用這些連接在終端上的外設(shè)，盡管所有的計算仍然在服務(wù)器端進(jìn)行。USB移動磁盤方物桌面虛擬化方案支持各種類型的USB移動磁盤，包括U盤、移動硬盤等，無需另裝驅(qū)動，即插即用。方物桌面虛擬化還提供了對USB設(shè)備的精細(xì)化管理，用戶需要使用USB移動磁盤設(shè)備時，必須先將USB設(shè)備的VID和PID提交給管理員，由管理員做授權(quán)許可后，才能使用USB設(shè)備。USB磁盤與虛擬桌面之間的剪貼板拷貝功能也是由管理員控制的，管理員可以根據(jù)需要提供USB磁盤與虛擬桌面之間的上行傳輸、下行傳輸、雙向傳輸權(quán)限，或完全禁止使用剪貼板拷貝功能。智能卡與加密狗方物桌面虛擬化提供了智能卡攜帶功能，可以把各種主流的智能卡或加密狗從終端攜帶到虛擬桌面，虛擬桌面內(nèi)的業(yè)務(wù)系統(tǒng)可以識別智能卡并正常運行業(yè)務(wù)，從而使得智能卡的安全方案在虛擬桌面上可以同樣實現(xiàn)。USB外設(shè)方物虛擬化方案提供了廣泛的USB外設(shè)支持，既包括常見的USB光驅(qū)，也包括各種專業(yè)的USB外設(shè)，如USB身份證掃描設(shè)備、USB轉(zhuǎn)Modem、USBPOS機(jī)、USB掃描儀等。方物除了對主流USB外設(shè)提供支持外，還可以根據(jù)客戶的業(yè)務(wù)需要，對特殊外設(shè)進(jìn)行定制化開發(fā)和支持。打印機(jī)方物虛擬化方案可以支持HP、Canon等各種主流打印機(jī)，既支持網(wǎng)絡(luò)打印機(jī)，也支持連接到終端設(shè)備的本地打印機(jī)；同時支持串口、并口和USB接口打印機(jī)。串口和并口設(shè)備方物虛擬化方案可以支持各種串口和并口設(shè)備，包括打印機(jī)、掃描儀、POS機(jī)等，只需要把設(shè)備連接到終端，就可以通過方物獨有的FAP協(xié)議遠(yuǎn)程攜帶到虛擬桌面使用。圖像和多媒體支持方物桌面虛擬化方案允許用戶在虛擬桌面上像在本地桌面一樣查看和編輯圖像、多媒體信息。在虛擬桌面環(huán)境下，可以支持1920*1200分辨率的桌面顯示，支持32位真彩色圖像顯示，能夠使用windowsMediaPlayer等常用多媒體工具播放1080P高清視頻。用戶身份驗證AD域身份驗證方物桌面虛擬化方案可以與AD域身份認(rèn)證有機(jī)結(jié)合，與現(xiàn)有的AD域機(jī)制配合已完成用戶身份驗證。圖10AD域認(rèn)證配置單點登錄方物桌面虛擬化方案可以實現(xiàn)單點登錄，只需要輸入一次用戶名和密碼，即可完成View登錄、AD域登錄，直接進(jìn)入虛擬桌面。圖11單點登錄配置IP和時間段訪問控制方物桌面虛擬化方案提供了基于IP的訪問控制功能，能夠管理用戶的登錄區(qū)域和IP范圍，從而提供了強(qiáng)大的網(wǎng)絡(luò)約束能力，靈活而又方便的管理用戶的登錄。圖12IP訪問控制管理員可以根據(jù)需要，配置包括訪問時間在內(nèi)的詳細(xì)的訪問策略，控制桌面虛擬機(jī)的訪問。圖13時間段訪問控制數(shù)據(jù)安全性保障數(shù)據(jù)安全性體現(xiàn)在兩個方面：數(shù)據(jù)本身的可靠性程度，以及如何防止數(shù)據(jù)泄密。方物桌面虛擬化方案一方面從機(jī)制上提升了數(shù)據(jù)的可靠性，另一方面為防止數(shù)據(jù)泄密提供了豐富的管理和控制手段。數(shù)據(jù)可靠性方物桌面虛擬化方案使得所有業(yè)務(wù)的計算、業(yè)務(wù)數(shù)據(jù)的存儲都集中在了服務(wù)器端，管理員不用再擔(dān)心終端的故障或被盜所導(dǎo)致的數(shù)據(jù)丟失；另一方面，服務(wù)器及存儲等專業(yè)設(shè)備具有非常高的可靠性保障，而且還得到各廠家的HA熱備、災(zāi)備恢復(fù)等各種高可用性軟件的加強(qiáng)，因而在采用方物桌面虛擬化方案后，業(yè)務(wù)系統(tǒng)故障和業(yè)務(wù)數(shù)據(jù)丟失的概率被降低到了極低的水平。數(shù)據(jù)泄密管理方物桌面虛擬化方案提供了強(qiáng)大的數(shù)據(jù)泄密管理能力，從終端無關(guān)性、訪問權(quán)限管理等多個角度防止了可能的數(shù)據(jù)泄密渠道：1終端無關(guān)性：數(shù)據(jù)集中存儲于服務(wù)器端，終端被盜不會造成數(shù)據(jù)泄密；2可以針對剪貼板拷貝、打印機(jī)等常見泄密渠道進(jìn)行訪問權(quán)限管理，防止非授權(quán)引發(fā)的泄密；3可以根據(jù)USB設(shè)備的VID和PID進(jìn)行非常精細(xì)的訪問權(quán)限管理，既保證正常USB設(shè)備的使用，又可防止USB移動設(shè)備引起的泄密；圖14數(shù)據(jù)泄密渠道控制管理與維護(hù)方物桌面虛擬化方案提供了全中文的Web管理界面，管理員可以從任何地點通過Web登錄訪問桌面虛擬化的web管理界面，方便地進(jìn)行配置和管理。圖15全中文Web界面日志與事件管理方物桌面虛擬化方案支持日志與事件管理，記錄用戶登錄、推出、啟動桌面會話等最終用戶操作行為，同時能夠及時報告系統(tǒng)故障和錯誤的警告，從而為管理員的日常維護(hù)和故障排查工作提供可靠的支持。方案價值靈活的安全策略可以按照不同的安全桌面進(jìn)行權(quán)限的控制，如商密虛擬桌面不能使用U盤，但同一臺計算機(jī)上的互聯(lián)網(wǎng)虛擬桌面可以使用，互不影響。可限定用戶在指定時間和地點只能使用指定桌面，避免用戶做與工作、學(xué)習(xí)無關(guān)的事情?？煽康幕A(chǔ)架構(gòu)高安全性基于虛擬化技術(shù)，完全隔離宿主機(jī)OS，確保宿主機(jī)OS無法被攻擊核心業(yè)務(wù)及數(shù)據(jù)運行于桌面、應(yīng)用、網(wǎng)絡(luò)完全整體隔離的虛擬安全桌面環(huán)境安全桌面數(shù)據(jù)存儲于地址隔離的物理空間，其他所有桌面對其不可見、不可用、不可控全方位安全措施，如安全認(rèn)證、精細(xì)授權(quán)、安全傳輸加固桌面安全高可用性保護(hù)機(jī)制多網(wǎng)關(guān)設(shè)置，集成高可用保護(hù)機(jī)制，默認(rèn)負(fù)載均衡，確保業(yè)務(wù)延續(xù)可用高可用機(jī)制確保安全桌面高可用、業(yè)務(wù)不宕機(jī)、數(shù)據(jù)零丟失易推廣部署可以不改變當(dāng)前網(wǎng)絡(luò)架構(gòu)體系，簡單部署方案僅需一個完整安裝包，可實現(xiàn)2小時整體