解決方案

銷售熱線:010-82665533
傳 真:010-82665698
郵 箱:jyd@jydit.com.cn
地 址:北京市海淀區知春路111號理想大廈608室

當前位置:首頁>>解決方案>>虛擬化與云計算

 虛擬化與云計算

虛擬化集中上網解決方案

發布人:jyd      發布時間:2012-11-20      瀏覽次數:828

需求分析

以電子文檔為主的內部泄密正在成為企業內部數據安全的最大威脅。防火墻,入侵檢測或專網,可以很大程度有效防止外部人員非法訪問,但不能防止內部人員通過Mail或者U盤將一些敏感文件發送給其他人。來自內部的安全威脅逐年增加,信息安全的主要隱患已經從外部入侵逐漸轉變為內部人員使用信息的不可控性上。作為敏感信息的載體企業文檔的安全已經成為信息安全領域最受關注的熱點問題之一。

總體方案

Citrix集中上網解決方案從原理上解決了上述問題,用戶桌面的PC不能直接訪問互聯網,所有的互聯網訪問都必須通過發布在CitrixXenApp上的相關應用(例如IE、MSN、QQ、FTP等),管理員可以根據用戶的帳號來決定用戶是否可以使用特殊的應用(例如只有開發人員可以使用FTP工具)。集中上網的XenApp服務器由管理員統一管理,最終用戶只有普通用戶權限。通過這樣的改變可以方便地實現:

a) 防止P2P軟件的泛濫,用戶的PC不能直接上網,能夠上網的XenApp服務器上不能安裝任何P2P軟件;

b) 用戶的客戶端不再被來自互聯網的病毒、蠕蟲、木馬等攻擊,因為瀏覽器(IE)運行在XenApp服務器上;

c) 管理員在XenApp服務器上集中統一設置IE安全選項,安裝防病毒軟件,由管理員負責更新病毒碼,定期掃描等;

d) 只有被授權的用戶才能訪問特定應用,例如用戶是否能用MSN、QQIM軟件都是由管理員設定;

e) 設置針對部分用戶的錄像審核功能,利用屏幕錄像高效記錄用戶的上網行為。

Citrix集中上網管理系統架構如下圖所示:

                       

技術原理

Citrix應用集中解決方案的核心是虛擬化技術,虛擬化計算的核心是ICA協議,ICA協議連接了運行在XENAPP服務器上的應用進程和遠端客戶端設備,通過ICA32個虛擬通道(分別傳遞各種輸入輸出數據如鼠標、鍵盤、圖像、聲音、端口、打印等等),運行在中心服務器上的應用進程的輸入輸出數據重新定向到遠端客戶端機器的輸入輸出設備上,因此雖然應用客戶端軟件并沒有運行在客戶端設備上,但是用戶使用起來和在客戶端安裝運行客戶端軟件相比,沒有感覺任何操作上的改變。

XENAPP虛擬化應用發布原理如下圖所示:

性能方面改進的技術原因是:ICA傳輸的主要為人機交互數據,例如屏幕刷新和鼠標鍵盤信息,同時ICA協議是一種高效率的數據交換協議,采用了大量的數據壓縮、加密和連接優化技術,因此每一個用戶的連接只占用10-20Kbps的網絡帶寬。使用Citrix集中模式可以有效地降低數據傳輸,大大提高整體性能。

安全性方面改進的技術原因是:客戶端直接訪問后臺時,之間傳輸的數據是真實的企業應用數據,該數據會被緩存在用戶本地或在傳輸中被截獲,這些都是不安全因素;而用戶訪問XENAPP服務器時,之間傳輸的是屏幕增量變化信息和鼠標鍵盤變化信息,用戶端無任何應用數據緩存在本地,同時中途截獲這些信息然后反推出用戶真正的業務操作和數據比直接截獲業務數據困難上千倍。因而可以說數據總是存放在最安全的地方。XENAPP帶來的最大益處是采用應用虛擬化方式阻止數據任何時候離開數據中心。對于遠程用戶從公網訪問內網,XENAPP通過嚴格的用戶認證進行安全權限控制。對于企業越來越嚴格的審計要求,應用XENAPP虛擬化發布應用可以提供復雜的內控和審計功能。對于受控用戶或敏感操作,XENAPP可以提供用戶操作應用軟件的記錄監控,管理人員不僅可以實時在線地監控用戶的屏幕操作,還可以用類似錄像的方式記錄下來,以備審計或回朔檢查。

Citrix集中應用發布平臺的核心產品是Citrix XenApp Server,提供了全面的性能優化、集中管理等功能,下面就XENAPP主要功能進行描述。

1)圖像加速

XENAPP不僅降低了在客戶端數據傳輸量,還提供了多種窄帶網上的圖像加速功能,如:

· 圖形加速:針對如JPG等圖片的傳遞,XENAPP提供了進一步的圖形壓縮,如采用大比例的JPG壓縮算法等降低實際的圖形傳遞數據量

· FLASH加速:針對瀏覽器中的FLASH插件進行加速,可以提高大多數WEB應用的現實效率

· 移動圖像加速:針對用戶對圖像進行平移或轉動的操作,在窄帶網絡上會消耗大量的帶寬,XENAPP提供了降低圖形分辨率的方式,當圖像移動時降低分辨率以減少傳輸,當圖像停止下來后,再還原分辨率

· 延時加速:XENAPP的會話連接會針對無線網絡進行優化,當窄帶網絡有很大延時時,會提供本地回顯和鼠標響應等優化手段。

2)單點登錄

當用戶通過了身份認證后,XENAPP可以自動管理后臺應用的帳號和口令,CitrixPassword Manager(簡稱CPM),可以實現多系統登陸口令的自動管理,對應用系統無任何改動,是領先的企業單點登錄解決方案。

CPM從根本上改變了傳統的多口令管理方式。使用它,用戶可直接登錄OA系統或業務系統,且口令得到了更高的安全保障。以前,用戶需記住10個,甚至20個口令,而且還必須弄清楚哪個應用配的是哪個口令,現在通過CPM的部署使用戶只需一次身份驗證,其余的工作將由CPM完成。它將自動接入受口令保護的信息資源,執行嚴密的口令策略,監控口令相關事項,自動化終端用戶工作,例如口令變更,可以按照系統要求的口令策略自動生成口令。

3)智能審計

通過Citrix應用發布平臺,任何用戶使用應用的過程中可以被全程監控:用戶的操作行為及顯示器上的內容變化可以通過ICA協議存放到磁盤上,然后在需要的時候像看電影一樣回放。

由于ICA協議高效率地節省網絡帶寬,因此通過ICA記錄下來的用戶操作錄像非常節省空間,經過測試,一個員工一整天的操作全部通過ICA記錄下來,生成的文件大小不會超過20M。

同時為有效利用資源和保護隱私,Citrix解決方案也允許靈活定制以時間、角色、應用名稱、位置為參數的錄像策略來控制錄像的開始和停止。

4)智能訪問

XENAPP提供了全面的安全訪問控制,所有訪問XENAPP服務器的用戶,都會經過AAC高級訪問控制,進行嚴格的權限控制。XENAPP的智能訪問控制能夠根據不同用戶接入時的不同場景,將有相應的接入策略與之對應,并控制用戶使用企業資源的過程和操作。

例如當用戶從企業內部網絡來訪問企業門戶中的各種資源時,XENAPP監測到該用戶訪問從信任網絡發起(內部網絡)后,該用戶可以接入的企業資源及可以進行的對資源的操作權限相對較大;當用戶作為企業移動用戶來訪問企業門戶中的各種資源時,該用戶可以接入的企業資源及可以進行的對資源的操作權限是有限的;畢竟,該用戶是從外網接入,我們需要對其進行策略控制。當用戶使用網吧計算機通過極其不安全的公共網絡接入的企業資源及進行的對資源的操作權限我們是必須要對其進行嚴格控制的,此時,該用戶會發現很多資源只能瀏覽而沒有更多的控制能力。

5)性能監控

XENAPP性能監控工具可以方便地監控XENAPP服務器、訪問客戶端、網絡等全方面的使用、錯誤、報警、性能、軟硬件變更、硬件資源情況、軟件使用情況、以及License管理等等。

通過性能監控工具,管理人員不僅可以追蹤用戶對應用軟件的使用情況,提前預知系統的性能問題,并且保存數據,以供分析和產生報表。

6)負載均衡

XENAPP內置了負載均衡功能,用戶無需額外購買任何組件。XENAPP的集群名稱叫做Farm,在一個Farm之內負責計算負載量和分配連接的XENAPP服務器的角色叫做DataCollector,所有XENAPP服務器的負載狀況會存入數據庫并實時變化,Data Collector會查詢Farm內所有XENAPP服務器的負載情況,決定將下一個連接交給Farm內哪一臺最空閑的XENAPP服務器。如果一臺DataCollector失效,會有備份的XENAPP接替。

XENAPP提供給用戶多種負載均衡算法,其指標包括:CPU利用率、內存使用率、磁盤交換等十多項指標,用戶還可以針對不同應用類型自行定義負載指標的組合。