0 引 言

云桌面是基于云计算和虚拟化技术的一种应用服务，通过IAAS平台负责管理云桌面的计算资源与存储资源，并维护云桌面的整个生命周期。IAAS本身不做流量可视化功能，更无法分析用户行为。企业迫切需要实现对员工桌面的管理与控制，需要审计和管控上网流量，从而规范员工上网功能行为，防止数据泄密。

传统的上网行为管理往往是在本地局域网的出口（网关设备）串联上网行为硬件设备，或者在已有网关设备上部署上网行为管理软件。但对于云桌面场景，本地互联网出口只用于连接云桌面，实际的业务流量走云侧上网，所以本地出口上网行为管理设备无法对云桌面上网进行管理。即使在云端采用以C/S架构的纯软件上网行为管理部署方式，在云桌面上部署客户端，并在内网一台云桌面上部署服务端，随着云桌面数量的递增，单台服务端资源会遇到瓶颈，随着云桌面数量的递减，资源又会造成浪费，资源的扩容缩容，无法根据桌面数自动化适配。

1 技术方案框架

    本文基于OpenStack管理台，实现针对云桌面的行为审计、行为管控、流量识别、事件溯源等功能的网络安全产品。该方案模块主要包含OpenStack管理台、控制端、服务端、客户端、数据库。该方案架构如图1所示。

     OpenStack管理台：负责创建云桌面、创建子网、创建VPC、维护云桌面的生命周期，开启上网行为管理后，负责下发上网行为客户端，创建上网行为服务端和负责将流量引到服务端。创建控制端，并同步桌面信息、子网信息与服务端映射信息到控制端。

     上网行为控制端：负责下发上网行为策略到服务端或客户端。将桌面信息、上网行为策略写到数据库。

     上网行为服务端：负责解析业务流量、协议识别，根据上网行为策略对流量进行审计或者拦截，并产生报告写到数据库。

     上网行为客户端：负责安装或更新证书，根据上网行为策略实现对桌面端进程、磁盘、文件或接入的审计或者管控。

     数据库：负责持久化报告，保存策略。

     NAT网关：负责根据子网分发流量到上网行为服务端。

     本方案采用基于子网进行引流，结合多服务端的部署方式解决单台上网行为服务端解析报文的性能压力问题；并且在服务端解析协议时采用基于端口检测和特征检测的方式，防止频繁拆包，进一步优化了服务端性能。通过OpenStack同步桌面信息实现多维度的策略配置，采用OpenStack触发和控制端触发下发策略的方式，保证了策略的快速及时下发，以此应对桌面信息变化的场景。采用OpenStack下发补丁方式实现客户端部署和证书安装的自动化和实时化。