深信服桌面平移產品應用解決方案

PAGE桌面平移產品應用解決方案深信服科技有限公司201桌面平移產品應用解決方案文檔密級：保密PAGEi深信服科技版權所有目錄TOC\o"2-3"\h\z\t"標題1,1,SANGFOR_1_標題1,1"第1章 需求背景 1第2章 深信服手機遠程移動辦公解決方案價值 12.1 方案價值 12.1.1 系統(tǒng)信息化使用性加強 22.1.2 信息安全性加強 22.1.3 降低IT運營成本 22.1.4 深信服手機遠程移動辦公方案信息交付模式 32.1.5 設備部署方式 3第3章 深信服手機遠程移動辦公方案技術特點 43.1 遠程辦公的快速部署和發(fā)布 43.2 遠程移動辦公穩(wěn)定性 43.2.1 會話復用技術： 43.2.2 資源服務器的負載均衡： 53.3 擴展和易用性 53.3.1 多線路備份 53.3.2 集群技術 53.4 用戶管理-身份認證 63.4.1 多種方式混合認證 63.4.2 短信認證 63.4.3 硬件綁定（HardCA） 73.4.4 CA認證 83.4.5 LDAP認證、Radius認證 93.4.6 強密碼保護功能 10第4章 手機遠程移動辦公實現(xiàn) 12需求背景近年來，隨著眾多單位信息化建設的發(fā)展與加強，組織機構對于辦公的靈活與開放性需求得到顯著突顯，實現(xiàn)電子化無紙化辦公已成為眾多單位的迫切要求。黔源電力結合移動互聯(lián)網(wǎng)的發(fā)展趨勢及自身的管理特點，從提高企業(yè)內部辦公質量及辦公效率的角度出發(fā)，提出了本次手機遠程移動辦公的建設方向。建設目標主要是能夠實現(xiàn)隨時隨地通過手機終端遠程訪問本部各辦公系統(tǒng)，包括OA辦公，水情等生產系統(tǒng)等；即使是龐大的應用客戶端，也能實現(xiàn)發(fā)布在任何一臺智能終端手機上，從而實現(xiàn)快捷地移動辦公，所有系統(tǒng)上數(shù)據(jù)和資料都將存儲在服務器端，保證數(shù)據(jù)的使用安全。深信服手機遠程移動辦公解決方案價值方案價值深信服手機遠程移動辦公方案，在總部設置應用終端服務器，采用RDP協(xié)議，直接將服務器應用程序，傳輸至訪問手機端，訪問手機端直接就可以訪問應用系統(tǒng)。采用深信服手機遠程移動辦公方案，可以實現(xiàn)以下效果系統(tǒng)信息化使用性加強管理集中化：應用終端集中安裝在服務器端，維護工作集中化。IT管理員只需要維護服務器即可，使用者終端的訪問控件自動下發(fā)、統(tǒng)一自動升級，免除維護；信息安全性加強1、采用集中化部署，數(shù)據(jù)存儲、運行都在中心端，使得數(shù)據(jù)不達到終端而保證數(shù)據(jù)的絕對安全；2、深信服手機遠程移動辦公方案，發(fā)布的數(shù)據(jù)除了進行優(yōu)化處理，還進行SSL安全封裝，保證數(shù)據(jù)在傳輸過程中的安全可靠；3、深信服手機遠程移動辦公方案，還可以選用各種認證方式，包括短信認證、手機硬件特征碼等各種認證，確保身份登錄安全；4、深信服手機遠程移動辦公方案，針對應用的訪問具有嚴格的細化權限分配機制，細化授權保證用戶登錄。降低IT運營成本1、終端成本極大降低：程序運行于服務端，手機終端無論是何種類型操作系統(tǒng)（安卓或是IOS），無論是哪種3G網(wǎng)絡，均可接入訪問，從而節(jié)省手機終端投入成本；2、IT維護成本降低：日常的IT維護工作都只圍繞著中心開展，包括配置、升級、優(yōu)化等各種工作，讓IT部門得以集中精力，減少繁雜的終端維護工作；深信服手機遠程移動辦公方案信息交付模式部署深信服手機遠程移動硬件設備；在應用終端服務器上安裝SANGFORRemoteAppAgent，用來提供遠程應用服務和監(jiān)控服務器狀態(tài)信息的程序；手機客戶端自動下發(fā)RemoteAppClient：部署在用戶終端的用來連接終端服務器使用遠程應用資源的應用程序。此程序將隨第一次用戶登錄時隨控件一起下發(fā)，無需手動干預安裝；手機移動辦公交互過程為：通過手機應用發(fā)布模塊進行總體的調度，當用戶啟用發(fā)布資源時，相應的應用服務器上的RemoteAppAgent獲取服務器上的資源信息，并且把相關信息如安裝路徑、運行情況、系統(tǒng)運行的結果等信息傳輸給手機遠程移動硬件設備。而在手機客戶端，RemoteAppClient用于接受服務器的信息，并且把本地的輸入指令傳輸至服務器。設備部署方式深信服手機遠程移動硬件設備可以選擇單臂模式部署，無需對現(xiàn)有網(wǎng)絡做任何的拓撲更改：深信服手機遠程移動辦公方案技術特點遠程辦公的快速部署和發(fā)布深信服手機遠程移動辦公方案，部署特點：1、終端安裝于應用終端服務器上；所有的維護工作、升級、補丁工作都僅僅對終端服務器進行操作，不涉及到眾多的手機客戶端；2、深信服方案采用的是硬件設備，系統(tǒng)核心的穩(wěn)定性不依賴于外部服務器，使用內置的獨立的控制臺進行配置，所有的策略效果統(tǒng)一下發(fā)；3、訪問者直接使用CS客戶端進行登錄，無需輸入任何地址，所有的控件與配置進行自動下發(fā)；基于以上特性，整體方案部署對公司正在進行的業(yè)務作業(yè)的影響力降到最低。遠程移動辦公穩(wěn)定性會話復用技術：為了減少服務器的負擔，應有發(fā)布內核將與部署于服務器端的RemoteAppAgent之間采用會話復用技術，用戶在發(fā)起新的訪問時，將復用之間已經(jīng)建立起來的連接會話，這樣一方面可以減少建立連接的響應時間，讓終端更快得到服務器的響應，另外一方面是讓服務器不會因為被頻繁訪問而反復新建會話，這樣可以節(jié)約大量的服務器性能；資源服務器的負載均衡：如果資源發(fā)布采用采用多臺服務器實現(xiàn)服務時，系統(tǒng)將管理維護終端服務器會話情況和CPU使用率情況，當客戶端請求一個遠程應用資源時，根據(jù)客戶端參數(shù)“復用已有會話”，若已經(jīng)與該用戶建立會話的服務器上存在該資源，則在此會話上打開該資源應用程序，如果沒有之前就建立起來的會話，將根據(jù)服務器的運行狀態(tài)，選擇該資源關聯(lián)的服務器中負載最小的一臺服務器，響應用戶的請求，從而讓用戶得到更佳的資源訪問體驗。擴展和易用性多線路備份由于VPN的穩(wěn)定性是依賴于線路本身的穩(wěn)定性，若采用單條線路，一旦中斷，將造成整個VPN系統(tǒng)陷入癱瘓。深信服手機遠程移動辦公方案支持多線路備份功能，大大提高了VPN網(wǎng)絡的穩(wěn)定性。通過多線路帶寬迭加及復用技術（專利號：ZL200310112006.X），將多條線路、不同方式接入方式的上網(wǎng)線路實現(xiàn)進行智能備份，保證了整個系統(tǒng)的持續(xù)可靠運行。若任何一條線路出現(xiàn)故障，此方案可以將實時數(shù)據(jù)無縫切換到其他正常線路，不會影響用戶的接入和訪問。正在進行訪問的用戶，將會通過客戶端的監(jiān)守程序對線路狀況進行實時探測，若是發(fā)現(xiàn)當前線路隧道斷開，則立即完成數(shù)據(jù)傳輸隧道的切換，從正常的線路發(fā)送數(shù)據(jù)與硬件設備端通信。并且若故障線路恢復正常，VPN的連接隧道將自動愈合。線路的切換完全自動進行，無需人工干預，保證了用戶的重要應用持續(xù)、不間斷地穩(wěn)定運行。集群技術隨著組織規(guī)模的增大和信息平臺的逐步推廣，原有的設備性能若不能很好的滿足用戶接入的并發(fā)需求。若是重新購置一臺更高端的設備，將導致原有購買設備的投資浪費。同時，手機遠程移動辦公作為支撐整個業(yè)務系統(tǒng)的基礎平臺必須具有合理高效的冗余備份功能。僅使用一臺設備提供應用發(fā)布服務，若因斷電等原因導致設備不能正常工作，對企業(yè)造成的業(yè)務影響將非常嚴重。對于性能穩(wěn)定和應用發(fā)布穩(wěn)定的雙重問題，深信服通過253臺的非對稱集群功能提供負載均衡、穩(wěn)定保障、性能擴充的解決方案。集群設備示意圖如下，用戶可根據(jù)性能要求、穩(wěn)定性要求選擇合適的設備構成集群組，整個集群組對外僅顯示為同一集群IP地址。對于用戶而言，僅需要使用一個統(tǒng)一的地址接入，集群設備對其完全透明。用戶管理-身份認證多種方式混合認證許多部署在局域網(wǎng)內重要的應用都是采用最簡單的用戶名密碼進行驗證。使用單一用戶名密碼進行驗證存在帳號密碼遭人盜用而導致越權訪問的問題，尤其對于重要的應用系統(tǒng)如財務、客戶信息等限定在特定部門、特定人員訪問的核心系統(tǒng)，一旦遭遇用戶名密碼被盜竊，其后果所造成的威脅將是不可估量的。深信服手機遠程移動辦公方案支持多種認證方式的多因素組合認證，除了最基本的用戶名密碼認證之外，還支持LDAP/AD、Radius、CA等第三方認證，支持硬件特征碼、短信認證（短信貓和短信網(wǎng)關）等加強認證方式。單一的認證方式容易被暴力破解，為了進一步提高身份認證的安全性，深信服創(chuàng)新性提出混合認證，針對以上認證方式可以進行多因素的“與”、“或”組合認證?！芭c”組合認證可實現(xiàn)多達5種以上認證方式的捆綁，必須同時滿足才能夠接入系統(tǒng)?！盎颉苯M合認證可對于以上幾種認證方式進行或組合，只要通過一種認證方式即可接入到應用系統(tǒng)中。通過多因素組合認證大大加強認證安全的強度，確保接入應用的用戶的身份的確認性。短信認證當用戶在進登錄認證時，短信服務器將為該用戶自動生成一個6位的數(shù)字隨機認證碼，并以短信的方式發(fā)送到用戶所綁定手機號碼的手持終端上，用戶即可在認證界面上輸入該6位認證碼通過短信認證。短信認證很好的解決的多因素認證安全性與使用便捷性的問題。對于短信服務器端，深信服支持短信貓及短信網(wǎng)關兩種方式。短信貓為小硬件設備，將短信貓連入設備的CONSOLE口并進行相應配置即可實現(xiàn)短信認證功能。若機房內電磁屏蔽效果較好，為了保證使用短信貓發(fā)送隨機認證碼短信的效果，也可在內網(wǎng)中選擇一臺電腦安裝短信認證軟件，并將短信貓接入電腦的COM口，同樣可實現(xiàn)短信認證的效果。如果您的網(wǎng)絡中已經(jīng)部署了短信網(wǎng)關（移動和聯(lián)通短信網(wǎng)關），深信服可以和您的短信網(wǎng)關結合，實現(xiàn)短信認證。硬件綁定（HardCA）對于僅使用用戶名/密碼認證的用戶，為了保證用戶登錄限定在某一部或是某幾部手機終端上，因用戶帳號意外泄漏、帳號盜用導致數(shù)據(jù)的泄露問題，可對登錄終端進行綁定。通常的終端綁定都是采用IP、MAC、IP/MAC綁定的方式實現(xiàn)，但是對于手機遠程應用用戶，采用這樣的終端訪問方式是不合適的。移動用戶需要走出局域網(wǎng)遠程訪問，IP地址經(jīng)常是不固定的。而標識網(wǎng)卡的MAC地址也能進行手工的改動，導致終端存在被仿冒的威脅。深信服打破常規(guī)，通過終端的硬件特征碼綁定實現(xiàn)硬件終端的唯一標識。通過獲取客戶端的不可改變的硬件信息，如CPU、硬盤、網(wǎng)卡等信息生成數(shù)字證書，并對證書和用戶進行綁定實現(xiàn)用戶身份的唯一性控制。當用戶登，客戶端的控件就會自動獲取終端的硬件信息生成一串數(shù)字與字母結合的HardID并傳送到手機辦公方案設備。需要進行綁定的賬號用戶工作平臺若是在不同的客戶端上，我們可按不同用戶、用戶組實際需要設置不同的特征碼的個數(shù)（1-100個硬件特征碼），保證終端綁定安全的基礎上實現(xiàn)人性化的管理。硬件特征碼配置界面啟用了硬件特征碼認證的用戶在通過我們的設備登錄身份認證時，設備將自動獲取終端CPU、硬盤、網(wǎng)卡的硬件信息并生成特征碼提交到設備進行硬件特征碼認證，若該特征碼與該用戶名下的特征碼匹配不上，即采用非法終端登錄，系統(tǒng)將判斷該用戶為非法登錄，拒絕通過認證。通過硬件特征碼認證，很好的保證了用戶登錄的唯一性，一方面可在無需追加投資的基礎上實現(xiàn)雙因素認證，避免單一用戶名密碼遭竊后造成的越權訪問。另一方面，通過硬件特征碼的唯一確定性，確保了用戶登錄范圍的圈定，尤其對于某些重要的應用系統(tǒng)可限定僅使用個別安全級別高的終端登錄，保證系統(tǒng)、數(shù)據(jù)安全性。CA認證深信服手機遠程移動辦公安全網(wǎng)關內置了CA中心，完美支持PKI體系。通過內置CA中心，企業(yè)或者事業(yè)單位可自建CA，避免單獨購買CA的額外投資，減少投入成本。同時，深信服安全網(wǎng)關也可無縫支持已有的第三方CA認證。LDAP認證、Radius認證LDAP組織已經(jīng)采用LDAP進行用戶的管理，深信服方案可與LDAP進行聯(lián)動，只需在設備中根據(jù)LDAP中的OU組結構建立用戶組結構，并為用戶組綁定相應的OU結構，無需在設備中一個個建立具體用戶。當用戶提交用戶名密碼進行身份認證時，系統(tǒng)自動將此認證信息提交給LDAP進行認證，并根據(jù)反饋信息判斷該用戶是否為合法用戶。當用戶通過了LDAP認證，我們的方案將根據(jù)LDAP返回該用戶的OU值，將該用戶自動歸于綁定了該OU的用戶組，該用戶即享用該用戶組所有認證、策略、授權等屬性。同時，此方案可讀取LDAP中用戶的手機號碼、IP屬性，方便實現(xiàn)短信認證和虛擬IP的綁定。通過與LDAP的聯(lián)動，大大降低管理員對用戶管理的維護工作量。Radius組織中已經(jīng)采用Radius進行用戶的認證管理，可進行與Radius的聯(lián)動。在此方案中建立相應的用戶組結構，并勾選Radius認證并綁定相應的Class屬性值。但用戶提交用戶名密碼認證信息時，方案中的ius協(xié)議格式向Radius服務器發(fā)起認證請求，Radius將返回認證結果。若Radius認證通過，則將在返回給設備的包中捎帶Class分組屬性，并綁定該屬性的用戶組賦予該用戶相應的認證、策略、授權等屬性。若Radius認證未通過，則將拒絕該用戶登錄。同樣為了實現(xiàn)認證的多樣保證身份安全，深信服支持讀取Radius中的手機號碼屬性，從而跟短信認證可以完美結合，實現(xiàn)雙因素的認證。深信服支持讀取Radius中的IP屬性段，從而進行虛擬IP的綁定，保證通過Radius認證也同樣可進行正常的IP資源訪問。通過Radius的結合，可實現(xiàn)統(tǒng)一的用戶管理，提高管理員的管理效率。第三方數(shù)據(jù)庫結合組織中使用MySQL、SQLServer、Oracle、Access等數(shù)據(jù)庫系統(tǒng)保存用戶的賬號、密碼等認證、屬性信息，對組織內賬號信息進行管理。方案同樣可進行與數(shù)據(jù)庫系統(tǒng)中的用戶認證信息進行結合，實現(xiàn)統(tǒng)一管理?？稍趦染W(wǎng)中一臺主機上安裝深信服提供的Sradius軟件構建一臺簡單的RADIUS服務器進行數(shù)據(jù)庫用戶信息的讀取。當用戶提交認證信息時，將會將用戶名密碼提交給Sradius服務器，由Sradius服務器讀取后臺數(shù)據(jù)庫相應信息進行認證判斷，從而實現(xiàn)與數(shù)據(jù)庫的聯(lián)動。強密碼保護功能整個組織的局域網(wǎng)往往具備了防火墻、防病毒等各項安全防護措施，但使用SSL進行登錄的客戶端卻是在組織網(wǎng)絡的保護層之外，直接暴露在互聯(lián)網(wǎng)中的各種病毒、木馬、黑客攻擊的范圍之中。對于僅僅使用了用戶名密碼進行認證的用戶而言，最重要的就是保障密碼的安全，而現(xiàn)代技術的發(fā)展使得許多黑客采用暴破登錄的方式強攻密碼，以SSL用戶為突破口盜取組織內部重要數(shù)據(jù)。深信服支持終端用戶的防暴破登錄設置，通過同用戶名登錄防暴破和同IP登錄防暴破設置徹底封殺已知用戶名暴破登錄和未知用戶名暴破登錄的種種可能。支持自定義設置封鎖恢復時間。單純使用用戶名密碼的用戶，對其密碼的保護更