如何确保VDI网络的连通性及安全性

谈到VDI时，强大的网络是您最好的朋友。在部署虚拟桌面之前，需要考虑如何提供网络流量监控、故障诊断、QoS控制、网络基础设施保护以及安全访问控制等。

首先，需要区分网络流量的优先级。这样VDI网络才不会不堪重负。测试网络的一种方法就是雇佣一批“养路工”，使用收集的信息来设置网络流量的优先级。

很多路由器以及交换机都包含通过流量类型或者TCP端口号对VDI网络流量优先级进行区分的工具。然而，您可能想了解一些带宽优化产品，比如F5 Networks、Riverbed Technology、Citrix Systems、Blue Coat Systems以及Zeus Technology提供的产品。

管理用户的预期至关重要。尽管VDI厂商为用户提供了调整协议以及带宽优化方法，但事实上网络不可能突破物理规则的限制。虚拟桌面基础设施的一大优势就是能够实时、动态监控网络延迟。这些系统将潜在的、制造混乱的网络延迟及时通知给管理虚拟桌面环境的人。

检查VDI网络连通性

带宽优化产品通常提供了模板及插件，能够轻松地对提供负载均衡功能的设备进行配置。这些产品同样围绕虚拟桌面基础设施的可用性增加了更多的智能。一旦最终用户通过这些网络设备连接到虚拟桌面，这些设备将成为最终的仲裁器：用户通过它连接代理或者安全服务器。

图1. 使用iApp控件检查VMware View服务器的状态

例如，F5 Networks的BIG-IP设备提供了iApp控件，用于检查网络的连通性。您可以下载并配置该插件并在VMware View中使用。管理员能够查询安全服务器以及连接服务器角色的状态。如果发现安全服务器或者连接服务器不可用，那么这些具备智能的设备会将最终用户重定向到可用的服务器上。

在图1中，F5 BIG-IP内的iApp控件允许管理员感知安全服务器并设置检查服务器健康状态的轮询时间间隔。iApp通过给VMware View基础设施上可用的HTTP门户发送字符串“VMware. *View Portal”进行连接查询。如果安全服务器以及连接服务器正确地响应了该请求，系统就知道这些服务器在线并且可用。

如果VDI网络连通性查询没有返回合法的响应，客户端将被重定向到完全可用的View系统中。在重定向之前，条件语句检查安全服务器及其配对的连接服务器是否可用。

不要忘记VDI网络的安全性

混合的桌面环境需要恰当的安全策略和服务为客户端以及网络基础设施提供保护。基于服务器的计算以及虚拟桌面由于访问其余的企业网络提供丰富的图形终端而产生了巨大的安全漏洞。

既然虚拟桌面安全中最脆弱的一个环节就是用户，您应该设置严格的密码策略，要求用户更加频繁地重新设置密码，并且密码必须遵循相应级别的复杂度。

不幸的是，严格的安全性可能会轻易导致最终用户将密码写在便签纸上。很多组织采用了双因素认证机制，使用诸如RSA SecurID、SafeWord或者是智能卡等技术。例如，在政府工作的人员必须将上述安全技术集成到他们的虚拟桌面策略中。然而，并不是所有的虚拟化厂商对双因素认证系统提供全面的支持。

请记住安全始于足下。因此，请使用VDI厂商的网络图表标出在每一跳所采用的通信路径，然后在防火墙、代理以及桌面上应用软件以及网络加固策略以减少总体的受攻击面。

为提升安全性，您还应使用一系列严格的桌面策略。简单的方法就是使用现有的微软活动目录组策略对象，或者组织可以采购工具用以封堵典型的Windows客户操作系统所存在的漏洞。

采用应用虚拟化优先策略是另一种减少在桌面上安装的软件数量的方法，在桌面上安装的软件可能会引发VDI安全性问题。这一策略不仅减少应用冲突，而且还减少了黑客能够劫持的用户模式应用的数量。