策略是一组安全规则的集合,可以控制终端用户使用云桌面的相关权限,提高数据安全性。本文介绍策略包含的安全规则配置项,并给出效果示例。

策略简介

一个策略包含以下几项配置:
  • 基础策略
    • USB重定向:设置是否开启USB重定向功能。开启后,云桌面上可以使用本地终端连接的USB设备。
    • 水印:设置是否开启水印功能。开启后,您可以设置水印显示的内容和透明度,云桌面上将均衡分布显示水印。
    • 本地磁盘映射:设置是否可以读写本地磁盘在云桌面的映射驱动器。
    • 剪贴板:设置云桌面和本地之间是否可以互相复制内容。
    • 是否允许用户抢占:设置在已有终端用户登录云桌面的情况下,其他终端用户是否可以抢占登录该云桌面。
  • 网络管控规则

    通过添加入方向和出方向的网络管控规则,控制云桌面的入流量和出流量。默认情况下,云桌面拒绝所有入方向的访问,允许所有出方向的访问。

USB重定向

USB重定向配置,可以控制终端用户是否可以在云桌面上使用本地终端连接的USB设备。
  • 关闭:云桌面上无法使用本地终端连接的USB设备。
  • 开启:云桌面上可以使用本地终端连接的USB设备。

水印

水印配置可以在桌面上叠加信息,降低因截屏、拍照导致的数据泄露风险。您可以根据需要设置水印内容(用户名、桌面ID)和透明度(较浅、中等、较深)。
  • 关闭:云桌面上不显示水印。
  • 开启:云桌面上均匀分布显示水印。如下图所示。水印

本地磁盘映射

本地磁盘映射配置可以控制终端用户是否可以读写本地磁盘在云桌面上的映射驱动器的权限。
  • 关闭:云桌面上没有本地磁盘的映射,如下图所示。关闭本地磁盘映射
  • 只读:云桌面上有本地磁盘的映射,但是只能读取(复制)本地文件,不能修改本地文件,如下图所示。只读本地磁盘
  • 读写:云桌面上有本地磁盘的映射,可以读取(复制)本地文件,也可以修改本地文件,如下图所示。读写本地磁盘

剪贴板

剪贴板配置可以控制终端用户是否可以在本地和云桌面之间进行复制操作的权限。
  • 关闭:云桌面和本地之间无法进行复制操作,如下图所示。关闭剪贴板
  • 只读:可以将本地内容复制到云桌面,不能将云桌面内容复制到本地,如下图所示。
  • 读写:可以将本地内容复制到云桌面,也可以将云桌面内容复制到本地,如下图所示。读写剪贴板

抢占

抢占配置可以控制在已有终端用户登录云桌面的情况下,其他终端用户是否可以抢占登录该云桌面。
  • 允许:云桌面已有终端用户登录时,其他终端用户可以抢占登录该云桌面,原终端用户将被强制断开连接,并关闭云桌面窗口。
  • 禁止:云桌面已有终端用户登录时,其他终端用户无法登录该云桌面。如下图所示。禁止抢占

网络管控规则

网络管控规则用于控制云桌面的入流量和出流量,一条网络管控规则由规则方向、优先级、IP地址段、协议类型、端口范围、授权策略等属性确定。与云桌面建立数据通信前,系统将逐条匹配云桌面关联策略中的网络管控规则,确认是否放行访问请求。对于不同授权策略的规则,采取的措施如下:
  • 对于允许策略的规则,如果访问请求匹配上规则,则将放行访问请求。
  • 对于拒绝策略的规则,如果访问请求匹配上规则,则将拦截访问请求并直接丢弃数据包。
在没有添加任何网络管控规则的情况下,云桌面默认拒绝所有入方向的访问,允许所有出方向的访问。您可以根据需要添加入方向或者出方向的网络管控规则来进一步控制云桌面的出入流量。常见的网络管控规则配置示例如下:
  • 示例一:只允许云桌面访问特定的IP地址。
    默认情况下,云桌面允许所有出方向的访问。您可以添加以下出方向规则,实现只允许云桌面访问特定的IP地址:
    • 规则1:拒绝所有出方向访问。示例如下:
      规则方向 优先级 IP地址段 协议类型 端口范围 授权策略
      出方向 2 0.0.0.0/0 全部 -1/-1 拒绝
    • 规则2:允许访问特定IP地址,优先级必须高于规则1。示例如下:
      规则方向 优先级 IP地址段 协议类型 端口范围 授权策略
      出方向 1 允许访问的IP地址,例如:192.168.1.1/32。 选择适用的协议类型。 设置合适的端口范围。 允许
  • 示例二:允许特定的IP地址能够访问云桌面。
    默认情况下,云桌面拒绝所有入方向的访问。您可以添加允许特定IP地址访问的入方向规则,实现该IP地址能够访问云桌面。示例如下:
    规则方向 优先级 IP地址段 协议类型 端口范围 授权策略
    入方向 1 允许访问的IP地址,例如:192.168.1.1/32。 选择适用的协议类型。 设置合适的端口范围。 允许
  • 示例三:关联不同策略的云桌面之间实现网络互通。
    假设云桌面A关联了策略A,云桌面B关联了策略B。由于云桌面默认拒绝所有入方向的访问,云桌面A和云桌面B之间无法互相访问。您可以在策略A和策略B中添加以下入方向规则,实现云桌面A和云桌面B的网络互通:
    • 在策略A中添加允许云桌面B访问的入方向规则。示例如下:
      规则方向 优先级 IP地址段 协议类型 端口范围 授权策略
      入方向 1 云桌面B的IP地址。 选择适用的协议类型。 设置合适的端口范围。 允许
    • 在策略B中添加允许云桌面A访问的入方向规则。示例如下:
      规则方向 优先级 IP地址段 协议类型 端口范围 授权策略
      入方向 1 云桌面A的IP地址。 选择适用的协议类型。 设置合适的端口范围。 允许