一、前言:
企业在信息化的应用中,总是面临着这样的问题:
1、跨地域的应用同一信息系统,期望实现低成本的高度信息共享,达到即时的、协同的信息应用目标。
2、IT硬件投资成本越来越大,一台计算机的使用不到五年就不能满足软件的扩展需求了。
3、IT维护成本居高不下,企业IT人员每天忙碌的奔走在各个部门,不停的解决员工计算机中应用软件出现的各种故障。
4、企业数据的统一管理和安全性问题一直困扰着企业管理人员,为了保护企业信息机密的安全,他们费尽了脑筋。
天翼5
应用接入系统,正是解决上述需求的一种先进和优秀的远程应用接入平台,她基于A/S(Application/Serving)架构的应用接入,在保护现有系统完整性的前提下,帮助用户建立高效、安全、稳定的信息系统链路,真正实现应用和信息的价值,并提升企业信息系统可控性、灵活性和降低企业信息化运营维护成本。
浪潮通软软件与天翼5(GWT
5
system)结合,能够简化和加快软件的部署和实施,给用户提供便捷的接入解决方案。
二、瑞友集团简介:
创始于1995年的瑞友集团,是致力于计算机网络应用接入技术研究及网络应用安全产品研发的专业化开发商,在应用接入及应用安全领域有着深厚的技术底蕴,拥有许多核心技术专利,并建立了华北、华东、华南、西北和西南五大区域中心及可覆盖全国的销售服务网络。
瑞友依托高校、科研机构和人才的优势,与多家著名院校、科研机构以及用友、金蝶、浪潮等大型软件厂商有着长期紧密的合作。“做用户真诚朋友”是瑞友资讯矢志不渝的经营理念,作为国内集中式安全应用接入技术的创新和引领者,瑞友人秉承与伙伴长期共同发展的战略,将给用户带来更多的IT应用价值和经济效益,帮助用户实现协同、敏捷、实时的商务能力,提升用户在网络经济时代的核心竞争优势。
瑞友天翼5系统是具有自主知识产权的一种集中式计算、部署、管理,并可跨平台、多种终端远程接入的服务器平台。可集中发布和管理企业所有的应用程序和数据,让员工或用户在任何地点、任何时间都可以安全、快捷地访问企业的各种应用系统,并满足用户不间断商业运作的需求。可进行大规模的服务器集群部署,具有动态负载均衡能力,通过多种方式的身份认证和集群安全策略的派发,提供高可靠的安全保障。
三、瑞友天翼5系统简介:
(一)技术原理
天翼5系统采用最新和最适用的技术,在技术架构上具备后发优势。在开发过程中不仅吸取了国外同类产品的优点,更注重从中国国情出发,适应国内信息系统的管理现状和惯例,使得产品在安装、运行和管理中更加友好易用。
1、部署天翼5系统管理平台:
(1)不需要修改原有的应用系统;
(2)不需要在应用系统的任何部分安装软件和插件,对原有业务系统的影响降低为零;
(3)不需要在客户端安装软件,客户端使用操作系统自带的Web浏览IE;
(4)不需要在应用服务器端安装软件,只需要对操作系统进行适当的配置;
(5)不需要改变原有的用户管理模式;
(6)不在应用服务器和最终客户端安装任何软件,减少系统间冲突的可能,确保原有系统的完整性,方便系统管理员的管理和维护;
2、瑞友天翼5系统采用SSL/TLS的加密,保障外部用户通过Internet访问所需的安全访问接入,为每个接入用户提供高达128bit的加密。它具有如下特点:
(1)基于证书的安全性:使用标准的PKI技术,为认证和授权提供架构和基础的信任。
标准加密协议:使用工业标准的SSL/TLS加密技术,在客户端和服务器之间提供安全的Web和应用程序通信。它提供安全访问到公司信息、应用程序、Intranet和外部Web站点而无须VPN的成本和复杂性。
(2)认证:用户试图连接到瑞友天翼服务器时,用户在Web接口上认证后才能登录内部(DC)服务器。瑞友天翼系统提供了多种身份认证方式:
A、用户名密码
B、用户名密码+令牌
C、用户名密码+usbkey
D、用户名密码+短信
(3)防火墙穿越:在防火墙上打开典型的端口,客户端通过标准的协议便可进行连接,使你简单穿越防火墙而无须自定义配置。
(4)易于安装和管理:瑞友天翼5系统的安装快速而简单,并且要求配置最少,这意味着可减少时间和管理成本。
(5)可靠性和容错性:集群应用时,瑞友天翼5系统系统提供了动态数据服务。在集群中,每一台服务器都可以成为[负载均衡服务器(DC)],其负责收集所有服务器的负载信息,并根据
”负载均衡策略”
作出“最空闲服务器”的裁断,但是实际运行中同时只能有一台服务器作为当前活动的[负载均衡服务器(DC)],瑞友天翼5系统采用了DC漂浮技术,任何时候一个活动的DC失效时,都会由集群中所有活动的服务器选举出一个最为强壮的服务器作为当前的
[负载均衡服务器]。这样就不会出现由于DC失效而导致整个集群失去负载均衡功能。
(6)可升级性及扩展性:瑞友天翼5系统可以很容易地支持几百个用户的小公司站点,而无需考虑硬件设备或网络设备升级。
(7)日志审计:瑞友天翼5系统危险和致命的系统事件会记录到应用日志中,这个日志文件提供给管理员系统日志记录和系统问题的详细诊断。
3、瑞友天翼5系统安全性设计:
(1)服务器冗余
在信息集中管理平台建立以后,可根据系统的使用及负载情况,随时对原有系统进行扩充,实现多服务器之间的负载均衡。而支持的服务器数量,可达至1000台以上,最大限度的满足用户的实际需求。值得关注的是:在多台实现负载均衡的服务器之间,其不依赖于机器的硬件及操作系统配置,只要您的集中管理系统支持此项功能,便可进行功能扩展。
(2)天翼5系统安全技术
瑞友天翼5系统安全技术功能在产品中全面提供,即:Secure
RAP协议+ SSL 128Bit加密+RSA FireWall(可选) + Server
Certificate身份认证技术的功能构架。
A、Secure Sockets Layer (SSL)
support
天翼5系统支持使用SSL安全包与GWT服务器间进行数据交换交换的。SSL
安全包提供数据加密及身份认证功能。该功能令客户端透过
IE浏览器访问天翼5系统WEB发布的应用程序时,提供可靠的保证。目前,天翼5系统数据加密功能能达到128位了,具有较强的数据加密安全性能。
B、RSA
server(安全加速服务器)
瑞友网络安全加速服务器(RSA
Server)是集深度防护型防火墙、快速VPN部署工具、网络访问管理系统、WEB缓存服务器的综合应用系统,旨在轻松提升网络安全与性能,节约企业IT投资成本。
RSA
Server可以对网络进行多层安全检查和深入应用层的安全防护,具有可靠的防攻击、防欺骗以及防网络病毒能力;其强大的安全访问控制能力和网络在线监控和信息分析功能,帮助企业及时了解网络运行中的安全状况并进行管理;RSA
Server中的WEB网关缓存以及分布式缓存功能,可以加速对常用的WEB网站的访问,节约访问时间和节省带宽成本;RSA
Server还可以轻松快速的部署VPN系统,实现总部与异地分支机构的安全互联。
C、Certificate及Ticketing
Certificate及Ticketing功能是天翼5系统增强身份认证功能的一项技术,其技术是系统对每一用户的登录存取应用时,产生一张类似的
入门票(Ticketing)。该Ticketing具有时效性,过期就会失效或者登录使用后亦会失效并消失,用户再凭该Ticketing就无法登录到服务器上存取资料亦或受到限制。
D、Secure
RAP协议
Secure
RAP协议即启用客户端RAP数据加密技术手段,实则是令到客户端与服务器间进行数据交换时,数据之间是经加密的。目得就是有效防止黑客恶意从数据通信时,盗取通讯数据并了解到通讯的内容。
E、身份认证
USB身份认证令牌+Ikey身份认证服务器软件(可选)
本方式的USB身份认证令牌包含有Ikey1000或Ikey2000两种。它们是一种安全的认证工具,是替代密码的极好方式。后台是采用Ikey身份认证服务器软件进行检验令牌信息。对用户来说,便于携带,使用方便,用时只要把ikey1000/2000插入计算机的USB接口并输入PIN码即可。对管理员来说,ikey1000/2000是功能强大的认证设备,可以集成到挑战一晌应认证方式中,管理员并不需要了解复杂的底层运行过程。
ikey1000/2000的强有力双因素身份认证功能非常适用于安全Ma址,文件加密和Windows2000安全桌面登录及其它解决方案集成应用。
每一个ikey可以记录个人识别密钥(Secret
Key)或个人数字签名(Digital
Certification),它们都是识别个人身份的依据。您可以设置Ikey认证服务器判断iKey是否插入了电脑的USB接口,及输人的个人识别码(PiN)是否正确,来决定系统是否继续运行。
(3)与Windows
无缝集成的安全策略
应用到的Windows安全策略包括3项内容:用户策略、AD策略、NTFS设置(个别文件的设置、非系统盘的设置、系统盘的设置),这些策略可与现有Windows的域进行无缝集成,实现对登录用户的权限进行限制,使用户的操作限定在自己合法的范围之内。
(4)基于天翼5的客户端安全技术
可在域的基础上通过天翼5的安全策略,实现对接入客户端的电脑进行限制,避免客户端乱用本地的USB、硬盘、串口、并口等资源,保障系统的安全、可靠、持续运行。
(二)系统应用
1、应用原理:
用户将所有应用软件安装在服务器(群)上,并将应用软件客户端程序安装到天翼5服务器(群)上,通过天翼平台的应用程序安全发布功能,将各种C/S应用软件发布到企业WEB门户中,从而让外部用户快捷、安全的通过低速网络,访问企业的各种应用软件。
2、应用特点:
(1)低带宽下的远程应用软件访问:
由于将所有软件程序都部署在天翼5服务器(群)上,所有的计算都在服务器(群),瑞友的RAP协议(Remote
Application
Protocol)能够动态实时对应用程序的输入输出逻辑和计算逻辑进行分离,所以服务器(群)与远处的客户机之间的网络中不再需要传输大量的通讯数据,它们之间只是传输鼠标、键盘指令以及屏幕变化的信息,所以对网络带宽的要求非常低,仅需3KB/s的带宽,客户机即可安全、快速、稳定的远程访问服务器(群)发布的应用软件。
(2)彻底解决基于互联网的远程应用安全问题:
在远程应用中,安全是应用的前提,在集中式的应用模式下,网关接入安全及访问安全是极其重要的,瑞友天翼从网络边缘防护、传输过程加密、身份认证、访问控制等安全措施方面有着全面的防护设计,再加之天翼系统平台配置的系统AD策略模板,可确保远程应用的网络安全及访问安全。
(3)服务器集群及负载均衡能力:
为了提高计算能力,天翼采用高可用服务器集群技术,能够基于策略进行动态负载均衡,确保应用软件服务的能力与扩展能力。
(4)易操作性:
天翼系统结合中国人习惯,全中文界面,注重易用性,强调傻瓜化操作,让用户非常容易的就掌握产品,简单易操作。
(5)稳定性:
瑞友天翼在总结国内外同类产品的基础上,优化的负载均衡算法和策略,最大程度提高服务器资源的有效利用。它最大化容忍服务器故障,实现DC动态漂移,最大化的容忍集群故障;并且最大化的容忍超低带宽,保证业务流畅运行,而且最大化的容忍网络断线,保证商业不间断运作。
(6)服务器与客户机资源共享:
瑞友天翼系统可设置客户机资源映射,如硬盘共享、USB共享、打印机共享起来,可让用户在使用服务器(群)的硬件资源的同时,还可以共享客户机的各种设备资源。
(7)优秀的打印功能:
用户在访问远程应用时,通常需要在本地打印报表,而这时打印机的选择就是必须的了。在信息系统中,从应用服务器网络到各远程访问客户端网络,往往存在着多台打印机,如果对打印机名不加处理的话,用户很难分辨出哪一台打印机是自己本地的,往往身在本地,输出的结果却在另一个城市的打印机上,浪费了资源,耽误了工作。
天翼5系统提供国内常见的打印驱动驱动,并统一打印驱动程序,对打印机名进行了规则化与分组处理,使得用户很容易找到本地的打印机,从而在正确的位置输出结果。进一步的,系统还可配置为只出现和使用本地打印机,更加方便用户的使用。
3、应用价值:
*可以在超低带宽下流畅运行大型应用软件提供一种远程接入方案
*能为软件服务商提供远程维护平台,降低服务成本
*能将原有的C/S程序无需二次开发即可WEB化
*能为客户带来应用系统的集中部署和集中维护,降低实施与维护成本
*突破软硬件循环升级的定律,为客户降低IT资源的总体拥有成本
*能为客户提供快捷方便的移动办公服务
*建设新的分支机构信息系统,瞬间即可完成,实现企业快速扩张
4、应用方案:
浪潮通软的天翼5实现天翼5服务器上安装的应用程序,ASA9.0可以安装在天翼服务器上也可以另外部署到其他服务器上,所有客户端计算执行均在天翼5服务器上完成,天翼5通过区分不同的Session来将不同用户的相同应用隔离。
5、应用场景:有效带宽80K,例如:DDN专线、帧中继、ADSL等宽带。
6、应用程序:浪潮通软系列程序。
浪潮通软远程客户端
“零”安装;客户端仅需要安装天翼5
Client组件,以后无论终端服务器对浪潮通软维护或升级,客户端均不需要升级或安装。
四、瑞友天翼5系统浪潮使用情况:
1、测试环境:
(1)硬件环境:测试机器采用一台Server作为GWT服务器,配置如下:
Intel
1.8GHz
CPU,1G内存,200G硬盘,100M网卡。
(2)软件环境:
Windows 2003 Server + SP1
瑞友天翼5系统
浪潮9.0
、其他办公软件
2、测试内容:
将现有在服务器上使用的浪潮9.0 、其他办公软件通过GWT
5信息发布系统进行发布,使工作人员可使用普通PC、终端机、PDA等客户端设备,通过本地局域网、广域网(Modem拔号,专线,ADSL,无线接入等)来访问应用。
3、内网测试:
通过使用普通PC
、低端电脑及终端机,通过Web和RAP登陆方式进行实际连接测试,客户机本身没有安装浪潮9.0
、其他办公软件,局域网内直接通过调用GWT服务器的应用程序进行使用,具体测试结果下表所示:
|
可否使用
|
点击反应时间
|
网络带宽
|
是否符合要求
|
浪潮9.0
|
可以使用
|
<1秒
|
占用<1%
|
是
|
word
|
可以使用
|
<1秒
|
占用<1%
|
是
|
excel
|
可以使用
|
<1秒
|
占用<1%
|
是
|
测试效果良好,客户端运行的速度类似于服务器上运行的速度。
4、运行压力测试:
使用普通PC用ADSL上网,通过WEB界面连接瑞友天翼服务器并调用服务器上的应用程序进行使用,具体测试结果如下表所示:
|
