制造行业数据中心资源整合及桌面虚拟化解决方案

制造行业数据中心资源整合及桌面虚拟化

解决方案

目录

1前言-1-

2虚拟化交付中心的概念-1-

2.1虚拟化提高系统高可用性-4-

2.2应用优化提高客户体验-6-

2.3应用安全降低系统风险-8-

3EASTED制造行业解决方案一览-10-

3.1SAP集中部署解决方案-10-

3.1.1需求分析-10-

3.1.2项目目标-12-

3.1.3技术方案-12-

3.1.4项目收益-13-

3.2企业分支机构快速扩张和部署解决方案-15-

3.2.1背景-15-

3.2.2需求-15-

3.2.3问题分析-16-

3.3企业集中开发管理平台解决方案-19-

3.3.1功能需求-19-

3.3.2技术需求-20-

3.3.3解决方案及对应项目需求的实现-20-

3.4企业文档和源代码集中管理以及桌面虚拟化解决方案-26-

3.4.1企业的文档管理平台-27-

3.4.2集中部署的虚拟化应用，实现安全、集中的应用和文档访问-27-

3.4.3Easted安全的，集中部署的虚拟桌面架构解决方案-27-

3.4.4开发中心虚拟桌面解决方案-27-

3.4.5可靠的桌面访问管理-30-

3.4.6广泛的桌面交付生态系统-30-

3.4.7业务系统的发布-31-

3.4.8桌面和应用集中发布平台的优势-31-

3.5图纸安全控制解决方案-33-

3.5.1应用虚拟化-33-

3.5.2标准桌面虚拟化-34-

3.5.3总结-34-

3.6企业办公网统一对外访问解决方案-34-

3.6.1需求分析-34-

3.6.2Easted解决方案-35-

3.7企业应用统一发布管理平台方案-36-

3.7.1需求分析-36-

3.7.2Easted解决方案-37-

3.8企业安全远程访问内网解决方案-38-

3.8.1用户现状及面临的挑战-38-

3.8.2Easted解决方案-39-

3.8.3主要效益-39-

4EASTED解决方案目标-40-

4.1低带宽下的远程应用软件访问-40-

4.2彻底解决基于互联网的远程应用安全问题-40-

4.3服务器集群及负载均衡能力-41-

4.4易操作性-41-

4.5稳定性-41-

4.6服务器与客户机资源共享-41-

4.7优秀的打印功能-41-

4.8减少软件投资成本-41-

4.9快速部署实施，集中管理和维护-42-

5EASTED解决方案优势-42-

5.1提高可管理性-42-

5.2简化部署-42-

5.3更高的灵活性-42-

5.4提高数据保护能力-43-

5.5提高资源利用率-43-

5.6降低成本-43-

5.7安全性-43-

5.7.1技术层面-43-

5.7.2管理层面-43-

5.7.3易管理性-44-

5.7.4提升运维效率-44-

5.7.5改善服务等级-44-

5.8灵活扩展-44-

5.9节约成本-45-

5.9.1硬件成本-45-

5.9.2运行成本-45-

5.9.3知识成本-45-

6EASTED产品解决方案价值和收益-45-

6.1决策层-46-

6.2H"运维管理部门-47-

7EASTED竞争优势-47-

8EASTED技术服务体系-48-

8.1编写目的-48-

8.2技术服务概览-48-

8.3技术服务总则-49-

8.3.1电话服务-49-

8.3.2在线服务-49-

8.3.3标准服务包括-49-

8.3.4特殊技术服务包括-49-

8.3.5培训服务包括-49-

8.3.6服务意见与投诉包括-49-

8.4技术服务详细内容、流程及要求说明-50-

8.4.1电话服务-50-

8.4.2在线服务-51-

8.4.3标准服务-51-

8.5特殊技术服务-52-

8.5.1现场紧急故障救援服务-52-

8.5.2EASTED标准技术服务-52-

8.5.3专题技术方案交流-52-

8.5.4维护经验技术交流-52-

8.5.5培训服务-52-

8.5.6服务意见与投诉服务-53-

9EASTED公司简介错误!未定义书签。

10EASTED产品简介错误!未定义书签。

10.1云计算简介错误!未定义书签。

10.1.1基础架构虚拟化错误!未定义书签。

10.1.2桌面虚拟化错误!未定义书签。

10.2EASTEDVSERVER虚拟数据中心系统错误!未定义书签。

10.2.1系统结构图错误!未定义书签。

10.2.2产品简介错误!未定义书签。

10.2.3产品功能简介错误!未定义书签。

10.3EASTEDECENTERSERVER云数据中心管理系统错误!未定义书签。

10.3.1产品简介错误!未定义书签。

10.3.2功能和优势错误!未定义书签。

10.4EASTEDVIEW桌面虚拟化系统错误!未定义书签。

10.4.1产品简介错误!未定义书签。

10.4.2功能和优势错误!未定义书签。

10.4.3高清视频播放错误!未定义书签。

1前言

制造业在我国国民经济中处于主体地位。

目前几乎所有的制造业企业都己经或正在把企业信息化作为企业发展的战略之一。企业

信息化规划则是实施这一战略的蓝图。信息化规划以整个企业的发展目标，发展战略，和各

部门的目标与功能为基础，结合行业信息化方面的实践和对信息技术发展趋势的掌握，提出

企业的信息化远景，目标，和战略，全面系统地指导企业信息化的进程，协调发展地进行信

息技术的应用，及时地满足企业发展的需要，以及有效充分地利用企业的资源。

不断提升并完善企业信息化的价值是一项复杂的系统工程，它既需要软件和硬件设备的

大量投资，又需要人力、物力、智力的投入。近年来，很多制造企业都加快了信息化建设的

步伐，通过互联网及企业内部网（专网），宣传企业或开展电子商务；使用办公0A系统、

ERP、CRM等信息管理系统；建立自己的门户网站等，以此提高企业核心竞争力。

因此，在网络信息技术高速发展的今天，企业信息系统网络是否高效、畅通、安全在很

大程度上影响企业的生产、销售、管理等各个环节。对于现代化的制造企业来说，及时了解

客户的需求和市场动态非常重要，建立一个高效、可靠、灵活的企业信息网络架构就显得尤

为迫切。

借助Easted公司多年的制造行业合作经验，结合Easted公司为制造行业提供的优秀高

科技产品，能够共同帮助中国制造行业实现成长企业战略，使得企业就能够在变化降临的各

个阶段快速实现业务决策，化被动为主动。使得企业随市场而变，随用户而动，而企业核心

业务系统随企业而动；帮助中国制造业的创新模式就能够随时随地转化为满足用户需求的竞

争力、满足市场变化的竞争力。使得业务系统不断创新，永续成长，成为企业的卓越典范。

2虚拟化交付中心的概念

虚拟化交付中心，首先的一个问题就是应用的发布问题。下面我们从一个典型的应用发

布流程中间所经历的环节进行分析:

任何应用系统都离不开物理的数据存放。数据最终都是以二进制编码方式存放在物理设

备上，通常，这些都是存放在存储设备上，比如常见的硬盘、磁盘阵列等存储系统上。通过

服务器操作系统，可以将这些数据按照应用系统所要求的格式进行读取和写入。服务器在

这中间起到了一个桥梁性作用，一方面，服务器从物理存储设备上读取和写入数据，另一方

面，服务器对外提供网络的接口，通过网络将数据进行发布。应用系统则是安装在服务器

上的软件应用，对数据进行进一步处理，应用系统包括常见的数据库系统、中间件系统等。

应用系统主要完成商务逻辑运算、数据加工整理等功能。最后，通过门户系统对外呈现一

个统一的界面和接口，如Apache、IIS等Web服务器，对数据进行进一步格式化，转变成用

户端可见的界面，并提供服务端口，供用户端进行访问。所有的存储、服务器、应用系统

和门户系统都部署在数据中心里。ISP则是连接用户端和数据中心的桥梁。最终用户通过ISP

提供的链路资源访问到数据中心，并最终通过门户系统、应用系统和服务器系统来读取和写

入应用数据。这样，就完成了整个应用的发布过程。交付中心中所有中间环节就是让最终

用户可以输入和使用位于数据中心的数据。应用则通过不同的展现手段，提供给终端用户不

同的内容。

在应用发布的整个过程中，直接性的，信息主管面临以下问题：

•应用整合随着企业自身的发展，对IT信息化建提出了更高的要求，因此应用系统

的整合度越来越高，所以对服务器的性能、高可用性方面的要求也随之提高。

•服务器整合在应用整合后，服务器的整合随即变得非常的重要，如何使位于数据

中心的服务器资源得到合理的共享、动态调配，降低能源消耗，已经现实的将问题摆在了信

息主管的面前。

•安全攻击从DDOS到SQLInjection,各种类型不同的攻击手段，都在影响着交付中

心的顺畅，轻则导致应用变慢、不顺畅，重则导致业务中断、系统瘫痪。

•用户分散加剧目前大部分企业的业务系统都从最初仅面向一个分支机构或者一个

小范围的客户群体，发展到面向全国甚至全球的使用者。用户分散加剧也导致了交付中心的

环境变得越来越恶劣。

•SOA建设企业业务的复杂性，需要SOA架构来进行多应用，多协议的整合，信息

主管需要有完善的架构设计理念和实施部署方案，实现这些不同种类的应用的最佳部署结

构。

针对交付中心的各个环节中的薄弱点，Easted交付中心方案提供了端到端的解决方案。

应用整合：通过对应用系统的深层次识别和各种应用加速技术，提高应用系统的访问效

率和响应速度。

服务器整合：通过使用本地负载均衡、应用优化设备，实现服务器的高可用性、高安全

性和可扩充性。

安全攻击：通过网络层安全防护、应用层安全防护和传输通道加密技术，提高系统的整

体安全性。

用户分散加剧：通过将数据，应用和桌面完全集中放到数据中心，然后通过高效显示传

输协议交付给最终用户，最大程度地减少传统应用的客户端管理和本地操作系统依赖，真正

实现应用发布的客户端独立性。另外一个层面，通过广域网用户引导、多链路用户引导等技

术，引导用户选择最佳的数据中心，通过最佳的链路到达应用服务器。

SOA建设：通过多协议、多平台的支持，对应用中的各种协议流量进行分析，实现精确

引导和应用发布。

传统的数据网络主要关注的是网络的互连互通，而各种新兴繁杂的网络应用，关注的则

是业务逻辑和功能。应用虚拟化交付中心(DeliveryCenter)的理念则将重点放在了这两者

之间的地带，在现有架构的基础上，实现应用交付的快速、安全和高可用.

Easted通过对网络和应用之间存在的问题进行分析，提出了以持续，高效，安全、快速

为核心的应用虚拟化交付中心概念，通过集中式管理模式，并从虚拟化、及应用加速优化,

应用安全等几个方面入手，帮助企业构架交付中心，提高系统的高可用性、利用率和客户体

验，并降低应用安全风险

2.1虚拟化提高系统高可用性

企业现有应用系统中常用的0A系统，Mail系统，ERP,CRM等众多的应用已成为企业

日常运作的重要组成部分，任何一个系统的访问失败都会影响企业运营的进行。目前的企业

数据中心内都包含上千个内部/外部的业务应用系统，其关系错综复杂。

然而，用户在通过网络访问到企业所发布的应用所经过的处理环节中，造成应用访问失

败的原因有很多，比如：单一的Internet或专线接入链路出现的单点故障，各网络设备或安

全网关类设备的异常中断，后台服务器软硬件系统的失效或日常维护时的停机重启等操作，

都无法有效保证企业关键应用系统可以7*24小时不间断运行。

处于业务系统的部署需求和成本管理控制，没有任何一个企业可以采用单一的操作系统

和单一厂商硬件设备来构建整个的数据中心，用户接入端的种类越来越丰富，对交付中心需

求的时间要求越来越高，也带来了对系统高可用性越来越高的要求。

虚拟化技术(Virtualization)可以有效的提高系统的整体高可用性。虚拟化技术实际上

在业界已经存在很长的时间，只是目前在开始逐渐清晰，并将其作为一个主流的技术进行展

现。按照不同的用户接入和应用服务层面，虚拟化可以分为很多个层次。

服务器虚拟化在目前主流的服务器硬件设备和操作系统级别上，均提供了不同程度

的虚拟化功能。包括基于CPU的硬件虚拟化功能的系统如Easted的EastedVServer,Windows

Hyper-V等技术，也包含了基于软件的服务器虚拟化系统如VMware。在主流的CPU如Intel.

AMD、PowerPC和SPARC等CPU上，也实现了硬件的虚拟化技术，使单台服务器可以被切

分为多台服务器系统。从而使操作系统认为其使用的是一个完整的硬件平台。然后在后台进

行资源的统一调度和管理。

应用虚拟化应用虚拟化可以简单描述为“以IT应用客户端集中部署平台为核心，以

对最终用户透明的方式完全使用户的应用和数据在平台上统一计算和运行，并最终让用户获

得与本地访问应用同样的应用感受和计算结果。”

虚拟化背后的主要推动力是基础设施各方面的猛烈增长，同时伴随着IT硬件和应用的

大量增加。而且，n■系统正在变得越来越大，分布越来越广，并且更加复杂，因而难以管理，

但要求加强IT控制的业务和监管压力却在继续增大。而应用虚拟化正在帮助解决当今机构

所面临的很多推动力方面的问题一一提高业务效率、增强员工移动性、遵守安全与监管规定、

向新兴市场拓展、业务外包、以及业务连续性等等。

桌面虚拟化桌面虚拟化是使用软件从用户的PC中抽象操作系统、应用程序和相关的

数据。桌面须拟化使管理用户PC、配置新的桌面、使用补丁和强制执行安全政策更加方便。

根据软件和硬件的选择，桌面虚拟化能够减少拥有总成本。一般说来，桌面虚拟化产品有两

种类型：本地桌面虚拟化和托管的桌面虚拟化。前者在用户PC上的一个受保护的隔离环境

中运行整个桌面环境。后者将用户的桌面存储在数据中心的服务器或者刀片式PC上，要求

用户通过网络连接访问自己的桌面镜像。

只有通过虚拟化、共享的系统建设，并通过完善的系统资源监控和自动化的调配体系，

才能实现真正的系统高可用性。为此，在考虑新一代的企业信息系统建设时，还必须考虑以

下几个方面：

系统的监控除了传统的数据收集类的监控体系外，新的系统监控体系还必须加入快

速反应系统。在事件发生的时候，监控系统还可以根据预先设置的条件进行快速反应，对资

源进行动态调配，将可能发生的问题消于无形。

系统的智能化在数据中心中，存在有各个厂家、各个层面上的网络设备、服务器、存

储等，智能化的系统可以与其他的厂商相关联产品进行紧密配合，相互了解资源使用状况。

并通过开放的应用开发接口，可以灵活的定制动态资源调配策略。

虚拟化对应用系统的影响在实现虚拟化以后，必然会涉及到应用运行环境的改变，严

重的时候甚至将导致系统不能运行。通过两种手段可以化解这个问题:一是选用灵活度最大

的产品，以增强相互之间的适应性；二是制订规范化的部署方案、开发方案，使开发和部署

能无缝的在虚拟化环境中进行。

在一个完善的虚拟化应用系统中，所有的应用系统均要求有最大的通用性、跨平台性和

各厂商的协作性。通过与相关厂商的紧密合作，实现不同系统之间的相互监控和相互操作，

实现资源的动态调配从而实现真正的应用系统高可用性。

2.2应用优化提高客户体验

随着技术的进步、产品标准化的加速推进，整个社会正在走向产品无差异时代，特别是

在主流市场上，核心产品创新的难度越来越大，很多行业实际上成了加工或组装业，大家所

使用的零部件大同小异.甚至完全一样。在这种情况下，一些优秀的企业开始把目光转到另

外一个地方，并深入研究、实施相关策略，即全面客户体验，也即消费者得到产品（或服务）

的全过程。也就是说，一个基本事实是消费者在整个消费过程中所体验到的一切会使他得出

某些结论，从而喜欢或不喜欢某个品牌，喜欢或不喜欢某个企业，而产品本身却成了次要的

选择因素。这个趋势终将成为未来几年主流市场上企业之间竞争的焦点。

对于制造业而言，除了产品创新外，完善、优化的IT架构也成为提高客户体验的一个

最重要的环节。

作为企业的客户，可能通过各个渠道使用业务，在这些系统的后台，都是由企业的n■架

构在进行支撑。IT系统建设的状态直接影响到前台的渠道客户体验。

业务大集中后，所有关键应用都将以数据中心为中心，各分支机构、合作伙伴和客户通

过Internet或专线访问的方式进行发布，然而：

数据中心Internet/lntranet链路接入的带宽不断扩大，但访问速度仍然很慢

・大量非关键应用的流量在网络进行传播，使得无限扩充的链路带宽始终无法得到有

效利用。

企业内部用户访问Internet资源时，或外部用户访问企业发布外部站点时，会受到

ISP提供商网间互通的瓶颈，造成访问快慢不一的现像。例如：如果采用的ISP是通过网通

接入的，在访问处于电信的资源时，会由于不同ISP之间互连互通的问题造成访问变慢，而

访问网通资源时，就不会存在问题。

如何向遍布在全国范围的服务网络提供相同的快速访问途径

各分支机构或合作伙伴采用的网络接入方式，带宽的接入质量存在差异性，造成了访问

企业总部应用时的快慢不一。大数量的应用数据传输时出现的延时或丢包等现象，严重影响

了企业的关键信息数据发布或收集。

，如何加快WEB应用的访问速度

当前，许多企业在实施了价值数百万、千万的Web应用部署之后，却发现与原有的客

户端服务器应用相比，新部署的性能不能让用户感到满意。同时，企业出于监管和数据安全

性要求需要将服务器集中管理，而Web应用的用户却作为远程分支办事处和移动用户而分

布得更加分散。

与此同时，不幸的是，广域网延迟、错误和其它问题使得Web应用无法快速交付。在

门户应用、CRM应用、协作应用及其它企业应用情形中，Web应用架构师和管理员发现其

交付性能难以满足用户的期望。

通过交付中心建设，可以通过多种技术手段对应用进行优化，提高客户体验。在实际应

用中，通常使用的优化手段有：

TCP优化：对TCP堆栈进行优化处理，提高TCP传输效率

负载均衡：通过将用户请求分配到多台服务器，降低单台服务器的压力，提高服务器的

响应速度

连接复用：将大量的用户端短连接进行聚合，变成长连接与服务器进行交互，减小服务

器由于频繁建立和关闭TCP连接带来的消耗

SSL卸载：通过硬件处理SSL加解密流量，减轻服务器端压力

内存Cache:将大量的静态内容缓存在交付中心设备的内存里，减小服务器端压力

HTTP压缩：对HTTP传输中的可压缩内容进行压缩传输，减小广域网带宽占用，提高客

户端打开页面的速度

动态静态分离：通过技术手段，将页面中的动态内容和静态内容进行分离，使变化不大

的静态内容尽量留在客户端浏览器，以减少广域网数据传输量

应用优化技术与高可用性技术进行配合，就可以极大的提高客户体验，使企业得以留住

并吸引更多的优质客户群体，提高自身的竞争力。

2.3应用安全降低系统风险

变化多样的网络攻击及蠕虫病毒在企业的网络中大量泛滥，促使企业不得不想尽一切办

法来提升“木桶”的高度，以此来抵挡各种类型的攻击.提到网络安全，以前人们想到的是

防火墙、入侵检测、加密、认证、VPN等等一系列产品的名字。在现有的企业数据中心里,

对传统的网络安全都进行了非常严密的部署，比如通过防火墙分割安全区域，使各个分区之

间的相互访问都要通过防火墙进行，在防火墙上设置非常细化的安全策略，限定源和目的地

IP和端口等。另外，在同一条数据通路的不同区域中，采用不同品牌，不同形式的防火墙进

行安全防护。在对外的公共通路上，再部署IDS、IPS等进行进一步的安全审计和防护。以期

望获得最大的安全性。对于传统的网络安全概念，这些措施有效防地防范了基于网络层面

的攻击，但基本上在现在企业的安全体系中，都忽略了一个重点，就是应用层面的安全。

企业帐号，电子定单，财务数据等关键的应用数据通过基于WEB应用的方式进行传输

时，默认都采用HTTP明文方式进行传输。现在的企业系统中存在越来越多的开放运行环境

的系统，因此，数据的安全传输是一个非常重要的问题。尤其当应用部署在内网时，传输的

安全问题是最容易被忽略的一个环节。一旦被非法人员获取，将使企业或合作伙伴造成重大

的经济损失。

另外，据一个国外的安全组织调查分析结果，目前网络中的攻击手段，有85%都是在应

用层面上的攻击手段。也就是说，在所有的攻击手段中，只有15%属于传统的网络层面攻击

手段，比如常见的拒绝服务、碎片等攻击手段。余下85%均发生在应用层，如SQLInjection、

跨站攻击、CC攻击等手段。

目前企业的安全系统构建，基本上都是基于网络安全层面进行构建，实际上可以防护的

攻击手段只占所有攻击手段的15%,可以说，现有大部分企业的开放运行环境系统是非常脆

弱的。这还不包括基本没有防火墙防护的封闭运行环境中的系统。

为什么会造成这种情况，我们可以从目前产品的安全技术特色上进行分析，目前企业数

据中心内主要有以下三类安全产品部署：

1、基础防火墙类，主要是可实现基本包过滤策略的防火墙，这类是有硬件处理、软件

处理等，其主要功能实现是限制对IP:P。代的访问。基本上的实现都是默认情况下关闭所有

的通过型访问，只开放允许访问的策略。

2、IDS类，此类产品基本上以旁路为主，特点是不阻断任何网络访问，主要以提供报告

和事后监督为主，少量的类似产品还提供TCP阻断等功能，但少有使用。

3、IPS类，解决了IDS无法阻断的问题，基本上以在线模式为主，系统提供多个端口，

以透明模式工作。在一些传统防火墙的新产品中也提供了类似功能，其特点是可以分析到数

据包的内容，解决传统防火墙只能工作在4层以下的问题。和IDS一样，IPS也要像防病毒

系统定义N种已知的攻击模式，并主要通过模式匹配去阻断非法访问。

在这几类产品中，通过如何定制控制策略，就可以分辨出什么是主动安全，什么是被动

安全。从安全的最基本概念来说，首先是关闭所有的通路，然后再开放允许的访问。因此,

传统防火墙可以说是主动安全的概念，因为默认情况下防火墙是关闭所有的访问，然后再通

过定制策略去开放允许开放的访问。但由于其设计结构和特点，不能检测到数据包的内容级

别，因此，当攻击手段到达应用层面的时候，传统的防火墙都是无能为力的。IDS的特点是

不能阻断攻击流量，只能是一个事后监督机制，因此在其后出现的IPS,基本上所有的IPS系

统都号称能检查到数据包的内容，但犯了一个致命的错误，就是把安全的原则反过来了，变

成默认开放所有的访问，只有自己认识的访问，才进行阻断。从另外一个方面，由于在线式

造成的性能问题，也不能像杀毒软件一样进行全面而细致的安全审计。因此大多数的IPS在

实际运行环境中都形同虚设，通常只是当作一个防DDOS的设备存在。IPS尤其对于未知的，

不在其安全知识库内的攻击手段，则无法进行有效的识别并进行阻断。并且，由于在线式造

成的性能问题，在大多数的IPS部署方案中，很难对全部的流量开启所有的模式分析，因此，

当企业面临真正的应用层攻击时，这些安全手段都无能为力了。

在交付中心中，通过应用层主动安全体系来解决现有的问题。在主动安全的体系中，彻

底改变了IPS的致命安全错误。其工作在协议层上，通过对协议的彻底分析和Proxy代理工

作模式，同时，结合对应用的访问流程进行分析，只通过自己识别的访问，而对于不识别的

访问，则全部进行阻断。比如在页面上的一个留言板，正常的用户登录都是填入一些留言，

提问等，但黑客则可能填入一段代码，如果服务器端的页面存在漏洞，则当另外一个用户查

看留言板的时候，则会在用户完全不知道的情况下执行这段代码，这叫做跨站攻击。当这段

代码被执行后，用户的本地任何信息都有可能被发送到黑客的指定地址上。如果采用防火墙

或者IPS,对此类攻击根本没有任何处理办法，因为攻击的手段、代码每次都在变化，没有

特征而言。而在采用主动安全的系统中，则可以严格的限制在留言板中输入的内容，由此来

防范此类跨站攻击。又如常见的认证漏洞，可能造成某些页面在没有进行用户登录的情况下

可以直接访问，这些内容在防火墙或者IPS系统中更加无法处理了。因为他们的请求和正常

的请求完全一样，只是没有经过登录流程而已，因此不能进行防护，在主动安全体系里，可

以对用户的访问进行流程限定，比如访问一些内容必须是在先通过了安全认证之后才能访

问，并且必须按照一定的顺序才能执行。因此，工作在流程和代理层面的主动安全设备可以

进一步实现应用系统的真正安全。

3Easted制造行业解决方案一览

3.1SAP集中部署解决方案

某是中国最大的一体化能源化工公司之一，主要从事石油与天然气勘探开发、开采、管

道运输、销售；石油炼制、石油化工、化纤、化肥及其它化工生产与产品销售、储运；石油、

天然气、石油产品、石油化工及其它化工产品和其它商品、技术的进出口、代理进出口业务；

技术、信息的研究、开发、应用。是中国最大的石油产品和主要石化产品生产商和供应商。

在实施ERP项目过程中采取了分步推进的战略部署，并且于2006年时进行ERP服务器

逻辑集中的试点工作，ERP项目的集中化管理能够实现：

//建立统一的数据平台，并且有效地支撑各级管理层尤其是总部相关领导的科学决

策；

/18为了总部统一的业务和管理要求在各个企业得到有效贯彻，利用先进的信息系统

提高各企业管理水平；

/1我高整体管理效率、降低对ERP系统的运维支撑水平和IT总持有成本，

3.1.1需求分析

由于前期ERP项目的集中化管理，主要是停留在“数据集中”或称“服务器集中”的模

式上，SAP客户端GUI还部署在每一个员工的电脑上，这就相当于把应用逻辑和数据分布在

了企业的各个角落，这样虽然服务器集中了，但是应用依然是分散的，同时数据在各个PC

机上都会传递和缓存驻留，这无论给使用、管理还是安全上都带来麻烦。

根据对前期ERP上线的销售企业的日常维护检查、后评估和项目验收检查，发现已上线

的销售企业ERP系统应用中，SAPGUI分散部署导致的各类问题包括：

/9页目实施时部分终端用户的IT环境需要改造：SAPGUI对PC机配置和网络均有一

定要求，目前大部分销售企业的部署模式是将SAPGUI安装在用户自己的PC机上，

这种模式对于达不到要求的用户，如果不进行改造升级，则不能顺利进行SAP实

施，这从项目实施的角度来看，不仅增加了用户投入的整体成本，而且使得项目的

实施周期被迫延长。

/腑用效率有待提高。目前IT环境越来越复杂，业务对n■系统依赖性越来越高，IT

系统对员工的要求也越来越高，随着SAPGUI的传统部署，这一现状进一步加剧，

系统复杂性使得应用效率降低，员工与其PC机逐渐绑定在一起而失去了灵活性。

应用效率不仅包括因计算机性能和网络速度影响的发生一笔业务的时间，还包括业

务人员为适应IT系统而完成业务操作的综合时间和人力成本。以及IT系统是否足

够灵活，能否有效避免系统故障带来的业务中断等等。例如当企业需要完成一笔

SAP业务时，业务人员由于PC故障却无法执行业务操作，或由于出差，远程网络

差等无法访问SAP系统等等，这些都会大大降低应用效率，制约了SAP系统实施

效果。

/原安全性问题。在SAP实施初期，为了系统顺利运行，往往忽视并牺牲了一定的安

全性，但是随着SAP系统的运行，SAP系统中企业敏感数据越来越多，安全性问题

应提到重要位置。目前的部署模式，企业内部分散了成千上万的SAPGUI软件，难

于管理SAPAGUI模块的授权安装和使用；同时SAPGUI和后台服务器要交互大量

的数据，这些企业数据会在全省范围内大面积的传输，增加了数据被截获和窃取的

风险；并且在用户PC机和笔记本上缓存的数据，增加了PC机笔记本丢失等原因

的数据泄漏的风险；最后，大量的PC机增加了病毒感染的风险，会直接破坏企业

系统运行。

/解隹护管理工作量加大。目前在SAP实施中，实施部门已经运用了各种方法去降低

维护工作量，如将SAPGUI通过FTP下载到每一台PC机上，执行安装和升级，但

是由于维护和管理的对象面太广（整个用户群的PC）,缺少有效地集中管理手段，

还是无法从根本上降低总体的管理维护工作量。而这会在业务人员对SAP的使用

要求越来越高的同时，技术支持响应速度却完全滞后，无法使SAP使用效果得到满

意保障。

/18网络带宽的投入，目前的部署模式需要用户访问SAP时有一定的带宽保证，才可

以顺畅地使用SAP系统，随着SAP的实施和推广，在网络带宽上的投入会越来越

大。而远程访问受网络的影响，依然无法有效解决。

/编训和远程支持，培训是SAP成功实施的重要保证，对于目前省公司大量的客户

和分散的地域，缺少远程培训和支持技术，给SAP实施带来了极大的不便，同时也

会影响使用效果。

因此结合ERP项目的集中化管理，只有实施ERP客户端集中部署模式，才能有效地解

决分散IT系统架构的弊病，体现集中管理的优势

3.1.2项目目标

在SAPGUI集中部署项目中，项目目标包括：

/团实现SAPGUI的快速部署，每台使用R/3系统的设备无需安装SAPGUI客户端；

/13简化SAP客户端维护，避免由于对客户端的维护导致影响数据及时录入，提升数

据的时效性；

/18降低SAP对终端PC的配置要求；

/但高效利用网络带宽，解决远程低带宽移动客户访问SAP系统的低效率问题；

/啾速实现从C/S到B/S的访问方式转变；

/m提高密码安全性，利用单一密码访问所有被授权使用的应用；

/M呆障生产业务连续性，保证客户对SAP的不间断访问。

于2012年初采用Easted接入平台进行了ERP客户端集中部署的试点成功后，于9月份

开始实施5省销售公司的ERP客户端集中项目，在北京总部数据中心实施总计近5000用户

的SAPGUI集中部署。Easted平台于11月10日和SAPERP系统一起正式上线，投入运行。

3.1.3技术方案

SAP系统的总体架构不变，后台SAP服务器也没有改变，只是在原来的用户客户端和

SAP服务器之间增加了Easted服务器集群，原先需要安装在用户客户端的SAPGUI软件现在

安装在Easted服务器上，多用户同时访问时，SAPGUI以多进程方式在Easted服务器集群上

运行。

总体架构如下图所示:

图：总体架构图

通过这样的部署结构，最终用户对SAP的访问依赖于服务器计算能力和数据中心内部

网络，不再依赖于广域网和终端设备，因此通过配置高性能的中心服务器，可以使得远程用

户像在局域网内一样使用SAP系统。

Easted服务器集群通过负载均衡技术实现了7X24小时的业务连续性，无论用户客户端

或者服务器出现单点故障，均不影响用户对SAP系统的访问。并且对用户端的网络依赖性降

低，每个用户只需要10K-20K的带宽就可以享受到局域网内使用SAP的性能。

3.1.4项目收益

通过ERP客户端集中部署项目，获得了如下收益包括：

系统安全性

通过Easted平台，可以方便地实现应用接入的安全控制。隐藏业务应用服务器及数据

库主机。应用的安装、升级和维护只发生在后台服务器上，用户不能接触、修改应用配置,

也不知道服务器在什么位置，但可以正常使用，可以有效保证主机的安全。用户可以基于权

限控制要求接触不同的应用。不同的用户根据工作需要和控制要求，配置使用不同的应用。

避免出现应用安装软件随处可见，随便安装和使用。

应用连续性

客户端网络有时会出现临时中断，原来的客户端方式会引发SAP系统交易锁定，这时需

要后台管理员解锁，即使得最终用户感觉不便，又增加了支持中心的压力。采用Easted平台

访问后，网络中断只是会话暂停，不再影响交易，用户只需等待网络恢复即可继续交易。

另外如果用户本地客户端故障，用户可以马上登陆备用机或其他人的机器继续工作，而

不用担心业务中断或数据泄露等问题。

维护方便性

通过Easted平台，各种应用部署、配置和升级体现出了快速化和准确性。传统解决方案

及其带来的麻烦：

（一）通过邮寄安装光盘或者网络传输安装软件，直接或间接到达所有远近终端上，进

行安装。让管理人员在每个终端上都安装客户程序会耗费大量的时间和精力，或占用有限的

网络带宽。而更加复杂的配置将需要IT人员的支持，甚至到现场处理，由此将发生高昂的

差旅开销。

（二）手工、或者自动升级客户端软件。出现令人头疼的却又难以避免的升级失败和事

后处理，以及得不到有效控制的升级遗漏，致使旧软件的继续使用。

Easted解决方案带来的便捷高效：

（一）在中心服务器安装部署应用，发布给用户使用。n■技术人员只要在后台进行应用

的安装、配置和测试。一经测试通过即可发布给用户使用。部署花费少，时间以小时计，无

需复杂的部署安排和时间控制。只要网络畅通，一个通知，各地用户就可以使用。对于SAP,

只要在后端进行SAPGUI的安装配置和发布。

（二）应用软件的升级和维护。应用的升级和维护也只发生在后台服务器上，用户甚至

无所察觉。并且可以确保无一遗漏，用户使用软件版本决无差异。

（三）所有的客户端都可以实现免维护。最多就是本地系统网络配置和ICA的客户端安

装。

更短的时间，同一个版本，同时生效。只需传统方式几十分之一的时间即可快速、准确

地完成200个用户的应用部署。考虑实际情况，耗时比率会更低。而后新增用户的应用部署

将花费更少时间。

降低成本

Easted平台延长了现有终端设备使用期限。保护已有投资。企业经过多年的建设，存在

有各种档次的硬件设备，功能和性能各不相同。在经过实际测试，-台2001年的奔腾机器

（PIII-750,：128M内存）一样可以很好地完成思杰部署的业务应用。延长设备更新周期。通

过使用思杰接入系统，在延长现有设备使用期限的情况下，使得设备采购间隔得以延长。设

备的更新关注在那些故障频发老化设备上。减少设备更新花费。

3.2企业分支机构快速扩张和部署解决方案

3.2.1背景

目前，很多商业企业正致力于跨区域发展。这些企业积极推进管理创新和金融技术创新，

努力打造公司企业、零售公司、个人企业、信用卡、金融市场五大利润中心，实现利润来源

多元化。随着企业网点的快速扩张，及各项业务的开展，业务需求对IT应用和IT基础构架

的要求也越来越高。不但要求IT系统的各应用能够快速满足各种新业务的要求，对于网络

安全、管理等基础构架也带来了更高的要求和更大的压力。而且，由于企业的快速扩张，IT

部门的人手也严重不足，进一步加剧了矛盾。

所以需要有一个系统的解决方案，帮助这些企业的IT部门来应对这一系列挑战。

3.2.2需求

为了应对这些挑战，企业的n■构架需要解决以下几个关键的问题：

支持分支机构快速扩张的基础构架因为短期内分支机构的快速扩张，需要有一套IT

构架，能够适应这样速度的扩张。能够在最短时间内，快速建立新的分支机构的IT环境的

部署。同时系统要能够有良好的可扩展性来支持日益增长的系统容量。

解决终端和应用的管理和安全问题由于存在大量的分支机构，终端网点的客户端的

安全和管理问题的矛盾也越来越突出。由于网点终端分散于各个网点，加上网点的IT管理

力量薄弱，对于这些终端的维护和管理的挑战性十分大。采用传统的PC+本地安装客户端模

式，初始安装和配置需要大量的工作量。日后的应用升级、维护，往往需要IT管理人员访

问现场，其速度和成本也非常高。同时，如何保证这些分散的客户端的安全也是需要重点考

虑的问题。在生产网络中，任何一台受到病毒或木马感染的客户端，都可能直接影响到整个

网点，乃至整个生产网络的正常生产。同时，如何保护重要应用中的敏感信息的保密，也是

需要着重考虑的问题。

跨安全分区访问业务应用由于企业网络安全要求的特殊性，其网络往往划分为多个

相互隔离的安全分区，如办公网，开发网，生产网等。多个安全分区之间用防火墙互相隔离。

但是由于不少业务应用，需要跨安全分区进行访问，这就需要在防火墙上打开相应的端口。

由于应用对通信和端口的要求千变万化，而且随着应用的构架变化和版本升级，往往防火墙

规则也需要做相应修改。这样不但增加了管理负担，而且也带来了一定的安全隐患。

分支机构访问应用的速度问题对于分支机构，不但存在终端和应用的管理问题，应用

的访问速度也是用户十分关注的指标。由于企业的应用绝大部分采用集中的后端，及越来越

多使用B/S构架，其操作响应速度往往不够理想。这就要求新的解决方案能够很好地优化分

支机构的用户对各种应用的访问和响应速度。

安全的开发环境企业的开发部门由于企业的业务特殊性,对开发环境和文档管理环境

的安全性要求较高。而由于企业业务的飞速拓展，企业开发项目中，往往还会牵涉到很多第

三方公司和外包项目。这对开发系统的安全构成了极大的挑战。需要有一套环境，能够让开

发项目的员工及外包员工，能够在受控环境下，进行相关应用的开发和调试，同时能有效保

护应用代码及企业数据的安全。

要应对以上的这些挑战，采用传统的PC机加管理软件的方式，不能完全有效地解决这

些矛盾。通过Easted应用交付中心的解决方案，是客户端系统和应用管理方式的变革，能从

另一种思路来解决这些安全和管理的问题，达到传统方式无法达到的理想效果。以此使企业

的客户端和应用管理水平迈上一个新的台阶，能适应企业业务快速拓展的需要。

3.2.3问题分析

企业终端和应用的安全和管理的挑战是使用传统计算模式情况下，非常普遍的问题。由

于PC的特点，PC终端的安全和管理一直是业界困扰的问题。

3.2.3.1传统模式的弊端

下图是传统的计算模式构架图：

从传统构架来看，有这样几个特点:

1.客户端需要在终端部署，初期安装以及后期维护工作量巨大。维护成本高。

2.由于应用客户端直接部署终端,业务数据会直接在数据中心到网点的网络中进行传

输。

3.由此，为了满足传输的安全，必须对传输的数据进行加密，以防被截获。加密一般

通过应用本身的设计或者使用专门的网络层的加密设备，如VPN等来实现。

4.此外，大部分应用还会将数据缓存与客户端的本地。在本地的数据也需要加密和访

问控制，才能保证数据的安全。

5.要实现从传输过程，到本地数据的安全和保密，对应用的要求很高。很多应用并没

有对数据的安全性作很好的考量。改造应用，或者通过其他产品来实现加密等，实现非常困

难，安全漏洞很多。

6.应用直接部署于客户端，也使应用客户端本身暴露于分析、扫描、反向工程、破解

等等各种安全攻击的威胁下。

7.对于跨安全分区的应用，每个应用，都需要分别配置防火墙上的策略。打开过多的

地址和端口，也对安全造成一定的影响。同时，一旦应用服务器的部署有所变化，也需要对

策略作相应的调整，非常不灵活。

8.由于很多应用没有对远程网络访问进行优化，导致应用访问速度非常不理想。客户

体验差，影响工作效率。

综合起来看，传统模式由于其分散的本质，及客户端应用和数据直接存于远程的终端之

上，管理复杂，要保证其安全十分困难。其面临的安全攻击面较高。

传统解决方案必须从传输，保存，端点及运行环境等各个环节都保证安全，所以有了防

火墙,终端管理软件、终端防病毒软件、入侵检测、网络加密设备等等各种解决方案和产品。

其实现安全的代价高，效果往往仍不理想。

所以，一味地从传统方案入手，而不改变其构架，问题隐患并没有从根本上得到解决。

3.2.3.ZEasted模式带来的变化

我们来看一看Easted的方式，如何通过改变整体的计算构架，来使整个问题的解决变

得简单化。

Easted模式的核心是：

1.在数据中心集中部署应用客户端。

2.使用应用虚拟化技术，使集中部署的应用能在各网点的PC和瘦客户端上使用。

下图是使用Easted模式带来的变化

.庙一中

&

(1万及标用OUisOB

的后*at务s»

不传递1ft始数楙

只俗刷新

饿故和风林移动

128位加密传情

双因子身份验证

从Easted的模式，可以看到有以下几个变化及特点：

1.应用客户端集中部署于位于数据中心的Easted服务器上。终端设备上无需部署应

用。由此，可以实现应用管理的集中化，大大减轻分支机构终端和应用的维护压力。

2.由于应用客户端不在终端直接部署，在终端对应用客户端进行扫描、破解、反向工

程等攻击基本不可能。

3.由于应用客户端在数据中心，所以原始业务数据的传输也只在数据中心的范围内。

数据中心的网络安全性一般能有保障.

4.在数据中心到终端网点的网络中传输的是经过Easted协议加密的屏幕刷新和键盘

鼠标操作等信息。该数据很难被截获破解，即使被截获破解以后，其提供的信息也十分有限。

能十分好的保护原始数据信息。

5.应用客户端的本地数据存储实际存于数据中心的服务器，其安全性也能得到保证。

6.由于客户端集中部署于数据中心，其与后台应用服务器之间的连接速度良好,从而,

使应用的反应速度有所保证。而从Easted服务器至用户客户端，使用的VAP协议，对于各

种网络环境，特别是低带宽、高延时的网络有良好的优化。从而使远程的分支机构，访问应

用的速度和用户体验大大增强。

7.对于需要跨安全分区访问的应用，以往，不同的应用需要开放不同的IP地址段和

端口，现在，只需要配置从客户端至Easted服务器的策略即可。即使应用改变，也无须改变

防火墙策略。

总结来说，由于传统模式客户端直接访问后台时，之间传输的数据是真实的企业应用数

据，该数据会被缓存在用户本地或在传输中被截获，这些都是不安全因素;而用户访问Easted

ThinApp服务器时，之间传输的是屏幕增量变化信息和鼠标键盘变化信息，用户端无任何应

用数据缓存在本地，同时中途截获这些信息然后反推出用户真正的业务操作和数据比直接截

获业务数据困难上千倍。

因而可以说是用EastedThinApp平台后，数据总是存放在最安全的地方。EastedThinApp

带来的最大益处是采用应用虚拟化方式阻止数据任何时候离开数据中心。由于其集中的构

架，带来的安全的优势十分明显。

3.3企业集中开发管理平台解决方案

随着很多企业产品开发部承接的IT开发项目的数量增加与规模扩大，与外部公司的合

作日益密切，项目开发环境的管理更加复杂，安全管理的要求也日益提升。为此，需要建立

一个简单、易用、安全的集中开发管理平台，以有效进行开发环境的规范管理，支持可控的

外部合作公司的远程开发模式，同时保护重要数据与代码的安全，并能对重要系统操作进行

跟踪和审计。

3.3.1功能需求

1.集中管理：可将开发环境中的应用软件进行集中管理，可以根据需要随时调整开发

环境的应用部署，简化开发人员客户端的开发环境配置及部署要求。

2.应用发布：具有包括各类开发工具在内的应用软件发布功能和Web网页发布功能,

要求支持发布的应用软件列表参见附录。

3.存储隔离：每个用户能建立各自的文件系统或存储空间，相互之间不能访问。但授

权用户可以访问特定用户组的存储空间，可以通过FTP或者其它方式获取用户存储空间的数

据。

4.数据保护：所有的代码及业务数据只在服务器端传递，提高系统数据访问的安全性。

5.远程接入:支持外部合作公司远程接入的项目开发模式，能有效控制用户的剪贴板、

本地硬盘、打印机、端口等操作，做到合作公司人员未经授权无法从任何渠道获取项目的代

码、文档和业务数据。

6.访问控制：对于合作公司的远程访问要求能有效控制，包括登录时间段、登录用户

的监控。要求能穿越防火墙（能够NET转换）访问到服务器。

7.访问日志：用户登录及对开发工具和应用软件的访问，应该有日志记录。

操作录像：对于应用软件的操作需要有屏幕录像功能。用户和应用可以分别控制是否需

要录像，录像时间段范围可配置。能快速根据指定条件查询录像文件，录像文件可以自动清

理，并能设置录像文件保留期限。

3.3.2技术需求

1.水平扩展:服务器端支持水平扩展，能通过水平增加服务器来适应业务需求的扩大。

2.负载均衡：可根据用户访问量和资源使用情况，动态分配到到负载量最低的服务器

上。可支持手动负载均衡操作。

3.本地输入法：用户接入要求支持中文界面，可以使用本地输入法.

资源监控：能监控系统应用、访问用户和对应资源的占用情况，并形成报表。

3.3.3解决方案及对应项目需求的实现

3.3.3.1总体方案构架

通过EastedThinApp集中部署和发布应用客户端软件，整个的后台应用服务器架构没

有变化，客户端可以通过EastedThinApp来访问集中发布的各种企业应用和开发工具。其整

体构架如下图所示：

客户端软件安装在Easted服务器（EastedThinApp）上，而所有访问用户使用终端设备

均无需事先安装应用客户端软件。客户端设备只需通过IE就可以运行应用系统（第一次访

问时会自动提示下载安装一个几兆大小的插件），多用户同时访问时，由EastedThinApp管

理和运行应用客户端软件的多进程访问，并控制向不同用户发布的权限。

开发网段的客户端可以直接连接Webinterface和EastedThinApp服务器。其他网段的用

户，可以通过在防火墙打开相应的HTTP和VAP协议端口来访问EastedThinApp服务器。

同时外网远程接入所有客户端经过安全网关AccessGateway（可选）或者第三方VPN接

入。使用AccessGateway可以实现SSL加密，对传输的数据进行加密保护，并且配合Easted

ThinApp的智能访问，可以实现用户的访问场景识别，能够更加严格地限制用户对后台资源

的访问。

EastedThinApp可整合现有的活动目录中的用户账户来进行用户身份认证。

图中的文件服务器，提供了用户的个人数据存储功能。通过使用Windows的目录权限

控制，及文件夹重定向功能，可以做到用户数据的安全保存及漫游访问。

对于未来非开发网段的应用的部署，可以通过在相应的网段部署EastedThinApp服务器

来实现。

3.3.3.2对应功能需求的实现

集中管理

Easted的集中部署模式只将企业应用部署在数据中心，由于客户端和服务器位于同一局

域网内，因而应用性能和安全性得到提升，用户可以通过任意终端和任意网络进行访问数据

中心，非常方便；而企业只需对局域网内的数据中心进行管理，实现了管理维护的简化。应

用软件的安装及配置变化，均可以在服务器端集中进行，大大简化了开发环境的配置和部署。

应用发布

EastedThinApp为用户提供了基于服务器的计算模式（Server-basedComputing）,实现了

虚拟化应用发布。其技术核心是VAP协议，VAP协议连接了运行在EastedThinApp服务器