热火vs凯尔特人      客戶自助服務平臺綠色SSL,流量管理、桌面虛擬化硬件
 
首 頁渠道招募新聞中心客戶留言
論 壇申請試用免費培訓手機站點
 
 
申請試用
銷售熱線0755-26635560
TEL:400-6886-502
TEL:158-0129-0729
TEL:13785-107-107
  :755138
  :251094886
  :756879256
 
  總線:4006886502
  北方區:755131
  華東區:755132
  其他區:339288169
 
 
首頁 >> 解決方案 >> 桌面虛擬化解決方案 > 桌面虛擬化解決方案
 
桌面虛擬化解決方案
    在快速發展的信息化時代,為提升企事業單位信息化管理,以適應快速發展的管理要求,需布署一套覆蓋數據中心和分支機構的管理信息系統,實現信息共享、業務互動,系統的、先進的、安全的信息平臺,實現遠程用戶安全、高效、方便地應用總部應用系統?;荻俟凈詼隕鮮鑾榭齙某醪攪私夂偷餮蟹治?,根據我們了解到的具體需求,制作了本方案書。

凯尔特人啤酒:一、應用現狀

1、應用數據庫在內網的安全問題

热火vs凯尔特人 www.ouojl.club        隨著企事業單位互聯網的建設的不斷完善,隨著企業信息化的深化發展,越來越多的企業單位的電腦連接入了互聯網內,越來越多的應用軟件在互聯網內普及使用。目前,各個單位可能上了較為完善的互聯網系統,但在互聯網上運行的各類應用軟件系統都是暴露在整個專網上的,因此安全的隱患一直存在。要解決信息暢通、工作效率問題又必須在專網上使用應用系統,這是現在新的工作模式下的兩個矛盾體。在之前很多單位也只能利用防火墻和其他殺毒產品來解決應用軟件在互聯網上的安全問題,但此類解決方案只是治標,不治本,依然存在以下問題:

1.1 在互聯網內傳輸的應用數據,對于機密數據無任何加密等?;ご朧?,導致數據泄密。

1.2 在互聯網內應用軟件的數據服務器群由于需要專網內的其他電腦訪問,將服務器群服務端口直接暴露在互聯網上,導致數據服務器直接受到專網內的任一電腦的安全威脅。

1.3 在專網內應用軟件的數據服務器群的訪問權限,無法細致到特定的人特定時間段訪問特定的應用軟件,導致互聯網內的任何人都可以訪問所有的數據服務器資源,給非法用戶敞開了災難的大門。

1.4 在互聯網內的電腦直接通過網絡層訪問應用軟件數據服務器,一旦電腦由于其他原因如由于業務需要上網,或者便攜存儲設備等導致感染病毒、木馬后,將會直接傳播給服務器,造成數據丟失、泄密。

1.5 如果出現安全事故,安全審計能夠細到每個人嗎?即身份認證是否鎖定到人?

1.6 對于重要數據庫服務器端操作權限最大的系統管理員,如何將他們誤操作導致的安全事故概率降到最低?

2、應用在廣域網/專網訪問速度慢

       不在同一個辦公室的各行企事業單位通過各種形式的廣域網相連,他們絕大多數采用專線形式的ADSL連接到應用服務器,或者采用公網的ADSL連接到應用服務器,部分偏遠地區采用無線(CDMA)的方式連接到應用服務器,如何使得這部分的用戶使用起來的速度效果等同于或者接近于10-100M的局域網網速?

3、管理軟件管理與維護的不便

3.1 如果應用系統是用C/S的話,通常的一個應用系統都有上百的用戶群,安裝100多個的客戶端以及維護這些客戶端的正常運行的工作量將十分艱巨;

3.2 如果是B/S的話,一般是 基于JAVA開發,運行效率相對比較低,對于客戶端服務器端的配置均要求比較高,數據對傳輸的帶寬要求也比較大;同時因為B/S軟件是基于IE瀏覽器來訪問的,對于客戶端的IE瀏覽器的標準程度要求比較高,對非標準的一些東西敏感性比較強,導致客戶端需要人工安裝和維護的工作量和難度還是有的。

二、應用網絡優化

1、提升應用訪問速度,增強用戶體驗

1.1、遠程應用的虛擬化

       將原來在10M100M局域網的業務搬到廣域網上跑,速度會變慢的原因主要是傳輸通道變窄,廣域網上很少有像局域網同樣的帶寬。傳輸速率類似于“木桶原理”,整個傳輸速率取決于傳輸通道中的瓶頸,為了解決這個問題,我們通過犧牲服務器端的資源來彌補傳輸帶寬的短板。

       通過e地通的遠程集中接入功能將所有應用在服務器上100%地安裝、管理、支持和執行應用程序,將應用程序的執行和顯示邏輯分離開來,所有計算均在服務器上執行,而只有鍵盤信息、鼠標點擊和屏幕更新信息在客戶機和服務器之間傳輸,大大降低對帶寬的需求,不到28.8k的帶寬就可以流暢的使用大型應用系統。也就是說采用這種模式在廣域網絡傳輸的不是真正的業務數據,而是經過壓縮和加密后的屏幕變化數據,真真的邏輯運算在服務器總部機器內部或者局域網完成了。

1.2、LZO數據流壓縮技術

       在將數據通過數據發送之前,先將其通過壓縮算法壓縮為更少的數據,再將壓縮后的數據通過網絡傳送到另外一端;在另一端接受到數據之后,再通過解壓算法解壓為原來的數據。這樣在網絡上傳送的數據就比原來少,更加充分利用已有的帶寬。對于有一些不能采用遠程集中接入模式來解決速度的應用,如單筆數據量并不大,但用戶數很多的應用,這種應用如果采用遠程集中接入功能就會導致遠程集中接入服務器的投資很大,此時采用e地通用壓縮技術來解決,對服務器端與客戶端交互的數據流進行壓縮,提高帶寬的利用率,壓縮算法為LZO流壓縮算法。

2、增強應用的安全防護

2.1、服務器的安全防護

作為架構在應用層的SOCKS5,系統有效的屏蔽了SOCKS5服務器的網絡結構,也屏蔽了常見的網絡攻擊手段,系統根據授權與認證訪問授信網絡。更重要的是,在系統的客戶端,可以指定特定的應用程序才能發起連接,連接到服務器,完成應用的代理過程,根據這個控制,系統可以阻止病毒程序不能通過SOCKS5隧道傳輸到SOCKS5服務器端,有效?;ち朔衿魘葑試吹牟《就?。

由于IPSec SOCKS5打通了網絡低層,一旦被侵入,整個網絡都將暴露,建立隧道后,遠程PC就像物理地運行在企業局域網上一樣,相當于為遠程訪問者敞開了訪問所有資源的大門,并對全部網絡可視,為企業網絡帶來了安全風險。所以非常容易成為黑客攻擊的目標。而且一旦客戶端被黑客利用,他們會通過SOCKS5訪問企業內部系統。這種黑客行為越來越普遍,而且后果也越來越嚴重。例如,如果雇員從家里的計算機通過公司SOCKS5訪問企業資源,在他創建隧道前后,由于個人家用電腦一般缺乏安全防護措施,安全級別很低,如果黑客侵入了這臺沒有?;さ?/SPAN>PC,他就獲得了經過IPSec SOCKS5隧道訪問公司局域網的能力,而且這臺接入電腦一旦中毒也非常容易通過SOCKS5在整個內網傳輸。

作為架構在會話層的SOCKS5,在SOCKS5服務器端,系統有效地屏蔽了的網絡結構,也屏蔽了常見的網絡攻擊手段,如PING 、UDP、ICMP包等,系統根據授權與認證訪問授信網絡;在SOCKS5的客戶端,可以指定特定的應用程序才能發起連接,連接到SOCKS5服務器,完成應用的代理過程,根據這個控制,不僅可以實現精細的訪問控制功能,重要的是可以阻止病毒和黑客程序不能通過SOCKS5隧道傳輸到SOCKS5服務器端,有效?;ち朔衿鞫聳葑試詞艿槳踩婪洞朧┤醯囊斕囟說耐?。

e地通 SOCKS5  SOCKS5要求桌面虛擬化者必須正確地使用客戶端軟件或接入設備,將訪問限制在特定的接入設備、客戶端程序、用戶認證機制和預定義的安全關系上,也不允許從公共Internet發起訪問,從而提供了更高水平的安全性。同時提供不需用戶任何干預就可以自動將客戶端機器硬件信息作為用戶認證機制,完美實現了易用、經濟又安全的解決方案。

SSL SOCKS5由于完全沒有客戶端,使得SSL SOCKS5允許用戶利用不安全的計算機訪問企業網絡,這些計算機易于受到鍵盤敲擊記錄軟件和特洛伊木馬的攻擊,對企業網絡造成威脅。同時用戶在Internet上發起訪問時,SSL SOCKS5客戶端為企業網絡帶來了風險。為了避免這個缺陷,必須啟用硬件KEY這樣的外設來做輔助認證工具,這樣又會增加它的整體購買成本,同時也削弱了SSL SOCKS5的便利性特性。

另外,SOCKS5的代理機制實現了應用服務器與internet的邏輯隔離。在e地通設備中,支持端口的多個VLAN,應用服務器只需要與e地通設備的其中一個VLAN能實現通訊則可,而應用服務器不必與其他任何第三方有網絡的相關連接,除了與e地通設備外。如何實現兩個被隔離了的區域之間的訪問,即應用用戶對核心區的訪問?

通過代理機制:

代理服務器的工作原理就是接受用戶的請求并把請求轉發給用戶原本要訪問的目的主機,反過來,目的主機的應答通過代理服務器再轉發給用戶。代理服務器根據支持的協議不同而又有所區別, e地通采用SOCKS5作為代理協議,可以支持所有基于應用層的通信協議。

基于以上現有的技術,e地通(如下圖),其中包含有代理客戶端、代理服務器。

代理模式的應用圖解

上圖給出了代理模式下e地通客戶端、e地通服務器協同工作的流程,這個流程可以簡單概括如下:

1)        e地通客戶端監聽用戶對核心數據區的訪問請求,并將該訪問請求以SOCKS5協議的方式封裝并加密起來發送給e地通服務器;

2)        e地通服務器執行相關的身份認證及訪問控制策略,決定是否將該請求轉發到目的應用服務器上。

以上步驟簡要的概括了代理模式下如何完成應用用戶對核心區的訪問。

2.2、數據傳輸中的安全

采用AES 128位對稱加密算法實現數據傳輸的加密的;基于AES 128加密算法,在Internet上建立安全可信的隧道,客戶端與服務器之間的數據都是通過安全隧道傳遞。該加密算法的加密效率比同等級別的3DES的加密效率快3倍,而加密的密級與3DES相當。同時支持第三方算法或硬件加密卡;采用SHA1的數據完整性認證保證傳輸數據的完整性;

2.3、客戶端的安全

客戶端的安全主要在于環境檢測,檢測客戶端是否安裝了防火墻、殺毒軟件、系統漏洞掃描存在已經的重大漏洞。在一個全網的安全環境下,在服務器端設置客戶端的安全環境要求,只有符合安全環境檢查的客戶端才能接入到應用服務器,否則,需要提示用戶升級處理或者進行客戶端的漏洞補丁。

同時支持客戶端設備控制:禁止U盤、禁止無線網絡、禁止紅外等,這些都是容易被黑客利用帶入病毒的方式與工具,禁止可以降低客戶端環境的安全風險。

支持windows計算機登陸,拔出Key計算機鎖屏,確??突Ф說募撲慊獻ㄈ俗ㄓ?,不至于在外出的時候或者臨時離開的時候被第三方使用,植入病毒、木馬類程序。

2.4、身份認證

身份認證??榭梢雜行У丶鵠捶糜τ糜沒У納矸菪畔?,以及確定其是否具有訪問核心區受控資源的權限。傳統的身份認證機制往往采用的是簡單的用戶名和密碼的形式,在進行身份信息確認的過程中,通常也是采用明文方式來發送身份信息,比如不支持HTTPSWEB郵件系統就是一個典型的例子。這種通過明文方式來進行身份信息認證的過程是非常危險的,攻擊者可以很輕松的利用一些常用的嗅探工具(如Sniffer Pro)就可以得到用戶的身份信息。

支持用戶名密碼認證方式、支持硬件key智能卡認證、硬件特征碼綁定,U盤認證、e地通安全存儲Key認證、動態令牌卡認證,同時支持新增的第三方認證方式,如CA證書認證、RADIUS認證、LDAP認證、Windows Active Directory認證。另外,系統采用??榛杓?,支持??榛迦肫淥用芩惴ㄒ約壩布用蕓?,同時支持??榛略齙娜現し絞?。

       支持的認證方式參考《設備性能參數表》。

2.5、應用級的訪問控制

訪問控制可以?;びτ糜沒Х欠ú僮鞫院誦那陌踩窒?,切斷應用用戶對核心數據區指定機器指定應用以外數據的非法訪問。評價一個系統是否具有比較高的安全性能指標,一個重要因素就是看該系統提供的訪問控制粒度。作為一個好的安全系統,細粒度的訪問控制是至關重要的。

e地通支持基于IP地址、端口和應用的訪問控制策略,從而方便網絡管理員對應用用戶訪問核心區應用資源進行更為準確和細致的定位。在訪問控制的具體實現上,訪問控制??槲ち艘桓鋈值姆夢士刂屏斜?,列表中定義了每一個用戶的訪問權限,包括被訪問資源的IP地址、端口號及可以被RDP執行的應用程序??梢雜靡豢米試詞饜屯技虻サ謀硎酒浣峁梗?/SPAN>

用戶權限樹型圖

每一項網絡資源都擁有若干種訪問權限屬性,上圖簡單列出了最基本的訪問權限屬性,包括IP地址、端口、用戶身份、應用程序路徑等屬性信息。當遠程用戶發出應用資源訪問請求時,訪問控制??榭梢愿莞們肭笏娜縵灤畔ⅲ?/SPAN>IP地址、端口號、用戶身份、應用協議(協議分析??櫸治齠茫┡卸ㄓ沒У那肭笫欠窈戲?,從而決定是否允許用戶進行遠程訪問網絡資源。

根據以往經驗,為了充分保證該功能的充分實現,最好不要在核心數據區開放過大過粗的訪問權限(如大到整個核心區網段的機器;粗到所有的端口,尤其是文件拷貝和粘貼的功能)。

2.6、SOCKS5專線效果

我們的網絡控制客戶端,在點擊運行后,客戶端自動斷開外網,客戶只能通過我們的e地通客戶端接入到e地通服務器以及應用服務器,所有的一切上網操作都進行中斷。這樣就非常有效的保證了客戶端在接入服務器的時候,避免正在上網的客戶端威脅到核心數據庫的安全!

3、應用集中部署,降低應用的管理開銷

       e地通的遠程集中接入功能將企業各種業務應用軟件集中部署在應用服務器端局域網中的某臺SERVER上,集中管理,無需在客戶機上安裝業務軟件,用戶也不再受客戶端和網絡低帶寬的限制,讓用戶在任何時間、任何地點、使用任何設備、采用任何網絡連接,都可以高效、安全的訪問服務器上的各種應用軟件。

3.1 對于C/S軟件的話,可以免去客戶端的安裝和維護工作。

3.2 對于B/S軟件,因為B/S軟件是基于IE瀏覽器來訪問的,對于客戶端的IE瀏覽器的標準程度要求比較高,對非標準的一些東西敏感性比較強,對于客戶端的軟件環境純度要求比較高,一旦感染上一些病毒程序,就可能影響IE運行該管理軟件。所以需要管理軟件網絡優化設備配套的安全智能存儲客戶端,把客戶端需要下載的一些程序、對IE瀏覽器的修改、對注冊表的修改等配置方式全部在后端完成,并存儲在該KEY里,盡量做到與客戶端電腦軟件環境無關性,這樣可以最大程度的實現客戶端免安裝、免培訓、免服務。

3.3 C/SB/S軟件均可以降低客戶端機器硬件配置和一些常規操作系統的投資成本、以及維護成本。

3.4 整個應用軟件的維護點只要聚焦在服務器端,這樣對于整個系統的穩定運行提供了最小的事故發生點,保證了系統最高概率的穩定運行保障。     

三、方案效果

1、提升訪問速度5-10

遠程集中接入功能具有強大的應用程序發布能力,它能動態的將應用程序輸入輸出邏輯與計算邏輯分離,省去C/S應用的異地客戶端安裝和維護工作,實現單筆數據量大,用戶數少的應用在28.8K的互聯網上快速運行.

速度對比表:

不用e地通通過映射應用軟件端口到公網訪問速度(簡稱訪問方式A)和通過e地通遠程集中接入(簡稱訪問方式B)速度對比:

 

公網直接訪問

e地通遠程集中接入

從頁面加載開始到完成登入界面

05:344S

02:375S

輸入用戶名密碼單擊確定后到進入操作頁面

2:000S

01:531S

軟件內部??槭荽恚鶴茉に慊峒葡低場迪低臣痘∽柿稀禱峒破詡淠0?/FONT>

05:250S

00:563S

使用e地通遠程集中接入方式速度的提高在加載新的頁面,加載服務器數據時,對比傳統訪問得到充分體現。加載的數據量越大,效果愈加明顯!

對于有一些不能采用遠程集中接入模式來解決速度的應用,如單筆數據量并不大,但用戶數很多的應用,這種應用如果采用遠程集中接入功能就會導致遠程集中接入服務器的投資很大,此時采用e地通用壓縮技術來解決,對服務器端與客戶端交互的數據流進行壓縮,提高帶寬的利用率,壓縮算法為LZO流壓縮算法。以下是一張對比表,用公網傳輸和e地通傳輸的對比表,來體現壓縮的效能。

2、保障了核心數據的安全

從客戶端的應用環境、客戶端的身份識別、數據傳輸的安全、防火墻的邊界安全、應用的訪問權限到應用服務器的隔離與隱藏,實現了全面的全網絡的安全防護體系。

接入的客戶端的網絡環境是安全的是可以信任的,用戶的身份是確定的,應用的訪問權限是明確的可以管理的,整個應用服務器(服務器群)是隱藏與隔離的,只留下e地通的端口對外服務,所有的風險在設備上,不能透過設備攻擊應用服務器群。

3、降低應用系統的80%維護成本

軟件升級、維護、故障處理,維護工作就由縮小到,尤其是地域分布較廣的用戶,將深深體會到原來繁重的維護工作量變得簡單輕松??突Ф巳砑雜布蟮?,即使一臺PII電腦也能運行大型的ERP系統,客戶端的使用周期延長了2~3倍。

由于傳統SOCKS5多為采用第三方動態域名解析技術來解決ERP服務器端IP尋址問題,如花生殼、3322等,但此類解決辦法不是正規解決之道,容易出現掉線、不穩定。而且企業信息化系統的成本計算應該與周期掛鉤,因為很多費用往往發生在后期的維護與追加投入上,經過驗證,采用“e地通管理軟件網絡優化解決方案的系統,在一年的時間里能夠比傳統解決方案的系統節省10%~20%,隨著時間的延續,這種比例將會越來越大。

4、與應用整合,使用培訓費用降低50%

系統部署后,系統的培訓使用成本就是綠色客戶端的使用,即插即用的U盤使用或者e地通安全存儲Key的使用。即使只會基本的計算機使用人員也會使用整個系統。系統的培訓主要關注于應用系統的培訓,而不必關注連接、安全、優化類產品。

四、產品部署

1、企事業單位網絡

企業內外網用戶,通過e地通的WAN口,該WAN口的IP與防火墻和其他普通用戶在同一個網段,同時在防火墻上把e地通的WANIPe地通的應用端口1111做個端口映射。管理軟件服務器和其他關鍵應用形成的核心數據區接在e地通設備的LAN口上,該LAN口與管理軟件服務器的IP地址在同一個網段,要與WAN口和其他用戶的IP網段做成不一樣,以屏蔽局域網的普通用戶對核心數據區的網絡潛在攻擊和安全侵襲;核心數據區的服務器無須設網關,同時在e地通設備上將這些服務器的內網-外網的所有端口關掉,將服務器主動往外可能產生的安全隱患也全部屏蔽掉。把e地通架設在防火墻后面,將管理軟件服務器和其他數據庫和應用服務器接在e地通設備上,做成一個獨立的子網——核心數據區,通過e地通的防火墻設置,將這些服務器的所有端口關閉。在e地通設備上對要來訪問的用戶進行授權,授權訪問細到IP及端口。如果外網用戶需要訪問C/S應用的話,需要添置一臺集中接入服務器,裝上C/S應用的客戶端程序,做集中發布,其他的用戶不用再裝C/S軟件的客戶端。在總部需要訪問管理軟件系統和核心數據區其他應用的用戶裝上e地通的客戶端,讓他們能且僅能訪問指定的應用,屏蔽了內部局域網用戶訪問管理軟件系統可能帶來的對服務器的安全侵襲。

2、遠程連接模式

在核心數據區前安裝e地通服務器,在需要訪問核心數據區的用戶機器上運行e地通客戶端或通過指定的WEB地址登陸e地通服務器,e地通服務器在代理合法用戶去訪問指定機器的指定應用。

異地的分公司,如果要到每個分公司去安裝分公司的客戶端,這是一個很大的工作量,以后的維護工作也會很大。e地通能夠切實的實現把這個維護量減少到最小,節約以后的維護成本。具體的實施方案如下:

在各個分公司的內網的原有數據庫服務器裝上應用管理軟件的SERVER端;并再購置一臺服務器裝上Microsoft 2003  Server操作系統并配置終端服務,并在上面裝上應用管理軟件的客戶端;在公司總部的網關處配置一臺e地通硬件設備,在下屬的分公司安裝上e地通的客戶端,無須安裝應用管理軟件的客戶端,通過e地通,從分公司來訪問總部公司的應用服務器,實現信息同步共享。

這樣一來,應用管理軟件以后可能遇到的故障就集中在公司總部進行解決,完全不必要安排人到每個分公司去實地解決,維護工作量大大減少。同時因為e地通是一臺硬件設備,無須安裝,所有配置工作可以在給到客戶應用環境前完成,由該公司通過惠爾頓專業認證技術工程師組織一次性配置完畢,該設備隨同管理軟件安裝團隊到達每個分公司,無須再增加e地通上門安裝調試人員。分公司人員的機器無須拿到總部公司安裝客戶端,惠爾頓專業認證技術工程師將相關個性化信息配置完畢后通過郵件給分公司人員一個自解壓包,分公司人員雙擊該自解壓包,e地通客戶端就到了分公司人員的PC上,這些操作者點右下腳的e地通圖標,點遠程桌面就進入到企業應用管理軟件的登陸界面。

3、需要訪問管理軟件的用戶

需要訪問管理軟件系統的內外網用戶,通過硬件Key雙因素認證或通過e地通綠色客戶端的Key來實現對管理軟件的訪問。

    也可以采用4GU盤或者e地通安全存儲Key實現即插即用的安全連接,在實現客戶安全身份認證的同時,將使用者的配置降低到“零”,大大地降低整個系統的培訓費用與維護費用。

 

 

 
 
e地通W600NGFW
e地通W480PG
存儲介質信息消除
網絡安全審計
Web防火墻
 
 
綠色VPN,流量管理、遠程接入硬件
   
聯系我們 | 申請試用 | 友情鏈接 | 廣西隆團 热火vs凯尔特人
綠色VPN,流量管理、遠程接入硬件