EasyConnect解决方案11.docx
《EasyConnect解决方案11.docx》由会员分享,可在线阅读,更多相关《EasyConnect解决方案11.docx(10页珍藏版)》请在冰点文库上搜索。
EasyConnect解决方案11
远程移动办公平台解决方案
深信服科技有限公司
2011-10-18
1需求概述
1.1背景介绍
随着企业信息化的快速发展,企业的分支机构与总部之间在应用上必须实现实时连接和数据共享,在异地实时协同、移动办公。
企业IT架构从局域网走向互联网已经是必然的趋势。
此外,随着各种智能手机、平板电脑以及3G网络的普及,人们的操作习惯和使用偏好正从原来笨拙的台式机、笔记本慢慢迁移到更加便携更加灵活的智能终端。
然而,由于iPhone/iPad/Android智能手机或平板电脑本身的局限性,使得这些使用非Windows操作系统以及其使用的非IE内核的浏览器的智能终端无法真正进入人们的工作当中,仅仅成为一种智能玩具。
1.2需求分析
企业采用智能终端进行移动办公,现在面临以下问题:
1.2.1跨平台访问
现存绝大多数的业务系统以及办公平台都是架设在Windows平台之上的,而且传统应用如:
ERP中的物流、分销、财务等大多采用C/S模式,很多B/S架构的业务系统也大多以IE作为平台。
而iPhone/iPad/Android智能手机或平板电脑本身的局限性,无法安装Windows平台上运行的应用程序,因此,在智能终端上实现跨平台访问需求越来越强烈。
1.2.2快速应用部署
一些C/S程序客户端安全配置辅助,或是B/S程序控件多,传统的应用部署模式占用IT人员大量的精力和时间,后续的维护管理十分复杂。
如何将高度分散在每个员工终端上运行的业务系统集中到工作组、部门或者业务单元的应用程序服务器上,避免由于地理分散的而在终端上多次安装同类应用程序或控件的麻烦,成为企业关心的问题。
1.2.3数据防泄密
客户业务系统通常采用的是较为单一的用户名密码认证方式,安全强度不高,极易遭到窃取、暴力破解造成重要应用系统的越权访问、强行攻破,导致核心数据的泄漏问题。
因此必须采用更加强大的用户鉴权机制,确保接入用身份合法、权限匹配。
核心业务系统访问时会保护大量机密数据,通过智能手机、平板电脑或者普通PC访问时,必须要求数据不落地,即使终端丢失不会导致数据泄漏。
1.2.4终端易用性
由于移动终端与普通PC使用体验迥异,客户已经适应了PC的使用,如何在智能终端上可以具备与PC等同的应用程序访问体验,这一点对于提高智能终端办公效率相当重要。
1.2.5移动终端兼容平台
目前iPhone、iPad、Android平板和手机占据了移动办公使用终端的大部分市场,所以应用程序的访问应该可以覆盖以上所有终端。
1.2.6应用访问速度
影响用户远程办公的最主要因素就的访问速度问题,拖滞的访问速度将大大影响用户的访问体验及办公效率,网络状况、传输数据量及应用的交互方式等等都将影响着速度质量。
2方案设计原则
2.1安全设计原则
智能终端远程办公运行的基础是Internet,所有的数据也必须经过Internet进行交换,而这些数据都是组织机构的私密信息,不允许为无关人员所知。
因此必须保证合法用户的非授权访问数据访问,同时杜绝数据拷贝至于智能终端或PC的数据泄密风险。
2.2高速性原则
远程办公最大的制约因素就是速度方面的问题,缓慢的访问速度大大拖滞了员工的办公效率。
网络速度低下的有很多原因:
高丢包高延时的恶劣网络环境、移动终端的3G无线访问、关键应用在广域网访问时对带宽的大量占用等,所以在设计接入方案的时候必须解决远程办公速度低下的问题。
2.3易用性原则
终端用户的IT水平普遍不高,并且已经对PC的使用习惯根深蒂固。
将智能终端作为远程办公的媒介,势必会挑战人们的使用习惯,而如果客户端的配置及操作繁杂的话,智能终端上实现办公平台接入不会被用户认可。
因此,远程办公平台的设计必须在智能终端上贴近用户的使用习惯,同时避免繁杂的客户端配置,最大程度的提高用户的办公效率,从而大大降低网络管理人员对整个网络的维护工作量。
3整体设计方案
本方案主要以深信服SSLVPN设备的EasyConnect功能和终端服务器搭建移动办公平台,通过远程发布Windows应用的形式,将办公系统延伸到个人PC或智能终端上,通过如个人PC、iPad、iPhone、Android等平板电脑或智能手机实现远程便捷办公,EasyConnect将数据保存在终端服务器上,只有鼠标键盘点击的少量控制信息和屏幕更新经过网络传输,EasyConnect让管理员可以为指定的用户群分配应用访问、打印和存储等权限策略;用户的各种终端通过深信服SSLVPN接入业务数据中心,可以实现跨平台的快速访问,如图1所示。
图1PC或智能终端远程办公平台示意图
3.1远程办公平台部署方案
整体网络结构可以分为四个部分,从客户到服务器分别为客户终端、SSLVPN应用发布平台、应用发布服务器以及企业应用服务器。
在部署智能终端远程办公平台的硬件环境时,需保证SSLVPN设备可以与应用发布服务器互相通信。
部署方式如图2所示:
图2远程办公平台
远程应用发布功能通过以下组件来实现,软件架构见图3:
1、远程应用发布模块:
内置在SSLVPN设备中,拥有获取应用发布服务器上的资源信息,为终端提供访问,并负责身份认证、传输数据处理等工作,是远程应用发布的核心组件。
2、RemoteAppAgent:
深信服服务端控件,安装在应用发布服务器上,用来提供远程应用服务和监控应用发布服务器状态信息的程序。
该程序默认为服务器开启自动启动。
3、RemoteAppClient:
客户端控件,在苹果等移动终端上命名为EasyConnect,提供接入终端服务器的功能,苹果终端可在APPStore免费下载安装,Android终端可直接在登录界面下载使用,PC终端将自动安装相应客户端控件。
4、应用程序客户端:
需要发布给移动终端用户使用的应用程序,需要提前在应用发布服务器安装,如office、写字板等程序,基于C/S架构的应用系统需要在在应用发布服务器上安装客户端软件,B/S架构业务系统,需要在应用发布服务器上安装相应版本的IE浏览器。
图3软件架构
3.2远程办公平台特色
1、智能终端与Windows无缝结合,令Windows程序无须修改即可用于智能终端,实现真正的轻量级移动办公;
2、基于RDP协议的图像传输,终端可配置不保存应用的任何数据;
3、支持Windows、iOS和Android操作系统;
4、移动终端完美结合多点触摸操作技术;
5、并发多任务会话支持;
6、丰富的认证技术,其中智能终端认证包括用户名密码、证书认证、动态令牌、短信认证、外部认证、移动终端的硬件特征码认证等;
7、业务数据安全防泄密保障;
8、页面自动调节显示技术;
9、独特鼠标模拟、键盘模拟技术;
10、输入法映射技术。
3.3详细功能介绍
3.3.1数据防泄漏
11、基于RDP协议的数据传输技术,保证传输于互联网上的数据不但做了严格的加密,并且终端和服务器交互的额只有终端服务器的应用程序图像,不包含应用程序本身的任何数据;
12、同时,由于应用系统运行在终端服务器及其应用服务器上,终端上只是即时显示图像,做到了应用程序数据不落地,即时终端丢失,也不存在终端上的机密数据丢失的可能。
13、支持终端服务器权限细化控制。
终端服务器权限的控制,往往关系到操作系统安全、OA系统安全、用户环境安全等因素,权限控制越细,安全性能和可配置性也越高,深信服EasyConnect对于权限的控制做了深入的细化,包括了如下的权限细化控制:
支持用不同的Windows账号登录远程会话,做到操作系统会话层用户隔离,每个用户只能使用自己的会话来使用发布的程序;
支持在终端服务器上进行网络拦截,做到网络安全可控,保护终端服务器不会恶意地访问危险或未授权的网络;
支持在远程会话中只允许某些应用程序使用,做到程序安全可控,禁止用户私自运行影响终端服务器安全的程序;
支持在远程会话中禁用客户端映射选项,做到对用户的映射权限可控;
在终端服务器禁止访问某些系统进程,做到对系统进程的保护。
3.3.2终端易用性
1、支持智能终端模拟键盘和鼠标,将适用Windows的键盘鼠标模拟到智能终端上,实现Windows下快捷方式的输入、鼠标的灵活操作等功能。
2、支持虚拟打印机映射
可以通过在终端服务器选择虚拟打印机,在客户端本地打印机打印文件,终端服务器无需安装客户端打印机驱动,如下图:
图5虚拟打印机
支持在客户端查看本次会话中的打印任务状态
3、支持本地输入法映射。
支持使用客户端本地输入法在远程应用中输入文字,在使用远程应用的时候可以继续保留本地的输入习惯。
图6终端输入法
4、支持远程应用发布资源的单点登录,用户无需再次输入用户名密码,自动为用户登录远程发布的OA系统,为用户使用资源提供了便利性。
3.3.3应用访问速度提升
例如OA或金蝶EAS服务器端和客户端在应用程序访问时会产生大量的数据交互,这在互联网上容易被带宽以及线路的稳定性所影响。
远程办公平台应用集中发布降低了应用对网络和终端硬件的依赖,使其不再成为性能瓶颈。
实现了以最低的带宽要求保证了最高的工作效率。
3.3.4其它功能
1、支持远程存储策略。
对于集群部署的终端服务器,当用户登录时,可能被分配到不同的终端服务器,会导致用户无法使用上次保存在一台终端服务器上的文件,由此提出终端服务器与文件服务器的部署方式,功能如下:
在远程应用中使用远程私人存储和公共存储,做到安全与灵活兼备,示意图如下:
图7文件服务器部署方式
通过WEB文件共享操作远程存储,方便用户使用终端服务器上的文件。
2、远程应用程序支持工作目录设置,一些应用软件本身需要读取或写入文件,为远程应用程序设置工作目录,满足了这类应用的应用场景,支撑了这类应用的部署和推广。
3、支持集群,且可以灵活的配置负载均衡策略。
是否支持集群是终端服务器服务负载能力的一个重要功能,具备集群功能使得应用可以成规模扩展,支持更多终端用户使用资源。
支持以会话数、CPU、内存、I/O、综合性能,总计5种策略进行负载均衡,为同构或不同构的各种服务器提供最佳负载选择。
在启用了保持会话功能的情况下,默认往上次打开会话的服务器上分发,为用户节省重新连接的时间,为服务器节省终端授权。
4、虚拟终端服务器运行状态监控。
对于终端服务器,不但需要可以发布应用,满足一般用户功能,同时也需要能对其进行方便的管理,观察其状态,以便为企业展示庚还得投入产出效果。
管理员可以在控制台直观查看虚拟终端服务器的运行状态,以决定是否需要添加终端服务器。
管理员可以在终端服务器性能不足时收到邮件告警,以进行及时处理。
5、支持服务端插件在有更新的时候自动更新,为大范围部署的升级节省了大量的重新部署时间。
升级会员 