桌面虚拟化之VSHIELD篇(上)
小弟大学学的专业是信息安全,在进入虚拟化领域之前一直在国际知名安全软件公司任职多年,对杀毒软件也算略知一二,到了桌面虚拟化领域,杀毒会不会变得有所不同呢?
如果把所有虚拟桌面当作传统桌面一样安装传统企业级杀毒软件,势必给本就紧张的服务器资源雪上加霜,一旦所有机器开始病毒扫描,带来的IO风暴可能会让这个虚拟桌面环境瘫痪,那么有什么办法能解决类似问题呢?
VMWARE在这里给大家提供了一个API接口,从此不需要在每台计算机上面安装杀毒软件了,通过VSPHERE底层就可以进行良好的病毒防护,这个API接口叫做VSHIELD,一些杀毒软件厂商,例如趋势把这个接口结合到起安全解决方案当中,今天我们就来详细的看看如何配置VSHEILD。
无代理方式(VMware)应用环境准备
需要准备2台ESX主机,用来测试DS7.5的所有功能。
注意:DSM主机最好用64位系统
|
描述 |
程序 |
操作系统 |
功能 |
|
ESX1 |
DSM |
Win2003 sp2 32/64 Win2008 32/64 |
DS管理控制台 *至少分配4GB内存 |
|
vShield Manager |
VMware VShield管理平台 |
||
|
vCenter |
Win2003_x64 |
||
|
Windows操作系统 |
Agent方式测试主机 |
||
|
ESX2 |
DSVA |
DS Appliance |
|
|
Windows操作系统 |
Win7_x64 |
Agentless+Agent方式测试主机 |
|
|
Windows操作系统 |
Win2008_x64 |
Agentless测试主机 |
|
软件名称 |
用途 |
|
VMware-vShield-Manager-4.1.0-287872.ova |
vShield Manager |
|
VMware-vShield-Endpoint-Driver-1.0.0-289485.x86_64.msi |
EndPoint 驱动64位平台 |
|
VMware-vShield-Endpoint-Driver-1.0.0-289485.x86_32.msi |
EndPoint 驱动32位平台 |
|
Manager-Windows-7.5.1378.x64.exe |
DSM 64位平台 |
|
Manager-Windows-7.5.1378.i386.exe |
DSM 32位平台 |
|
FilterDriver-ESX-7.0.0-894.x86_64.zip |
ESX平台FilterDriver |
|
Appliance-ESX-7.5.0-1600.x86_64.zip |
DSVA |
|
Agent-Windows-7.5.0-1602.x86_64.msi |
DSA64位平台 |
|
Agent-Windows-7.5.0-1602.i386.msi |
DSA32位平台 |
|
**码 |
到期时间 |
用途 |
|
DX-9J38-4SE5J-V9AL2-GHH92-NYHCX-W7KHN |
2011-03-03 |
DS**码 |
|
TJ42L-H01DQ-M83TT-A04RK-30KH1 |
60天 |
vShield EndPoint |
代理方式(物理服务器)应用环境准备
Agent方式应用只需准备DSM服务器和测试服务器;
|
程序 |
操作系统 |
IP地址 |
功能 |
|
DSM |
Win2008_x64 |
DS管理控制台 |
|
|
Test-win2008 |
Win2008_x64 |
Agent测试主机 |
软件列表:
|
软件名称 |
用途 |
|
Manager-Windows-7.5.1378.x64.exe |
DSM 64位平台 |
|
Manager-Windows-7.5.1378.i386.exe |
DSM 32位平台 |
|
Agent-Windows-7.5.0-1602.x86_64.msi |
DSA64位平台 |
|
Agent-Windows-7.5.0-1602.i386.msi |
DSA32位平台 |
产品**码:
|
**码 |
到期时间 |
用途 |
|
DX-9J38-4SE5J-V9AL2-GHH92-NYHCX-W7KHN |
2011-03-03 |
DS**码 |
安装Vmware环境
1. 安装vCenter Server和Client 4.1
注:vCenter主机名不能超过15个字符,否则安装失败
2. 安装ESX/ESXi 4.1
3. 在vCenter中创建数据中心,并添加ESX/ESXi主机
4. 安装所需操作系统(Windows2008 64bit、Windows2003 32bit等)
5. 为操作系统安装VMWARE TOOLS
6. 配置个主机使用IP地址
安装vShield Manager
1. 登录vCenter 控制台
2. File->Deploy OVF Template-> VMware-vShield-Manager-4.1.0-287872.ova
3. 如果用户有VLAN配置,需要先修改vShield Manager的网卡配置
4. 启动vShield Manger主机
5. 进入vShield Manger Console,默认用户名:admin,密码:default
6. 输入”enable”命令和密码default
7. 输入”setup”命令进入IP 地址配置,配置预分配的IP地址、网关和DNS
注:进入”setup”命令需要等待vShield Manager主机完全启动完成
8. 输入”exit”或”reboot”命令完成IP地址配置
3.3配置vShield Manager
1. 输入https://<vSM-ip>登录vShield Manager web控制台
2. 配置vCenter Server信息,点击”Save”
3. 在vCenter中添加vShield EndPoint授权
进入”Home”->”Licensing”->Report line select ”Asset”,进入”vShield-Endpoint”,”Enter Key”。
4. 为被保护ESX主机安装EndPoint组件
3.4安装VM的vShield Endpoint驱动
1. 执行驱动程序
2. 重新启动vm
3.5安装DSM7.5
1. 将DSM7.5安装程序全部放到同一目录下,再执行DSM Manager程序,这样DSM会自动导入”FilterDriver”和”Appliance”程序,无需后续手工导入
2. 安装过程中需要选择数据库类型和”Manager Address”等信息,如果用户全部是域环境可以使用主机名,否则建议修改”Manager Address”为IP地址,这样可以避免很多通讯问题
3. 安装完成后可以通过https://<DSM-IP>:4119/来登录控制台
3.5在DSM上添加vCenter
1. 进入DSM控制台
2. 选择”Computer”->”Add VMware vCenter”
3. 输入vCenter信息
4. 输入vShield Manager信息
5. VM Kernel VNIC配置,请保持默认
6. 同意SSL证书
7. 摘要信息
8. 添加完成
部署Filter Driver&DSVA
1. 进入DSM控制台的”Computer”界面,选择vCenter中的ESX,右键选择”Action”->”Prepared ESX”
2. 此过程必须保证ESX能够与DSM主机通讯
3. 部署驱动需要ESX进入到维护模式下完成
4. 程序等待ESX进入维护模式
5. 手工关闭此ESX主机上的所有VM,并等待安装Filter Driver
6. Filter Driver部署完成,部署Appliance
7. 部署DSVA到ESX上,输入Appliance 名称
8. 选择磁盘使用模式
9. 部署中,Building过程可能需要几分钟
10. SSL证书
11. 部署DSVA的OVF文件,并开启DSVA
12. 登录DSVA控制台,用户名:dsva 密码:dsva
13. 进入”Configure Management Network”,输入IP地址信息,按”Enter”保存
14. 进入”Configure Time Zone”,设置为”Asia/Chongqing”
15. 退出配置界面。
注意:DSVA界面会现在该IP应用到哪块网卡上,如果IP地址有VLAN,请在VM设置中修改。
16. **DSVA
17. 选择”Security Profile”模板给DSVA,此Profile为系统默认模板,如果需要使用SSH登录DSVA,修改”Deep Security Virtual Appliance”模板
18. 选择需要**的VM
注:如果VM关机状态会提示Active fail,请提前开启vm
19. 部署和**完成
20. 登录控制检查**状态和An-Malware状态
3.7检查各功能组件状态
登录DSM控制台,并进入”Computer”页,查看ESX的Filter Driver和DSVA运行是否正常
注:”Integrity Monitoring”和”LogInspection”需要安装DSA才能实现
本文转自robbindai 51CTO博客,原文链接:http://blog.51cto.com/virtualyourdesk/712956