深信服桌面平移产品应用解决方案

PAGE桌面平移产品应用解决方案深信服科技有限公司201桌面平移产品应用解决方案文档密级：保密PAGEi深信服科技版权所有目录TOC\o"2-3"\h\z\t"标题1,1,SANGFOR_1_标题1,1"第1章 需求背景 1第2章 深信服手机远程移动办公解决方案价值 12.1 方案价值 12.1.1 系统信息化使用性加强 22.1.2 信息安全性加强 22.1.3 降低IT运营成本 22.1.4 深信服手机远程移动办公方案信息交付模式 32.1.5 设备部署方式 3第3章 深信服手机远程移动办公方案技术特点 43.1 远程办公的快速部署和发布 43.2 远程移动办公稳定性 43.2.1 会话复用技术： 43.2.2 资源服务器的负载均衡： 53.3 扩展和易用性 53.3.1 多线路备份 53.3.2 集群技术 53.4 用户管理-身份认证 63.4.1 多种方式混合认证 63.4.2 短信认证 63.4.3 硬件绑定（HardCA） 73.4.4 CA认证 83.4.5 LDAP认证、Radius认证 93.4.6 强密码保护功能 10第4章 手机远程移动办公实现 12需求背景近年来，随着众多单位信息化建设的发展与加强，组织机构对于办公的灵活与开放性需求得到显著突显，实现电子化无纸化办公已成为众多单位的迫切要求。黔源电力结合移动互联网的发展趋势及自身的管理特点，从提高企业内部办公质量及办公效率的角度出发，提出了本次手机远程移动办公的建设方向。建设目标主要是能够实现随时随地通过手机终端远程访问本部各办公系统，包括OA办公，水情等生产系统等；即使是庞大的应用客户端，也能实现发布在任何一台智能终端手机上，从而实现快捷地移动办公，所有系统上数据和资料都将存储在服务器端，保证数据的使用安全。深信服手机远程移动办公解决方案价值方案价值深信服手机远程移动办公方案，在总部设置应用终端服务器，采用RDP协议，直接将服务器应用程序，传输至访问手机端，访问手机端直接就可以访问应用系统。采用深信服手机远程移动办公方案，可以实现以下效果系统信息化使用性加强管理集中化：应用终端集中安装在服务器端，维护工作集中化。IT管理员只需要维护服务器即可，使用者终端的访问控件自动下发、统一自动升级，免除维护；信息安全性加强1、采用集中化部署，数据存储、运行都在中心端，使得数据不达到终端而保证数据的绝对安全；2、深信服手机远程移动办公方案，发布的数据除了进行优化处理，还进行SSL安全封装，保证数据在传输过程中的安全可靠；3、深信服手机远程移动办公方案，还可以选用各种认证方式，包括短信认证、手机硬件特征码等各种认证，确保身份登录安全；4、深信服手机远程移动办公方案，针对应用的访问具有严格的细化权限分配机制，细化授权保证用户登录。降低IT运营成本1、终端成本极大降低：程序运行于服务端，手机终端无论是何种类型操作系统（安卓或是IOS），无论是哪种3G网络，均可接入访问，从而节省手机终端投入成本；2、IT维护成本降低：日常的IT维护工作都只围绕着中心开展，包括配置、升级、优化等各种工作，让IT部门得以集中精力，减少繁杂的终端维护工作；深信服手机远程移动办公方案信息交付模式部署深信服手机远程移动硬件设备；在应用终端服务器上安装SANGFORRemoteAppAgent，用来提供远程应用服务和监控服务器状态信息的程序；手机客户端自动下发RemoteAppClient：部署在用户终端的用来连接终端服务器使用远程应用资源的应用程序。此程序将随第一次用户登录时随控件一起下发，无需手动干预安装；手机移动办公交互过程为：通过手机应用发布模块进行总体的调度，当用户启用发布资源时，相应的应用服务器上的RemoteAppAgent获取服务器上的资源信息，并且把相关信息如安装路径、运行情况、系统运行的结果等信息传输给手机远程移动硬件设备。而在手机客户端，RemoteAppClient用于接受服务器的信息，并且把本地的输入指令传输至服务器。设备部署方式深信服手机远程移动硬件设备可以选择单臂模式部署，无需对现有网络做任何的拓扑更改：深信服手机远程移动办公方案技术特点远程办公的快速部署和发布深信服手机远程移动办公方案，部署特点：1、终端安装于应用终端服务器上；所有的维护工作、升级、补丁工作都仅仅对终端服务器进行操作，不涉及到众多的手机客户端；2、深信服方案采用的是硬件设备，系统核心的稳定性不依赖于外部服务器，使用内置的独立的控制台进行配置，所有的策略效果统一下发；3、访问者直接使用CS客户端进行登录，无需输入任何地址，所有的控件与配置进行自动下发；基于以上特性，整体方案部署对公司正在进行的业务作业的影响力降到最低。远程移动办公稳定性会话复用技术：为了减少服务器的负担，应有发布内核将与部署于服务器端的RemoteAppAgent之间采用会话复用技术，用户在发起新的访问时，将复用之间已经建立起来的连接会话，这样一方面可以减少建立连接的响应时间，让终端更快得到服务器的响应，另外一方面是让服务器不会因为被频繁访问而反复新建会话，这样可以节约大量的服务器性能；资源服务器的负载均衡：如果资源发布采用采用多台服务器实现服务时，系统将管理维护终端服务器会话情况和CPU使用率情况，当客户端请求一个远程应用资源时，根据客户端参数“复用已有会话”，若已经与该用户建立会话的服务器上存在该资源，则在此会话上打开该资源应用程序，如果没有之前就建立起来的会话，将根据服务器的运行状态，选择该资源关联的服务器中负载最小的一台服务器，响应用户的请求，从而让用户得到更佳的资源访问体验。扩展和易用性多线路备份由于VPN的稳定性是依赖于线路本身的稳定性，若采用单条线路，一旦中断，将造成整个VPN系统陷入瘫痪。深信服手机远程移动办公方案支持多线路备份功能，大大提高了VPN网络的稳定性。通过多线路带宽迭加及复用技术（专利号：ZL200310112006.X），将多条线路、不同方式接入方式的上网线路实现进行智能备份，保证了整个系统的持续可靠运行。若任何一条线路出现故障，此方案可以将实时数据无缝切换到其他正常线路，不会影响用户的接入和访问。正在进行访问的用户，将会通过客户端的监守程序对线路状况进行实时探测，若是发现当前线路隧道断开，则立即完成数据传输隧道的切换，从正常的线路发送数据与硬件设备端通信。并且若故障线路恢复正常，VPN的连接隧道将自动愈合。线路的切换完全自动进行，无需人工干预，保证了用户的重要应用持续、不间断地稳定运行。集群技术随着组织规模的增大和信息平台的逐步推广，原有的设备性能若不能很好的满足用户接入的并发需求。若是重新购置一台更高端的设备，将导致原有购买设备的投资浪费。同时，手机远程移动办公作为支撑整个业务系统的基础平台必须具有合理高效的冗余备份功能。仅使用一台设备提供应用发布服务，若因断电等原因导致设备不能正常工作，对企业造成的业务影响将非常严重。对于性能稳定和应用发布稳定的双重问题，深信服通过253台的非对称集群功能提供负载均衡、稳定保障、性能扩充的解决方案。集群设备示意图如下，用户可根据性能要求、稳定性要求选择合适的设备构成集群组，整个集群组对外仅显示为同一集群IP地址。对于用户而言，仅需要使用一个统一的地址接入，集群设备对其完全透明。用户管理-身份认证多种方式混合认证许多部署在局域网内重要的应用都是采用最简单的用户名密码进行验证。使用单一用户名密码进行验证存在帐号密码遭人盗用而导致越权访问的问题，尤其对于重要的应用系统如财务、客户信息等限定在特定部门、特定人员访问的核心系统，一旦遭遇用户名密码被盗窃，其后果所造成的威胁将是不可估量的。深信服手机远程移动办公方案支持多种认证方式的多因素组合认证，除了最基本的用户名密码认证之外，还支持LDAP/AD、Radius、CA等第三方认证，支持硬件特征码、短信认证（短信猫和短信网关）等加强认证方式。单一的认证方式容易被暴力破解，为了进一步提高身份认证的安全性，深信服创新性提出混合认证，针对以上认证方式可以进行多因素的“与”、“或”组合认证。“与”组合认证可实现多达5种以上认证方式的捆绑，必须同时满足才能够接入系统。“或”组合认证可对于以上几种认证方式进行或组合，只要通过一种认证方式即可接入到应用系统中。通过多因素组合认证大大加强认证安全的强度，确保接入应用的用户的身份的确认性。短信认证当用户在进登录认证时，短信服务器将为该用户自动生成一个6位的数字随机认证码，并以短信的方式发送到用户所绑定手机号码的手持终端上，用户即可在认证界面上输入该6位认证码通过短信认证。短信认证很好的解决的多因素认证安全性与使用便捷性的问题。对于短信服务器端，深信服支持短信猫及短信网关两种方式。短信猫为小硬件设备，将短信猫连入设备的CONSOLE口并进行相应配置即可实现短信认证功能。若机房内电磁屏蔽效果较好，为了保证使用短信猫发送随机认证码短信的效果，也可在内网中选择一台电脑安装短信认证软件，并将短信猫接入电脑的COM口，同样可实现短信认证的效果。如果您的网络中已经部署了短信网关（移动和联通短信网关），深信服可以和您的短信网关结合，实现短信认证。硬件绑定（HardCA）对于仅使用用户名/密码认证的用户，为了保证用户登录限定在某一部或是某几部手机终端上，因用户帐号意外泄漏、帐号盗用导致数据的泄露问题，可对登录终端进行绑定。通常的终端绑定都是采用IP、MAC、IP/MAC绑定的方式实现，但是对于手机远程应用用户，采用这样的终端访问方式是不合适的。移动用户需要走出局域网远程访问，IP地址经常是不固定的。而标识网卡的MAC地址也能进行手工的改动，导致终端存在被仿冒的威胁。深信服打破常规，通过终端的硬件特征码绑定实现硬件终端的唯一标识。通过获取客户端的不可改变的硬件信息，如CPU、硬盘、网卡等信息生成数字证书，并对证书和用户进行绑定实现用户身份的唯一性控制。当用户登，客户端的控件就会自动获取终端的硬件信息生成一串数字与字母结合的HardID并传送到手机办公方案设备。需要进行绑定的账号用户工作平台若是在不同的客户端上，我们可按不同用户、用户组实际需要设置不同的特征码的个数（1-100个硬件特征码），保证终端绑定安全的基础上实现人性化的管理。硬件特征码配置界面启用了硬件特征码认证的用户在通过我们的设备登录身份认证时，设备将自动获取终端CPU、硬盘、网卡的硬件信息并生成特征码提交到设备进行硬件特征码认证，若该特征码与该用户名下的特征码匹配不上，即采用非法终端登录，系统将判断该用户为非法登录，拒绝通过认证。通过硬件特征码认证，很好的保证了用户登录的唯一性，一方面可在无需追加投资的基础上实现双因素认证，避免单一用户名密码遭窃后造成的越权访问。另一方面，通过硬件特征码的唯一确定性，确保了用户登录范围的圈定，尤其对于某些重要的应用系统可限定仅使用个别安全级别高的终端登录，保证系统、数据安全性。CA认证深信服手机远程移动办公安全网关内置了CA中心，完美支持PKI体系。通过内置CA中心，企业或者事业单位可自建CA，避免单独购买CA的额外投资，减少投入成本。同时，深信服安全网关也可无缝支持已有的第三方CA认证。LDAP认证、Radius认证LDAP组织已经采用LDAP进行用户的管理，深信服方案可与LDAP进行联动，只需在设备中根据LDAP中的OU组结构建立用户组结构，并为用户组绑定相应的OU结构，无需在设备中一个个建立具体用户。当用户提交用户名密码进行身份认证时，系统自动将此认证信息提交给LDAP进行认证，并根据反馈信息判断该用户是否为合法用户。当用户通过了LDAP认证，我们的方案将根据LDAP返回该用户的OU值，将该用户自动归于绑定了该OU的用户组，该用户即享用该用户组所有认证、策略、授权等属性。同时，此方案可读取LDAP中用户的手机号码、IP属性，方便实现短信认证和虚拟IP的绑定。通过与LDAP的联动，大大降低管理员对用户管理的维护工作量。Radius组织中已经采用Radius进行用户的认证管理，可进行与Radius的联动。在此方案中建立相应的用户组结构，并勾选Radius认证并绑定相应的Class属性值。但用户提交用户名密码认证信息时，方案中的ius协议格式向Radius服务器发起认证请求，Radius将返回认证结果。若Radius认证通过，则将在返回给设备的包中捎带Class分组属性，并绑定该属性的用户组赋予该用户相应的认证、策略、授权等属性。若Radius认证未通过，则将拒绝该用户登录。同样为了实现认证的多样保证身份安全，深信服支持读取Radius中的手机号码属性，从而跟短信认证可以完美结合，实现双因素的认证。深信服支持读取Radius中的IP属性段，从而进行虚拟IP的绑定，保证通过Radius认证也同样可进行正常的IP资源访问。通过Radius的结合，可实现统一的用户管理，提高管理员的管理效率。第三方数据库结合组织中使用MySQL、SQLServer、Oracle、Access等数据库系统保存用户的账号、密码等认证、属性信息，对组织内账号信息进行管理。方案同样可进行与数据库系统中的用户认证信息进行结合，实现统一管理。可在内网中一台主机上安装深信服提供的Sradius软件构建一台简单的RADIUS服务器进行数据库用户信息的读取。当用户提交认证信息时，将会将用户名密码提交给Sradius服务器，由Sradius服务器读取后台数据库相应信息进行认证判断，从而实现与数据库的联动。强密码保护功能整个组织的局域网往往具备了防火墙、防病毒等各项安全防护措施，但使用SSL进行登录的客户端却是在组织网络的保护层之外，直接暴露在互联网中的各种病毒、木马、黑客攻击的范围之中。对于仅仅使用了用户名密码进行认证的用户而言，最重要的就是保障密码的安全，而现代技术的发展使得许多黑客采用暴破登录的方式强攻密码，以SSL用户为突破口盗取组织内部重要数据。深信服支持终端用户的防暴破登录设置，通过同用户名登录防暴破和同IP登录防暴破设置彻底封杀已知用户名暴破登录和未知用户名暴破登录的种种可能。支持自定义设置封锁恢复时间。单纯使用用户名密码的用户，对其密码的保护更