2022年云巢桌面云双网隔离解决方案实用 .pdf

《2022年云巢桌面云双网隔离解决方案实用 .pdf》由会员分享，可在线阅读，更多相关《2022年云巢桌面云双网隔离解决方案实用 .pdf（17页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、浙江云巢科技有限公司1 云巢桌面云双网隔离解决方案名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 17 页 - - - - - - - - - 浙江云巢科技有限公司2 目录1双网隔离现状分析 . 31.1双网隔离需求 . 31.2传统双网隔离方式. 31.2.1传统双网隔离常见方案. 31.2.2传统双网隔离面临的问题. 42云巢安全桌面云双网隔离解决方案. 52.1云巢安全桌面云. 52.1.1简介 . 52.1.2方案优势 . 62.2双布线隔离方案. 72.2.1方

2、案一：双布线双网双终端物理隔离桌面云方案. 72.2.2方案二：双布线双网单终端物理隔离桌面云方案. 92.2.3方案三：双布线双网逻辑隔离桌面云方案. 112.3单布线隔离方式. 142.3.1方案四：单布线桌面云逻辑隔离方案. 142.3.2方案五：单布线本地与桌面云逻辑隔离方案. 153总结. 17名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 17 页 - - - - - - - - - 浙江云巢科技有限公司3 1双网隔离现状分析1.1 双网隔离需求网络飞速发展带

3、动了社会的进步，为我们描绘出了新世纪的美好前景。如今几乎所有的机构都在使用网络来开展工作，个人用户也开始使用Internet 与外界沟通。但网络发展的同时也产生了安全漏洞，上网的同时， 原来并不引人注目的信息安全问题，现在不可回避地摆在我们面前。现在，全世界已发生无数起安全案件，如盗窃信用卡账号、 盗窃重要部门机密数据、破坏机构的局域网运作等等。 更为严重的是网络安全问题威胁到了国家安全。如果网络安全得不到保证， 那么将会给国家、 社会及网络用户带来严重威胁，可能造成政治、经济各个方面的巨大损失。特别是政府网络， 内部网络上有着大量高度机密的数据和信息，网络安全是放在首位的。 在政府工作不断地

4、实现信息化，高效便捷的同时， 安全保护成了亟待解决的问题。1.2 传统双网隔离方式1.2.1传统双网隔离常见方案1.2.1.1 双网络布线双网络布线系统解决方案： 双网络布线是指在网络布线时， 同时建立了二套物理隔离的网络系统。方案一：单机双网， 每位工作人员配备一台带安全隔离卡的计算机，使用两个不同的硬盘或同一硬盘上两个不同的工作区访问内外两个网络。方案二：双机双网，每位工作人员配备两台计算机，分别联接内外两个网络，通过小型共享键盘、鼠标及显示器实现实时切换。对比分析：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整

5、理 - - - - - - - 第 3 页，共 17 页 - - - - - - - - - 浙江云巢科技有限公司4 1) 单机双网带安全隔离卡方案具有安全、方便、费用低的的优点，每台计算机只需增加一块安全隔离卡和再增加一块硬盘。目前被大多数部门单位普遍采用。2) 双机双网方案的优点是使用方便、具有最高的网络安全性，成本较高。1.2.1.2 单网络布线单网络布线系统解决方案： 单网络布线是指在网络布线时， 只建立一套网络系统，每位工作人员可同时直接访问外部Internet 网络与内部局域网。方案一： 对现有的内部局域网进行外网接入改造后，工作计算机可直接访问外部 Internet网络。方案二：

6、直接利用现有的网络系统，增配网络隔离与信息交换设备（网闸）和防火墙实现单机双网功能。单网络布线系统解决方案具有方便、费用低的的优点。 但是，也存着较大的安全隐患， 并不是严格意义上的物理隔离方案，也不符合省局、 省厅关于信息化安全建设方面的有关规定。因此，财税网络一般都不采用该方案。1.2.2传统双网隔离面临的问题1.安全性差对于大部分政府办公环境计算机网络安全至关重要。大部分内部资料禁止被拷贝带走，多数传统计算机缺乏针对外接移动存储设备的控制能力，存在泄密隐患；同时，传统计算机具有硬盘、光驱、USB 接口等，本地拥有存储、计算能力，工作人员可以随意安装各类软件，容易受到病毒攻击，进而对整个网

7、络产生影响。2.功耗大传统计算机功耗一般在300W 左右，能耗问题突出，作为政府机关，采用节省电力消耗的产品，实现“节能减排”基本政策，势在必行。3.维护复杂名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 17 页 - - - - - - - - - 浙江云巢科技有限公司5 政府机构或企事业单位员工计算机技术操作水平参差不齐，管理维护工作量大，例如，尤其是计算机连接外网后，升级或更新频繁，需逐一维护每台计算机，不可避免地增加了信息中心人员的维护工作量。4.空间有限企业对内

8、网和外网物理隔离，一些岗位需要配备双计算机或带安全隔离卡计算机，空间占用大，影响办公环境的整洁和美观。2云巢安全桌面云双网隔离解决方案2.1 云巢安全桌面云2.1.1简介桌面云是一种远程桌面应用，通过云终端或者其他任何与网络相连的设备来访问跨平台的应用程序，以及整个客户桌面，数据中心使用云架构，用户体验和使用传统个人电脑是一样的。桌面云改变了过去分散、独立的桌面系统环境，通过集中部署， IT 运维人员在数据中心就可以完成所有的管理维护工作。桌面云的用户桌面环境都是托管在企业的数据中心，本地终端只是一个显示设备而已。在桌面云的环境下， 当灾难发生的时候， 可以迅速恢复所有托管桌面，保证完全恢复业

9、务的处理能力。云桌面是一个企业级的，通过一定手段实现的可远程访问、调度和管理的桌面的操作系统，其可以是运行在服务器上的虚拟操作系统，也可以是直接安装、运行在数据中心内的物理PC（工作站，刀片PC ）上的操作系统。目前桌面云技术融合了应用虚拟化技术，在虚拟桌面模式下，每个人独享的远程操作系统，实现更灵活，高效的管理和应用。将桌面操作系统虚拟化带来很多好处，包括：数据更安全，通过策略配置，用户无法将机密数据保存在本地设备上，只能在数据中心进行存储，备份，保证数据的安全性和可用性；名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精

10、心整理 - - - - - - - 第 5 页，共 17 页 - - - - - - - - - 浙江云巢科技有限公司6 提高网络安全，由于只使用需要开放有限几个端口，所以可以实现网络的逻辑隔离和严格控制，在不影响应用的前提下，全面提升网络安全性；用户可以随时随地，通过网络，访问到被授权的桌面与应用；终端设备支持更广泛，可以通过PC 、云终端端、甚至是手机来访问传统 PC上才能使用到的各种windows 应用；在数据中心对所有的桌面进行统一的高效维护，无需特定的补丁与应用的分发软件， 统一进行安装和升级，维护桌面的费用大大降低；应用管理更简单，管理员在服务器端进行统一管理，就可以将最新更新交付

11、给所有用户；桌面的性能能够得到提升，因为它和应用后端的服务器都运行在数据中心；桌面可以分享最新最强大的服务器硬件，配置资源可以按照用户需求动态调整。2.1.2方案优势1.安全云终端主机没有病毒感染的可能性，具备完美的防病毒特性，可对外接存储设备做严格管控或是完全禁止，免除数据外泄的忧患。另外，云终端数据不在本机存储， 而是存储在云服务器， 云终端信息系统数据存储将更加安全可靠、甚至在遇到停电事故时，数据依然不受影响。2.环保云终端功率仅5 瓦，相当于一个节能灯泡，使用云终端替代功耗在300W左右的传统计算机能够节约大量电力资源。在大力倡导节能减排的大环境下，使用云终端替代传统计算机，能节约大量

12、用电开支。此外，云终端本机运行无需风扇散热，无噪音干扰，低辐射，绿色健康环保。3.易维护使用云终端替代传统计算机部署桌面系统，仅需少量计算机管理人员在云名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 17 页 - - - - - - - - - 浙江云巢科技有限公司7 服务器处完成所有维护，能够真正做到终端接近“零”维护，大大降低管理者的维护力度。4.轻巧云终端机身小巧，只占100mm*100mm*15mm 的空间。云终端替代传统计算机，将极大的节约桌面空间，提高办公环境

13、的整洁性和美感，工作人员在轻松的环境中易获得愉悦的心情，从而提高政府机关的整体办公效率。5.节省成本相对于购买传统计算机所花费的成本，购买一台云服务器和多个云终端的解决方案是最经济的方式。云终端无需硬件和软件的升级维护。2.2 双布线隔离方案2.2.1方案一：双布线双网双终端物理隔离桌面云方案2.2.1.1 方案拓扑图.计算节点存储节点管理节点,虚拟云桌面高速数据网络Vlan1Vlan N,办公网桌面云.计算节点存储节点管理节点,虚拟云桌面高速数据网络Vlan1Vlan N,涉密网桌面云Internet在家办公移动办公单用户双终端涉密网涉密网络办公网络图 1 双布线双终端物理隔离桌面云方案名师

14、资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 17 页 - - - - - - - - - 浙江云巢科技有限公司8 2.2.1.2 方案说明基于对涉密安全级别要求较高的企事业单位，且已建立了双网络布线基础网络结构，云巢桌面云可建立双网独立的桌面云，实现物理全隔离。 并可通过双终端可以实现办公区域的隔离，达到最高的物理隔离安全级别。涉密网桌面云：在涉密网内单独建立桌面云，该桌面云可访问涉密网内所有资源，不可与外网连接。所有与涉密相关的工作均在涉密网桌面云内进行，员工通过终端访

15、问涉密网内自己专属桌面才能查看涉密网的相关资源。办公网桌面云：在办公网内建立办公桌面云，该桌面云可与Internet 相连， 满足企业日常办公需要访问外网的需求。同时集合了桌面云的特色，存储和计算集中，并可对员工日常行为做记录和管控，能避免违规外连和信息泄露事件。双客户终端：单用户两台PC 或云终端，一个终端连接办公网络，一个连接涉密网络，二者只能访问与之连通的网络内的桌面云，完全物理隔离。2.2.1.3 方案特色安全级别最高的物理隔离手段。相较传统的物理隔离手段，数据仍需本地存储，只能通过终端管控、外设管控、行为审计等各种软件加以防范；引进桌面云技术后实现了硬件与数据的分离，计算存储均集中到

16、桌面云数据中心内，大大提高了安全等级。进一步提升了两个网络的安全级别。通过对涉密网和办公网分别建立桌面云，与企业相关的一切资源和行为均在企业数据中心内进行，访问外网资源和访问涉密资源的各种行为都会有详细的行为日志可查询；外设接入的管控也将十分容易，可快速实现权限开放和关闭的设置，云巢桌面云移动设备NoData 技术可实现远程数据擦除，离开办公区域移动设备内的数据将不复存在。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 17 页 - - - - - - - - - 浙江云

17、巢科技有限公司9 双终端模式，可满足部分单位双网在办公区域的隔离需求。在某个区域通过终端只可访问该区域内网络，方便会议和协同办公需求。借助各种监控设施可对涉密办公网办公区域做最严密的监视。同时，桌面云模式不会有数据驻留本地，所有核心数据全在数据中心内，安全级别再次提高。桌面云自身特色。移动办公，员工可通过任意设备和网络访问办公网桌面，处理一般性事务； 快速部署机制， 易于新机构部署和扩展；统一维护方式，减少漏洞存在，助力IT 运维。2.2.2方案二：双布线双网单终端物理隔离桌面云方案2.2.2.1 方案拓扑图.计算节点存储节点管理节点,虚拟云桌面高速数据网络Vlan1Vlan N,办公网桌面云

18、.计算节点存储节点管理节点,虚拟云桌面高速数据网络Vlan1Vlan N,涉密网桌面云Internet在家办公移动办公双网切换终端涉密网涉密网络办公网络图 2双布线单终端物理隔离桌面云2.2.2.2 方案说明涉密网桌面云：在涉密网内单独建立桌面云，该桌面云可访问涉密网内所有资源，不可与外网连接。所有与涉密相关的工作均在涉密网桌面云内进行，员工通过终端访问涉密网内自己专属桌面才能查看涉密网的相关资源。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 17 页 - - - -

19、- - - - - 浙江云巢科技有限公司10 办公网桌面云：在办公网内建立办公桌面云，该桌面云可与Internet 相连， 满足企业日常办公需要访问外网的需求。同时集合了桌面云的特色，存储和计算集中，并可对员工日常行为做记录和管控，能避免违规外连和信息泄露事件。客户终端：可双网控制的PC 或云终端。一边连接办公网络，一边连接涉密网络，二者只能访问该网内的桌面云，完全物理隔离；可双网控制的终端设备，通过网络控制操作进行双网切换，方可进行不同网络内桌面云的访问。2.2.2.3 方案特色安全级别最高的物理隔离手段。相较传统的物理隔离手段，数据仍需本地存储，只能通过终端管控、外设管控、行为审计等各种软

20、件加以防范；引进桌面云技术后实现了硬件与数据的分离，计算存储均集中到桌面云数据中心内，大大提高了安全等级。进一步提升了两个网络的安全级别。通过对涉密网和办公网分别建立桌面云，与企业相关的一切资源和行为均在企业数据中心内进行，访问外网资源和访问涉密资源的各种行为都会有详细的行为日志可查询；外设接入的管控也将十分容易，可快速实现权限开放和关闭的设置，云巢桌面云移动设备NoData 技术可实现远程数据擦除，离开办公区域移动设备内的数据将不复存在。可双网控制的终端和单用户双终端实现的安全级别可达到一致。相较传统物理隔离技术，实现最高安全级别需要双终端来支撑，投入成本和能耗会大大提高；传统模式下使用双网

21、控制终端必须借助隔离卡配备双硬盘， 成本仍很高昂且便捷度大打折扣，使用桌面云后，数据不驻留本地，终端只是输出输入设备，采用双网控制终端不再需要额外的其他投入，使用便捷度和单台设备无异。桌面云自身特色。移动办公，员工可通过任意设备和网络访问办公名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 17 页 - - - - - - - - - 浙江云巢科技有限公司11 网桌面，处理一般性事务； 快速部署机制， 易于新机构部署和扩展；统一维护方式，减少漏洞存在，助力IT 运维。2.

22、2.3方案三：双布线双网逻辑隔离桌面云方案2.2.3.1 方案拓扑图Internet在家办公移动办公.计算节点存储节点管理节点虚拟云桌面高速数据网络,桌面云数据中心,办公网涉密网双终端或双网卡 / 网闸终端ETH0ETH1涉密网涉密网办公网图 3 双布线双网逻辑隔离2.2.3.2 方案说明基于对涉密安全级别要求较高的企事业单位，且已建立了双网络布线基础网络结构，云巢桌面云可建立混合桌面云，实现逻辑隔离， 实现资源配置的最优方案。桌面云数据中心：办公网和涉密网的桌面云进行集中部署，硬件资源共享。通过终端对网络的控制访问相应网络下的桌面云。名师资料总结 - - -精品资料欢迎下载 - - - -

23、- - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 17 页 - - - - - - - - - 浙江云巢科技有限公司12 计算节点ETH0ETH1,涉密网办公网Internet在家办公移动办公涉密网办公网图 4 逻辑隔离实现示意图从上图可看出， 单个计算节点两个网卡接入不同的网络，虚拟桌面数据传输在桌面云平台的调控下只能在自己专属网络下进行传输，从逻辑上实现物理隔离的效果。两个桌面云互不干扰各行其道， 同时桌面云资源利用的自适应可实现对硬件资源的最优利用。客户终端：双终端或可做网络切换的单终端。分别连接涉密网络和办公网络，需要进

24、入某个网络需要先在终端切换网络，方可访问该网络下的桌面。2.2.3.3 方案特色双布线下效果可到达物理隔离一致的逻辑隔离方式。相较传统的逻辑隔离手段，数据仍需本地存储，只能通过隔离卡实现逻辑隔离；引进桌面云技术后实现了硬件与数据的分离，计算存储均集中到桌面云数据中心内，本地不会有数局驻留，在桌面云内的虚拟机“各行其道”互不干扰，也达到了物理隔离的效果，大大提高了安全等级。进一步提升了两个网络的安全级别。通过对涉密网和办公网分别建名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页

25、，共 17 页 - - - - - - - - - 浙江云巢科技有限公司13 立桌面云，与企业相关的一切资源和行为均在企业数据中心内进行，访问外网资源和访问涉密资源的各种行为都会有详细的行为日志可查询；外设接入的管控也将十分容易，可快速实现权限开放和关闭的设置，云巢桌面云移动设备NoData 技术可实现远程数据擦除，离开办公区域移动设备内的数据将不复存在。可双网控制的终端和单用户双终端实现的安全级别可达到一致。相较传统物理隔离技术，实现最高安全级别需要双终端来支撑，投入成本和能耗会大大提高；传统模式下使用双网控制终端必须借助隔离卡配备双硬盘， 成本仍很高昂且便捷度大打折扣，使用桌面云后，数据不

26、驻留本地，终端只是输出输入设备，采用双网控制终端不再需要额外的其他投入，使用便捷度和单台设备无异。硬件资源投入可大大降低，相较双网分别建立桌面云系统，混合桌面云模式可实现硬件资源最优配置，达到最高利用率；单终端双控模式也可降低能耗，减少资源浪费。整个体系紧凑又不以降低安全级别为代价，是现在双网隔离最优解决方案。桌面云自身特色。移动办公，员工可通过任意设备和网络访问办公网桌面，处理一般性事务； 快速部署机制， 易于新机构部署和扩展；统一维护方式，减少漏洞存在，助力IT 运维。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心

27、整理 - - - - - - - 第 13 页，共 17 页 - - - - - - - - - 浙江云巢科技有限公司14 2.3 单布线隔离方式2.3.1方案四：单布线桌面云逻辑隔离方案2.3.1.1 方案拓扑图Internet在家办公移动办公.计算节点存储节点管理节点,虚拟云桌面高速数据网络,桌面云数据中心,可访外网 Vlan可访内网 Vlan客户终端内网资源图 5桌面云逻辑隔离2.3.1.2 方案说明基于单布线模式下，借助桌面云虚拟交换机V-Switch 技术实现双网逻辑隔离，可限定某个划分的Vlan 不可访问外网，仅访问企业内网资源，与可以访问Internet 的 Vlan 之间做逻辑

28、隔离，达到一定的安全需求。桌面云数据中心：桌面云构建模式无变化。在计算池内的虚拟机根据V-Switch 建立的规则，管理员将内网虚拟机和外网虚拟机做人为划分，以达到一定程度的安全需要。V-Switch 技术：其基本功能与物理交换机一致，可完全继承物理网络的相关规则，构建整个虚拟及网络环境，在安全桌面云体系内再做网络划分满足各种企业对网络的需求。客户终端：客户访问通过单台终端进行虚拟桌面登陆，不同的桌面在创建时就已经具备了某个Vlan 属性，用户登陆不同的虚拟机，就可以做名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理

29、 - - - - - - - 第 14 页，共 17 页 - - - - - - - - - 浙江云巢科技有限公司15 内外网的切换。2.3.1.3 方案特色完全借助桌面云技术达到单布线下双网隔离效果。不需要额外硬件资源或网络作支撑，完全借助桌面云自身特点实现双网的逻辑隔离。V-Switch 可对虚拟机的网络加以规划，并继承现有办公环境下的网络规则，对部分需要访问外网或是内网资源的员工，可在分配虚拟机时，构建相应的 Vlan 属性，最终实现逻辑隔离，达到企业信息安全需求。硬件资源投入可大大降低，相较双网分别建立桌面云系统，单布线桌面云模式可实现硬件资源最优配置，达到最高利用率，同时安全性也得到

30、了保障，且不需要额外硬件或软件投入。桌面云自身特色。移动办公，员工可通过任意设备和网络访问办公网桌面，处理一般性事务；快速部署机制，易于新机构部署和扩展；统一维护方式，减少漏洞存在，助力IT 运维。2.3.2方案五：单布线本地与桌面云逻辑隔离方案2.3.2.1 方案拓扑图Internet,.计算节点存储节点管理节点高速数据网络桌面云数据中心,虚拟云桌面VLAN 1VLAN N,LAN/WIFI外网环境内网环境内网资源图 6单布线桌面云内外网逻辑隔离名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - -

31、- - 第 15 页，共 17 页 - - - - - - - - - 浙江云巢科技有限公司16 2.3.2.2 方案说明借助本地资源实现的双网隔离方案。终端可访外网， 通过终端访问的桌面云内虚拟桌面则是办公内网环境不可与Internet 连接，最终实现单布线下双网逻辑隔离。桌面云数据中心：桌面云平台部署在办公网络里，可对桌面云平台计算池做限定不可进行外网访问，以满足桌面云内办公访问内网资源安全的需求。客户终端：PC 或云终端。 对部分有访问 Internet 需求的员工， 可使用 PC作为客户终端，需要通过互联网进行资料查询时，切换到本地系统，办公时，则切换到桌面云系统方可访问内网资源和核心

32、业务；对于没有访问外网需求的员工，可使用云终端作为客户端，登陆云终端尽可访问办公资源。2.3.2.3 方案特色实现资源的最优利用。满足企业硬件利旧需求，降低成本；部分使用云终端，采购成本可控；桌面云数据中心，保证核心业务和数据安全，满足企业需求。借助本地资源与桌面云结合实现双网逻辑隔离需求。桌面云数据不驻留本地的特点，是本方案得以实现且保证了安全数据安全。桌面云自身特色。移动办公，员工可通过任意设备和网络访问办公网桌面，处理一般性事务；快速部署机制，易于新机构部署和扩展；统一维护方式，减少漏洞存在，助力IT 运维。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - -

33、 - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 17 页 - - - - - - - - - 浙江云巢科技有限公司17 3总结高最高物理隔离类物理隔离方案二方案三物理隔离高方案一类型安全等级方案四方案五逻辑隔离逻辑隔离较高较高成本运维管理最高较易应用场景高低低最低较易易易易双布线，需要完全物理隔离和办公地域隔离双布线，需要完全物理隔离双布线、混合布线，需要物理隔离或逻辑隔离单布线，需要双网隔离单布线，需要双网隔离名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共 17 页 - - - - - - - - -