集成应用解决方案介绍

1、 集成应用解决方案ArrayNetworks (Beijing) Inc中国北京朝阳区霄云路26号鹏润大厦A座2308室 邮编：100016电话 Tel:(010)84580500 传真 Fax:(010) 84580560集成应用解决方案利用Array SSL VPN安全部署用友ERP/NC应用Array Networks,Inc应用类型：用友ERP/NC产品：Array SSL VPN SP摘要：为领先于竞争对手，许多组织正大力提高雇员的生产力。通过Internet部署用友ERP/NC应用是重要举措之一；同时允许雇员随时访问重要的业务资源，这也是提高生产力的关键。要在任何时间及任何地点进行

2、访问，需要部署有助于雇员保持联网及保证安全的网络。Array Networks通过先进的通用安全访问解决方案（SSL VPN解决方案），为组织提供安全且灵活的资源访问平台。本解决方案概述了如何通过Array Networks的SSL VPN解决方案安全且灵活的部署用友ERP/NC应用。用户有责任遵守所有适用的版权法。在不限制版权许可的权利的前提下，未经Array Networks,Inc 的明确书面许可，无论出于何种目的，均不得以任何形式或借助任何手段（包括电子、机械、影印、录制或其它形式）复制或传播本文档的任何部分或全部、或者将其存储或引入检索系统。Array Networks,Inc的专利

3、、专利申请、商标、版权或其他知识产权可能涉及本文档中的版权问题。除非 Array Networks,Inc的书面许可协议作出了明确规定，提供本文档并不意味着赋予您这些专利、商标、版权或其他知识产权的任何许可。 Array Networks,Inc。保留所有权利。本文中提及的实际的公司和产品名称可能是其各自所有者的商标。目录TOC o 1-3 h z u HYPERLINK l _Toc133330920 一.应用概述 PAGEREF _Toc133330920 h 4 HYPERLINK l _Toc133330921 二.应用部署的挑战和安全需求 PAGEREF _Toc133330921

4、h 5 HYPERLINK l _Toc133330922 三.解决方案 PAGEREF _Toc133330922 h 7 HYPERLINK l _Toc133330923 四.业务优势 PAGEREF _Toc133330923 h 12应用概述用友ERP/NC是国家863计划“新一代ERP”的领航产品，为中国集团企业和企业集团提供了个性化的经营管理平台，它是全面基于J2EE技术体系，采用B/S架构，按“协同商务、集中管理”管理理念设计的产品。NC的目标客户主要为集团企业和企业集团，它是中国第一个集团级的高端ERP产品，提供面向互联网时代电子商务需要的集团管理解决方案，包括：1、集团财务

5、管理2、集团分销业务管理3、集团采购业务管理4、集团资产管理5、集团人力资源管理6、集团客户关系管理7、集团知识管理与办公自动化8、集团战略与绩效管理用友ERP/NC应用的技术特点包括：J2EE技术体系B/S多层结构跨操作系统平台，WINDOWS、UNIX、LINUX跨数据库平台，适配SQL SERVER 、ORACLE、 DB2等工作流平台预警平台动态会计平台自定义查询、动态报表基于XML技术的系统集成平台模型化设计，提供表单、查询、账表、打印模板数据字典支持提供动态企业建模和基于企业参考模型的快速客户化工具多组织模型支持国际化支持应用部署的挑战和安全需求NC的核心管理理念是“协同商务、集中

6、管理”。协同商务“协同商务”是指集团企业各组织间以及企业与供应商、客户、合作伙伴在信息共享的基础上协同工作。在集团企业内部各工厂、分销、物资等部门之间的业务计划、流程、资源的协同。企业间协同包括供应链计划协同和计划执行监控，通过整个供应链资源和计划的协调，形成整体供应链协同计划，依托于供应链协同计划，驱动从下游企业到制造企业再到上游企业的物流的顺畅和反向资金流，以实现供应链的协同运作，实现整个供应链的价值增值。集中管理 “集中管理”不仅是数据管理的集中，而是在数据集中的基础上实现资源和业务的集中管理和监控，例如集中财务核算与资金管理、集中库存管理、集中采购管理、网络分销等。今天，企业局部的、分

7、散的系统到处存在，维护成本居高不下，业务流程难以协调一致，管理数据支离破碎。企业需要构建一个集中管理、协同商务平台。通过Internet部署集团管理解决方案时，要贯彻“协同商务、集中管理”的理念，必须解决好以下的问题：安全发布NC应用越来越多的集团客户在部署ERP时需要借助Internet。集团客户的分支机构众多，实现各分支机构之间的互连互通的最佳方案是通过无处不在的Internet；移动商务的发展使得集团客户需要考虑外出办事或出差的员工通过Internet对企业内部系统访问的需求。但是，企业ERP系统涉及企业的商业机密和数据安全性问题，在实现基于Internet的用友NC应用发布时必须考虑数

8、据的安全性和访问的合法性，因此建设集团客户NC系统时，存在以下几个安全方面的需求：需要保障NC数据传输的安全性对各使用者的访问的合法性和操作合法性进行检查记录各个用户的操作，便于查询和核实保护NC系统的安全性，避免恶性攻击或者病毒感染更重要的，在获得安全性的同时不能牺牲应用的性能集中管理用户和安全策略用友NC的核心概念之一是“集中管理”，其中不仅涉及到对企业数据、资源、业务的集中管理和监控，而且应该包含对应用使用者的身份、权限和安全策略的集中管理。在现代企业管理的理念下，集团各种信息系统越来越趋向于集中化，集团IT部门需要解决包括NC应用在内的多系统的用户管理分散的问题，实现对使用者的用户名、

9、口令和权限的统一集中管理，并且尽量实现一套用户名/口令即可对多个应用系统进行访问的单点登录操作。NC应用使用者多数来自Internet（包括分支机构、移动人员、合作伙伴等等），地理位置虽然分散，但整体的安全策略却需要统一制定和管理，涉及到的安全策略包括：客户端的位置客户端的安全配置客户端安全操作客户端证书签名适应供应链各环节的需求集团业务的供应链包括供应商、企业自身、合作伙伴、客户，企业内部又分为工厂、分销、物资等部门，他们都会与ERP系统发生联系。这些NC应用的使用者所处的环境和需求大不一样：业务关注点不同使用习惯不同访问速度不同安全环境和策略不同审美和喜欢不同集团客户在部署NC应用时，除了

10、完成基本的功能开通外，还应考虑如何为各类不同使用者创造个性化服务。方便NC用户使用NC应用的使用者类型多样，由于各类使用者从事的行业不同，IT操作水平差距大；终端使用的访问设备不同（PC、笔记本、PDA等等）；而且分布地域广泛，因此解决以上需求时，必须同时考虑以下几个问题：提供易于操作的界面，便于用户迅速上手对客户端的没有预安装客户端软件的要求必须能穿透各企业的Firewall或者Proxy设备总结：关键的挑战和需求具体描述安全发布NC应用NC应用涉及企业的商业机密和数据安全性问题，在实现基于Internet的NC应用发布时必须考虑数据的安全性和访问的合法性。集中管理用户和安全策略集团IT部门

11、需要实现对使用者的用户名、口令和权限的统一集中管理，并且尽量实现单点登录操作；NC应用使用者多数来自Internet，地理位置虽然分散，但整体的安全策略却需要统一制定和管理。适应供应链各环节的需求NC应用的使用者所处的环境和需求大不一样，集团客户在部署NC应用时，应考虑如何为各类不同使用者创造个性化服务。方便NC用户使用NC应用的使用者类型多样化的特点要求集团客户必须考虑使用者的操作方便性和易部署、易维护等需求解决方案最适合NC应用集团客户需求的解决方案是基于SSL协议的通用安全访问解决方案，既Array SSL VPN解决方案。Array Networks公司与用友公司合作，在现有用友ERP

12、/NC应用体系中，利用Array Networks SSL VPN解决方案，支持B/S架构的NC应用，最大程度的简化和加快NC应用的实施和部署，给用户提供便捷的通用安全访问方案，实现用友公司所提倡的“协同商务、集中管理”的核心管理理念，帮助用户建立与信息系统之间的高效安全通路，让客户在任何时间、任何地点、在任何设备上，通过任何形式的网络连接，高效获取各种资源、信息及数据，真正实现应用和信息的价值，并且为当前与未来的IT服务带来更佳的可控性、灵活性和更多的价值。基于SSL协议的通用安全访问解决方案具有以下几个特点：可以实现高强度数据加密，保护数据在传输过程中不被窃取；支持客户端证书的认证，并可以

13、和USB Key结合使用，唯一的鉴定每一个使用者的合法性支持多种认证方式，提供对NC应用访问的合法性检查；支持多种授权方式，保护企业的商业机密数据只能被“正确”的用户访问支持多层安全控制机制，保护后台服务器的安全性；不需要安装任何客户端程序，所有访问操作都通过浏览器实现，因此非常方便用户使用；可以透明穿透Firewall或者Proxy设备；在用友NC应用的解决方案体系中，Array SSL VPN解决方案介于终端使用者和NC应用系统之间，利用多种应用安全技术，实现NC应用的通用安全访问。应用层次结构图如下： SKIPIF 1 0 Array SSL VPN解决方案与NC应用的结合体现在以下几个

14、方面：对NC应用的支持NC虽然是B/S架构的应用，但由于广泛利用了JavaApplet技术，因此传统的SSL VPN产品无法全面支持NC应用；Array SSL VPN具有支持复杂应用的能力，通过以下两种方式可以全面支持NC应用。（1）CliengAPP模式：通常，通过JavaApplet实现的应用系统的访问都是通过几个固定TCP端口，对于这几个TCP端口，Array SSL VPN启动ClientAPP功能时，客户端将下载JavaApplet将作为TCP PROXY运行在客户端，它侦听客户端的特定ERP TCP端口的请求，并把请求通过SSL连接发给Array SSL VPN, Array S

15、SL VPN将终结SSL连接并和内网的应用服务器建立连接，发送请求。（2）L3 VPN模式：此项功能是在客户端和SSL VPN之间通过SSL的连接建立一条虚拟通道，客户端将会生成一个虚拟网卡，并修改本机的路由表。这样，客户端虚拟网卡上就会配备一个和内网地址体系一致的网址，并通过这条虚拟通道直连到内网，就好像客户端机器在内部一样。保护NC应用的安全性NC应用通过Internet进行部署必须考虑防范无孔不入的黑客攻击，Array SSL VPN是一个基于状态的安全代理网关，可以抵御SYN-FLOOD攻击（通过SYN-Cookies技术）Smurf攻击、碎片攻击和DoS攻击等恶意行为，具有整体状态数

16、据包检测和单数据包攻击防护等功能。Array SSL VPN还是一个基于状态的安全代理网关，可以实现四到七层防火墙功能，可以支持上千条访问控制列表，同时性能消耗不到1；可以设置灵活的七层访问控制，包括检测七层包头中的关键字和包长度等，通过这些访问控制，可以保护后台服务器免受非法访问或者攻击。虚拟化技术满足供应链各个环节的成员的不同使用要求的最好方法就是通过Array虚拟化技术为他们开放不同的访问门户，并设定不同的用户管理和安全策略。Array Networks是全球唯一一家支持真正的虚拟化技术的SSL VPN厂家，可以帮助集团客户实现NC应用的个性化部署。Array SSL VPN支持多达25

17、6个独立的虚拟站点（VS），可以实现多个独立的可管理的门户，集团客户可应用虚拟化技术为不同NC用户建立隔离的资源访问体系。统一认证授权集团客户在部署NC应用后，必须能够管理使用者的用户名、口令和权限，并且尽量实现单点登录操作。Array SSL VPN作为安全网关，可以完成用户接入的统一认证授权，支持SecurID, LDAP, RADIUS, LocalDB等多种认证方式；可以灵活控制分层认证，方便认证扩展。Array SSL VPN还可以控制用户访问，可以按特定用户、组、位置或所请求的数据进行分组授权设置，支持外部LDAP、Radius组映射对用户组授权。Array SSL VPN有多种方

18、式实现一次性登录，包括：由SPX完成集中认证授权后台系统支持基础的HTTP认证或者NTLM认证SPX通过X-SSO向后台传送已登录的用户名客户端安全策略通过Internet部署NC应用后，由于访问的各类客户端来自不同地方，甚至属于不同企业，因此原本在一个企业内网中采用的为每个PC预装防火墙+防病毒的安全管理策略显然不再适用。Array SSL VPN可以帮助集团客户远程对客户端的安全属性进行管理，保护NC应用不受非法访问或操作。Array SSL VPN支持全面的客户端安全完整性检查，包括对客户端的接入权限的检查；确定客户端的属性或访问级别；检查客户端安全软件配置等等。数据加密和PKI体系通过

19、Internet部署NC应用，必须考虑数据传输的安全问题，因此SSL加密是最好的解决方案，但当客户需要通过SSL方式发布应用时，处理性能和速度始终是一大难题；Array SSL VPN可以帮助客户实现高效的SSL加密：Array SSL VPN采用基于专用硬件卡加速的SSL加密技术，并结合软件上的内核处理设计，可以实现业界最佳的SSL处理性能。ARRAY SSL VPN的证书管理完全符合PKI体系：支持X.509 标准协议。支持客户端证书认证。支持Certificate Revocation List (证书撤销列表)支持intermediate CA Certificate支持与各种存储数字

20、证书的USB Key的互操作NC应用的集团用户可以向国内的合法CA机构申请数字证书，并为每个使用者也申请客户数字证书，将它们存储在USB Key中，分发给各个用户。用户在需要访问NC应用时，只需要将USB Key插在一台电脑上，启动浏览器访问URL，存储在内的数字证书就会自动传递给Array SSL VPN；Array SSL VPN会检查该证书是否由合法CA颁发，或者结合证书中的某些字段，确认用户的身份。通过这种方式，结合用户名/口令认证，实现了双因素认证，大大提供了系统的整体安全性。Array SSL VPN解决方案的部署示意图如下： SKIPIF 1 0 在Array SSL VPN连接

21、Intranet/Internet的一侧是不安全的网络，因此任何NC应用客户都需要通过SSL的方式才能访问NC应用，通过SSL协议，所有访问数据都被加密传输；在Array SSL VPN连接局域网的一侧是相对安全的网络，因此Array SSL VPN和后台NC服务器之间的通信可以采用标准的HTTP协议，传送明文数据。总结：关键的挑战和需求解决方案描述安全发布NC应用通过SSL协议加密ERP数据，保护数据传输安全；通过ClientAPP或者L3 VPN支持NC应用；Reverse Proxy和应用层防火墙保护NC应用系统安全。集中管理用户和安全策略Array SSL VPN支持多种认证授权方式，

22、可以对NC用户进行统一用户管理，并可以和后台服务器完成单点登录操作；通过客户端安全检查等手段，Array SSL VPN可以帮助NC集团客户远程对客户端的安全属性进行管理，保护NC应用不受非法访问或操作；Array SSL VPN支持完善的PKI证书管理操作。适应供应链各环节的需求虚拟化技术可以帮助NC集团客户为不同的供应链使用者建立个性化服务门户，并根据使用者的特点设定不同的安全策略和认证授权方式。方便NC用户使用SSL VPN是典型的无客户端解决方案，所有访问操作都通过浏览器实现，因此非常方便用户使用；SSL VPN可以透明穿透Firewall或者Proxy设备，对系统的整体部署非常方便简单。业务优势Array SSL VPN解决方案可以为用友ERP/NC的集团客户带来以下业务优势：随时随地的安全访问：基于浏览器的通用安全访问解决方案，实现对NC应用的便捷访问保护核心数据：通过SSL加密，避免ERP核心数据泄露加快业务流程速度：基于用户的身份验证和权限管理，让供应商和合作伙伴实现安全受限的NC访问；实现从IT层面整合供应链管理降低管理成本：无客户端的解决方案，集中控制管理保护NC核心系统：基于代理的架构、应用层的防火墙和客户端的安全检测，提供最佳的安全保护组合系统的集中部署和管理： ArrayNetworks的解决方案中，系统管理员可单点控制整个