绿色SSL,流量管理、桌面虚拟化      客户自助服务平台绿色SSL,流量管理、桌面虚拟化硬件
 
首 页渠道招募新闻中心客户留言
论 坛申请试用免费培训手机站点
 
 
申请试用
销售热线0755-26635560
TEL:400-6886-502
TEL:158-0129-0729
TEL:13785-107-107
  :755138
  :251094886
 
  总线:4006886502
 
 
首页 >> 解决方案 >> 桌面虚拟化解决方案 > 桌面虚拟化解决方案
 
桌面虚拟化解决方案
    在快速发展的信息化时代,为提升企事业单位信息化管理,以适应快速发展的管理要求,需布署一套覆盖数据中心和分支机构的管理信息系统,实现信息共享、业务互动,系统的、先进的、安全的信息平台,实现远程用户安全、高效、方便地应用总部应用系统。惠尔顿公司基于对上述情况的初步了解和调研分析,根据我们了解到的具体需求,制作了本方案书。

一、应用现状

1、应用数据库在内网的安全问题

       随着企事业单位互联网的建设的不断完善,随着企业信息化的深化发展,越来越多的企业单位的电脑连接入了互联网内,越来越多的应用软件在互联网内普及使用。目前,各个单位可能上了较为完善的互联网系统,但在互联网上运行的各类应用软件系统都是暴露在整个专网上的,因此安全的隐患一直存在。要解决信息畅通、工作效率问题又必须在专网上使用应用系统,这是现在新的工作模式下的两个矛盾体。在之前很多单位也只能利用防火墙和其他杀毒产品来解决应用软件在互联网上的安全问题,但此类解决方案只是治标,不治本,依然存在以下问题:

1.1 在互联网内传输的应用数据,对于机密数据无任何加密等保护措施,导致数据泄密

1.2 在互联网内应用软件的数据服务器群由于需要专网内的其他电脑访问,将服务器群服务端口直接暴露在互联网上,导致数据服务器直接受到专网内的任一电脑的安全威胁。

1.3 在专网内应用软件的数据服务器群的访问权限,无法细致到特定的人特定时间段访问特定的应用软件,导致互联网内的任何人都可以访问所有的数据服务器资源,给非法用户敞开了灾难的大门。

1.4 在互联网内的电脑直接通过网络层访问应用软件数据服务器,一旦电脑由于其他原因如由于业务需要上网,或者便携存储设备等导致感染病毒、木马后,将会直接传播给服务器,造成数据丢失、泄密。

1.5 如果出现安全事故,安全审计能够细到每个人吗?即身份认证是否锁定到人?

1.6 对于重要数据库服务器端操作权限最大的系统管理员,如何将他们误操作导致的安全事故概率降到最低?

2、应用在广域网/专网访问速度慢

       不在同一个办公室的各行企事业单位通过各种形式的广域网相连,他们绝大多数采用专线形式的ADSL连接到应用服务器,或者采用公网的ADSL连接到应用服务器,部分偏远地区采用无线(CDMA)的方式连接到应用服务器,如何使得这部分的用户使用起来的速度效果等同于或者接近于10-100M的局域网网速?

3、管理软件管理与维护的不便

3.1 如果应用系统是用C/S的话,通常的一个应用系统都有上百的用户群,安装100多个的客户端以及维护这些客户端的正常运行的工作量将十分艰巨;

3.2 如果是B/S的话,一般是 基于JAVA开发,运行效率相对比较低,对于客户端服务器端的配置均要求比较高,数据对传输的带宽要求也比较大;同时因为B/S软件是基于IE浏览器来访问的,对于客户端的IE浏览器的标准程度要求比较高,对非标准的一些东西敏感性比较强,导致客户端需要人工安装和维护的工作量和难度还是有的。

二、应用网络优化

1、提升应用访问速度,增强用户体验

1.1、远程应用的虚拟化

       将原来在10M100M局域网的业务搬到广域网上跑,速度会变慢的原因主要是传输通道变窄,广域网上很少有像局域网同样的带宽。传输速率类似于“木桶原理”,整个传输速率取决于传输通道中的瓶颈,为了解决这个问题,我们通过牺牲服务器端的资源来弥补传输带宽的短板。

       通过e地通的远程集中接入功能将所有应用在服务器上100%地安装、管理、支持和执行应用程序,将应用程序的执行和显示逻辑分离开来,所有计算均在服务器上执行,而只有键盘信息、鼠标点击和屏幕更新信息在客户机和服务器之间传输,大大降低对带宽的需求,不到28.8k的带宽就可以流畅的使用大型应用系统。也就是说采用这种模式在广域网络传输的不是真正的业务数据,而是经过压缩和加密后的屏幕变化数据,真真的逻辑运算在服务器总部机器内部或者局域网完成了。

1.2LZO数据流压缩技术

       在将数据通过数据发送之前,先将其通过压缩算法压缩为更少的数据,再将压缩后的数据通过网络传送到另外一端;在另一端接受到数据之后,再通过解压算法解压为原来的数据。这样在网络上传送的数据就比原来少,更加充分利用已有的带宽。对于有一些不能采用远程集中接入模式来解决速度的应用,如单笔数据量并不大,但用户数很多的应用,这种应用如果采用远程集中接入功能就会导致远程集中接入服务器的投资很大,此时采用e地通用压缩技术来解决,对服务器端与客户端交互的数据流进行压缩,提高带宽的利用率,压缩算法为LZO流压缩算法。

2、增强应用的安全防护

2.1、服务器的安全防护

作为架构在应用层的SOCKS5,系统有效的屏蔽了SOCKS5服务器的网络结构,也屏蔽了常见的网络攻击手段,系统根据授权与认证访问授信网络。更重要的是,在系统的客户端,可以指定特定的应用程序才能发起连接,连接到服务器,完成应用的代理过程,根据这个控制,系统可以阻止病毒程序不能通过SOCKS5隧道传输到SOCKS5服务器端,有效保护了服务器数据资源的病毒威胁。

由于IPSec SOCKS5打通了网络低层,一旦被侵入,整个网络都将暴露,建立隧道后,远程PC就像物理地运行在企业局域网上一样,相当于为远程访问者敞开了访问所有资源的大门,并对全部网络可视,为企业网络带来了安全风险。所以非常容易成为黑客攻击的目标。而且一旦客户端被黑客利用,他们会通过SOCKS5访问企业内部系统。这种黑客行为越来越普遍,而且后果也越来越严重。例如,如果雇员从家里的计算机通过公司SOCKS5访问企业资源,在他创建隧道前后,由于个人家用电脑一般缺乏安全防护措施,安全级别很低,如果黑客侵入了这台没有保护的PC,他就获得了经过IPSec SOCKS5隧道访问公司局域网的能力,而且这台接入电脑一旦中毒也非常容易通过SOCKS5在整个内网传输。

作为架构在会话层的SOCKS5,在SOCKS5服务器端,系统有效地屏蔽了的网络结构,也屏蔽了常见的网络攻击手段,如PING UDPICMP包等,系统根据授权与认证访问授信网络;在SOCKS5的客户端,可以指定特定的应用程序才能发起连接,连接到SOCKS5服务器,完成应用的代理过程,根据这个控制,不仅可以实现精细的访问控制功能,重要的是可以阻止病毒和黑客程序不能通过SOCKS5隧道传输到SOCKS5服务器端,有效保护了服务器端数据资源受到安全防范措施弱的异地端的威胁。

e地通 SOCKS5  SOCKS5要求桌面虚拟化者必须正确地使用客户端软件或接入设备,将访问限制在特定的接入设备、客户端程序、用户认证机制和预定义的安全关系上,也不允许从公共Internet发起访问,从而提供了更高水平的安全性。同时提供不需用户任何干预就可以自动将客户端机器硬件信息作为用户认证机制,完美实现了易用、经济又安全的解决方案。

SSL SOCKS5由于完全没有客户端,使得SSL SOCKS5允许用户利用不安全的计算机访问企业网络,这些计算机易于受到键盘敲击记录软件和特洛伊木马的攻击,对企业网络造成威胁。同时用户在Internet上发起访问时,SSL SOCKS5客户端为企业网络带来了风险。为了避免这个缺陷,必须启用硬件KEY这样的外设来做辅助认证工具,这样又会增加它的整体购买成本,同时也削弱了SSL SOCKS5的便利性特性。

另外,SOCKS5的代理机制实现了应用服务器与internet的逻辑隔离。在e地通设备中,支持端口的多个VLAN,应用服务器只需要与e地通设备的其中一个VLAN能实现通讯则可,而应用服务器不必与其他任何第三方有网络的相关连接,除了与e地通设备外。如何实现两个被隔离了的区域之间的访问,即应用用户对核心区的访问?

通过代理机制:

代理服务器的工作原理就是接受用户的请求并把请求转发给用户原本要访问的目的主机,反过来,目的主机的应答通过代理服务器再转发给用户。代理服务器根据支持的协议不同而又有所区别, e地通采用SOCKS5作为代理协议,可以支持所有基于应用层的通信协议。

基于以上现有的技术,e地通(如下图),其中包含有代理客户端、代理服务器。

代理模式的应用图解

上图给出了代理模式下e地通客户端、e地通服务器协同工作的流程,这个流程可以简单概括如下:

1)        e地通客户端监听用户对核心数据区的访问请求,并将该访问请求以SOCKS5协议的方式封装并加密起来发送给e地通服务器;

2)        e地通服务器执行相关的身份认证及访问控制策略,决定是否将该请求转发到目的应用服务器上。

以上步骤简要的概括了代理模式下如何完成应用用户对核心区的访问。

2.2、数据传输中的安全

采用AES 128位对称加密算法实现数据传输的加密的;基于AES 128加密算法,在Internet上建立安全可信的隧道,客户端与服务器之间的数据都是通过安全隧道传递。该加密算法的加密效率比同等级别的3DES的加密效率快3倍,而加密的密级与3DES相当。同时支持第三方算法或硬件加密卡;采用SHA1的数据完整性认证保证传输数据的完整性;

2.3、客户端的安全

客户端的安全主要在于环境检测,检测客户端是否安装了防火墙、杀毒软件、系统漏洞扫描存在已经的重大漏洞。在一个全网的安全环境下,在服务器端设置客户端的安全环境要求,只有符合安全环境检查的客户端才能接入到应用服务器,否则,需要提示用户升级处理或者进行客户端的漏洞补丁。

同时支持客户端设备控制:禁止U盘、禁止无线网络、禁止红外等,这些都是容易被黑客利用带入病毒的方式与工具,禁止可以降低客户端环境的安全风险。

支持windows计算机登陆,拔出Key计算机锁屏,确保客户端的计算机上专人专用,不至于在外出的时候或者临时离开的时候被第三方使用,植入病毒、木马类程序。

2.4、身份认证

身份认证模块可以有效地鉴别来访应用用户的身份信息,以及确定其是否具有访问核心区受控资源的权限。传统的身份认证机制往往采用的是简单的用户名和密码的形式,在进行身份信息确认的过程中,通常也是采用明文方式来发送身份信息,比如不支持HTTPSWEB邮件系统就是一个典型的例子。这种通过明文方式来进行身份信息认证的过程是非常危险的,攻击者可以很轻松的利用一些常用的嗅探工具(如Sniffer Pro)就可以得到用户的身份信息。

支持用户名密码认证方式、支持硬件key智能卡认证、硬件特征码绑定,U盘认证、e地通安全存储Key认证、动态令牌卡认证,同时支持新增的第三方认证方式,如CA证书认证、RADIUS认证、LDAP认证、Windows Active Directory认证。另外,系统采用模块化设计,支持模块化插入其他加密算法以及硬件加密卡,同时支持模块化新增的认证方式。

       支持的认证方式参考《设备性能参数表》。

2.5、应用级的访问控制

访问控制可以保护应用用户非法操作对核心区的安全侵袭,切断应用用户对核心数据区指定机器指定应用以外数据的非法访问。评价一个系统是否具有比较高的安全性能指标,一个重要因素就是看该系统提供的访问控制粒度。作为一个好的安全系统,细粒度的访问控制是至关重要的。

e地通支持基于IP地址、端口和应用的访问控制策略,从而方便网络管理员对应用用户访问核心区应用资源进行更为准确和细致的定位。在访问控制的具体实现上,访问控制模块维护了一个全局的访问控制列表,列表中定义了每一个用户的访问权限,包括被访问资源的IP地址、端口号及可以被RDP执行的应用程序。可以用一棵资源树型图简单的表示其结构:

用户权限树型图

每一项网络资源都拥有若干种访问权限属性,上图简单列出了最基本的访问权限属性,包括IP地址、端口、用户身份、应用程序路径等属性信息。当远程用户发出应用资源访问请求时,访问控制模块可以根据该请求所包含的如下信息:IP地址、端口号、用户身份、应用协议(协议分析模块分析而得)判定用户的请求是否合法,从而决定是否允许用户进行远程访问网络资源。

根据以往经验,为了充分保证该功能的充分实现,最好不要在核心数据区开放过大过粗的访问权限(如大到整个核心区网段的机器;粗到所有的端口,尤其是文件拷贝和粘贴的功能)。

2.6SOCKS5专线效果

我们的网络控制客户端,在点击运行后,客户端自动断开外网,客户只能通过我们的e地通客户端接入到e地通服务器以及应用服务器,所有的一切上网操作都进行中断。这样就非常有效的保证了客户端在接入服务器的时候,避免正在上网的客户端威胁到核心数据库的安全!

3、应用集中部署,降低应用的管理开销

       e地通的远程集中接入功能将企业各种业务应用软件集中部署在应用服务器端局域网中的某台SERVER上,集中管理,无需在客户机上安装业务软件,用户也不再受客户端和网络低带宽的限制,让用户在任何时间、任何地点、使用任何设备、采用任何网络连接,都可以高效、安全的访问服务器上的各种应用软件。

3.1 对于C/S软件的话,可以免去客户端的安装和维护工作。

3.2 对于B/S软件,因为B/S软件是基于IE浏览器来访问的,对于客户端的IE浏览器的标准程度要求比较高,对非标准的一些东西敏感性比较强,对于客户端的软件环境纯度要求比较高,一旦感染上一些病毒程序,就可能影响IE运行该管理软件。所以需要管理软件网络优化设备配套的安全智能存储客户端,把客户端需要下载的一些程序、对IE浏览器的修改、对注册表的修改等配置方式全部在后端完成,并存储在该KEY里,尽量做到与客户端电脑软件环境无关性,这样可以最大程度的实现客户端免安装、免培训、免服务。

3.3 C/SB/S软件均可以降低客户端机器硬件配置和一些常规操作系统的投资成本、以及维护成本。

3.4 整个应用软件的维护点只要聚焦在服务器端,这样对于整个系统的稳定运行提供了最小的事故发生点,保证了系统最高概率的稳定运行保障。     

三、方案效果

1、提升访问速度5-10

远程集中接入功能具有强大的应用程序发布能力,它能动态的将应用程序输入输出逻辑与计算逻辑分离,省去C/S应用的异地客户端安装和维护工作,实现单笔数据量大,用户数少的应用在28.8K的互联网上快速运行.

速度对比表:

不用e地通通过映射应用软件端口到公网访问速度(简称访问方式A)和通过e地通远程集中接入(简称访问方式B)速度对比:

 

公网直接访问

e地通远程集中接入

从页面加载开始到完成登入界面

05:344S

02:375S

输入用户名密码单击确定后到进入操作页面

2:000S

01:531S

软件内部模块数据处理:总预算会计系统〉系统级基础资料〉会计期间模板

05:250S

00:563S

使用e地通远程集中接入方式速度的提高在加载新的页面,加载服务器数据时,对比传统访问得到充分体现。加载的数据量越大,效果愈加明显!

对于有一些不能采用远程集中接入模式来解决速度的应用,如单笔数据量并不大,但用户数很多的应用,这种应用如果采用远程集中接入功能就会导致远程集中接入服务器的投资很大,此时采用e地通用压缩技术来解决,对服务器端与客户端交互的数据流进行压缩,提高带宽的利用率,压缩算法为LZO流压缩算法。以下是一张对比表,用公网传输和e地通传输的对比表,来体现压缩的效能。

2、保障了核心数据的安全

从客户端的应用环境、客户端的身份识别、数据传输的安全、防火墙的边界安全、应用的访问权限到应用服务器的隔离与隐藏,实现了全面的全网络的安全防护体系。

接入的客户端的网络环境是安全的是可以信任的,用户的身份是确定的,应用的访问权限是明确的可以管理的,整个应用服务器(服务器群)是隐藏与隔离的,只留下e地通的端口对外服务,所有的风险在设备上,不能透过设备攻击应用服务器群。

3、降低应用系统的80%维护成本

软件升级、维护、故障处理,维护工作就由缩小到,尤其是地域分布较广的用户,将深深体会到原来繁重的维护工作量变得简单轻松。客户端软件对硬件要求低,即使一台PII电脑也能运行大型的ERP系统,客户端的使用周期延长了2~3倍。

由于传统SOCKS5多为采用第三方动态域名解析技术来解决ERP服务器端IP寻址问题,如花生壳、3322等,但此类解决办法不是正规解决之道,容易出现掉线、不稳定。而且企业信息化系统的成本计算应该与周期挂钩,因为很多费用往往发生在后期的维护与追加投入上,经过验证,采用“e地通管理软件网络优化解决方案的系统,在一年的时间里能够比传统解决方案的系统节省10%~20%,随着时间的延续,这种比例将会越来越大。

4、与应用整合,使用培训费用降低50%

系统部署后,系统的培训使用成本就是绿色客户端的使用,即插即用的U盘使用或者e地通安全存储Key的使用。即使只会基本的计算机使用人员也会使用整个系统。系统的培训主要关注于应用系统的培训,而不必关注连接、安全、优化类产品。

四、产品部署

1、企事业单位网络

企业内外网用户,通过e地通的WAN口,该WAN口的IP与防火墙和其他普通用户在同一个网段,同时在防火墙上把e地通的WANIPe地通的应用端口1111做个端口映射。管理软件服务器和其他关键应用形成的核心数据区接在e地通设备的LAN口上,该LAN口与管理软件服务器的IP地址在同一个网段,要与WAN口和其他用户的IP网段做成不一样,以屏蔽局域网的普通用户对核心数据区的网络潜在攻击和安全侵袭;核心数据区的服务器无须设网关,同时在e地通设备上将这些服务器的内网-外网的所有端口关掉,将服务器主动往外可能产生的安全隐患也全部屏蔽掉。把e地通架设在防火墙后面,将管理软件服务器和其他数据库和应用服务器接在e地通设备上,做成一个独立的子网——核心数据区,通过e地通的防火墙设置,将这些服务器的所有端口关闭。在e地通设备上对要来访问的用户进行授权,授权访问细到IP及端口。如果外网用户需要访问C/S应用的话,需要添置一台集中接入服务器,装上C/S应用的客户端程序,做集中发布,其他的用户不用再装C/S软件的客户端。在总部需要访问管理软件系统和核心数据区其他应用的用户装上e地通的客户端,让他们能且仅能访问指定的应用,屏蔽了内部局域网用户访问管理软件系统可能带来的对服务器的安全侵袭。

2、远程连接模式

在核心数据区前安装e地通服务器,在需要访问核心数据区的用户机器上运行e地通客户端或通过指定的WEB地址登陆e地通服务器,e地通服务器在代理合法用户去访问指定机器的指定应用。

异地的分公司,如果要到每个分公司去安装分公司的客户端,这是一个很大的工作量,以后的维护工作也会很大。e地通能够切实的实现把这个维护量减少到最小,节约以后的维护成本。具体的实施方案如下:

在各个分公司的内网的原有数据库服务器装上应用管理软件的SERVER端;并再购置一台服务器装上Microsoft 2003  Server操作系统并配置终端服务,并在上面装上应用管理软件的客户端;在公司总部的网关处配置一台e地通硬件设备,在下属的分公司安装上e地通的客户端,无须安装应用管理软件的客户端,通过e地通,从分公司来访问总部公司的应用服务器,实现信息同步共享。

这样一来,应用管理软件以后可能遇到的故障就集中在公司总部进行解决,完全不必要安排人到每个分公司去实地解决,维护工作量大大减少。同时因为e地通是一台硬件设备,无须安装,所有配置工作可以在给到客户应用环境前完成,由该公司通过惠尔顿专业认证技术工程师组织一次性配置完毕,该设备随同管理软件安装团队到达每个分公司,无须再增加e地通上门安装调试人员。分公司人员的机器无须拿到总部公司安装客户端,惠尔顿专业认证技术工程师将相关个性化信息配置完毕后通过邮件给分公司人员一个自解压包,分公司人员双击该自解压包,e地通客户端就到了分公司人员的PC上,这些操作者点右下脚的e地通图标,点远程桌面就进入到企业应用管理软件的登陆界面。

3、需要访问管理软件的用户

需要访问管理软件系统的内外网用户,通过硬件Key双因素认证或通过e地通绿色客户端的Key来实现对管理软件的访问。

    也可以采用4GU盘或者e地通安全存储Key实现即插即用的安全连接,在实现客户安全身份认证的同时,将使用者的配置降低到“零”,大大地降低整个系统的培训费用与维护费用。

 

 

 
 
e地通W600NGFW
e地通W480PG
存储介质信息消除
网络安全审计
Web防火墙
 
 
绿色VPN,流量管理、远程接入硬件
   
联系我们 | 申请试用 | 友情链接 | 广西隆团 粤ICP备05033555号 | 深圳市惠尔顿信息技术有限公司
绿色VPN,流量管理、远程接入硬件