Citrix集中上网解决方案 NXPowerLite.docx
- 文档编号:30549491
- 上传时间:2023-08-16
- 格式:DOCX
- 页数:9
- 大小:225.18KB
Citrix集中上网解决方案 NXPowerLite.docx
《Citrix集中上网解决方案 NXPowerLite.docx》由会员分享,可在线阅读,更多相关《Citrix集中上网解决方案 NXPowerLite.docx(9页珍藏版)》请在冰豆网上搜索。
Citrix集中上网解决方案NXPowerLite
Citrix集中上网解决方案
思杰(Citrix)系统亚太有限公司
2009
一、需求分析
随着互联网的高速发展,人们可以从互联网获取更多更有效的信息,这些信息对日常工作有很大帮助,例如开发人员可以从互联网获得功能模块、例子代码,可以参与各种讨论组开拓思路;研究人员可以从互联网了解行业的发展动向;市场人员可以从互联网获得竞争对手信息,及时把握市场动态等等。
很多重要的信息都来自互联网,但是互联网是把双刃剑,在获取信息的同时也为各种病毒、蠕虫等有害内容的入侵打开了通道。
如何安全、高效地管理员工的上网行为成为IT人员面临的一个课题。
不加管理的互联网上网往往会带来如下问题:
被蚕食的网络带宽,BT、电驴等下载软件可能导致关键业务应用系统带宽无法保证。
BT、电驴等下载技术使人们可以高速获取海量的网络资源,为在全球范围实现资源共享提供了可能。
但事物总是辨证的双刃剑,这些P2P软件的滥用非常消耗组织有限的带宽资源,甚至导致关键业务应用系统无法正常使用。
目前市面上也有一些P2P控制工具,但每天互联网上都会有人发布最新的P2P软件,这让大多数的P2P控制工具望尘莫及,它们只能封堵“昨天的BT软件”。
上网的客户端安全难以保障,一旦某台终端被感染会导致整个内部网络的不稳定。
由于互联网上充斥着各种病毒、蠕虫、木马等恶意程序,用户在不经意之间就有可能感染,虽然部署了严格的防病毒软件但是往往还是会被黑客找到漏洞,因为不能保证每个最终用户都掌握足够的安全知识以确保自己的机器不会被感染。
被耽误的工作效率,上网聊天、购物、游戏等行为严重影响工作效率。
在工作时间,太多的人在使用QQ、MSN等聊天工具,也许是在和同事讨论工作,更多的聊天对象却是家人、朋友甚至是陌生人。
你无法确定员工何时使用IM软件谈业务,何时用来聊与工作无关的私人话题。
很多组织针对此的解决办法是对这些聊天工具进行屏蔽,造成某些确实需要与外界保持联络的部门(比如市场部)怨声载道。
网管员往往通过在防火墙里将聊天软件使用的服务器加入黑名单来杜绝IM的使用,或者禁止这些IM软件的端口。
但聊天工具层出不穷,QQ、MSN、Skype、网易泡泡……,服务器地址和端口还会经常变换,这导致封服务器地址和端口成为一项持续的高成本工作,而且治标不治本。
被击破的商业机密安全堡垒,通过BBS论坛、外发邮件等导致的组织内部机密信息泄漏越来越普遍。
每个组织都有关系自己生死存亡的商业机密资料,比如科研部门的最新研究成果、市场部门的最新市场战略等,为了保障这些机密信息的不外泄,很多组织都规定了非常严格的保密制度,包括不允许携带摄像机、数码相机甚至带有摄像功能的手机进入公司。
但在Internet的面前,这些保密措施并不是“马其诺防线”,很容易就被某些缺乏保密意识的员工通过即时通讯软件、邮件、BBS论坛、员工个人博客等泄漏出去。
同时,规模大的组织还面临着人员的流动性问题,组织的商业合作伙伴、第三方审计员、新员工随时可能接入内网,他们可以通过网上邻居下载组织的财务报表或人事档案,然后打包发给你的竞争对手。
如何进行防泄密,组织需要在制度和技术措施上有一个相对完整的信息保密体系。
被动引发的法律风险,员工利用公司网络发表反动言论等将导致组织面临法律风险。
如果员工在互联网上的言论涉及到违反法律或危害国家安全的事件,员工所在的组织必然会在其中被动的卷入法律风险。
综上所述,网络作为信息时代企业的生产工具,同样面临着适当监控、合理使用的问题。
根据IDC的调查,目前在欧洲和美国有80%的公司在监控员工的在线行为,而在世界500强企业中,绝大多数企业对员工的邮件,MSN等上网行为进行监控,而且这一举措得到了法律条文上的支持。
已经有不少组织在着手解决上网管理的问题,例如尝试过物理上的集中上网方案,每个人桌面上的PC是不能直接访问互联网的,上网行为只能在某些固定的PC机上,这种方案并不能根本解决上述问题,反而给最终用户带来很多不便,因此受到较大的抵制,难以推广。
二、总体方案
Citrix集中上网解决方案从原理上解决了上述问题,用户桌面的PC不能直接访问互联网,所有的互联网访问都必须通过发布在CitrixXenApp上的相关应用(例如IE、MSN、QQ、FTP等),管理员可以根据用户的帐号来决定用户是否可以使用特殊的应用(例如只有开发人员可以使用FTP工具)。
集中上网的XenApp服务器由管理员统一管理,最终用户只有普通用户权限。
通过这样的改变可以方便地实现:
●防止P2P软件的泛滥,用户的PC不能直接上网,能够上网的XenApp服务器上不能安装任何P2P软件;
●用户的客户端不再被来自互联网的病毒、蠕虫、木马等攻击,因为浏览器(IE)运行在XenApp服务器上,而普通用户没有下载安装运行的权限,这样杜绝了绝大多数的漏洞;
●管理员在XenApp服务器上集中统一设置IE安全选项,安装防病毒软件,由管理员负责更新病毒码,定期扫描等,防止系统漏洞的出现;
●只有被授权的用户才能访问特定应用,例如用户是否能用MSN、QQ等IM软件都是由管理员设定的;
●设置针对部分用户的录像审核功能,利用屏幕录像高效记录用户的上网行为。
Citrix集中上网管理系统架构如下图所示:
三、技术原理
Citrix应用集中解决方案的核心是虚拟化技术,虚拟化计算的核心是ICA协议,ICA协议连接了运行在XENAPP服务器上的应用进程和远端客户端设备,通过ICA的32个虚拟通道(分别传递各种输入输出数据如鼠标、键盘、图像、声音、端口、打印等等),运行在中心服务器上的应用进程的输入输出数据重新定向到远端客户端机器的输入输出设备上,因此虽然应用客户端软件并没有运行在客户端设备上,但是用户使用起来和在客户端安装运行客户端软件相比,没有感觉任何操作上的改变。
XENAPP虚拟化应用发布原理如下图所示:
性能方面改进的技术原因是:
ICA传输的主要为人机交互数据,例如屏幕刷新和鼠标键盘信息,同时ICA协议是一种高效率的数据交换协议,采用了大量的数据压缩、加密和连接优化技术,因此每一个用户的连接只占用10-20Kbps的网络带宽。
使用Citrix集中模式可以有效地降低数据传输,大大提高整体性能。
安全性方面改进的技术原因是:
客户端直接访问后台时,之间传输的数据是真实的企业应用数据,该数据会被缓存在用户本地或在传输中被截获,这些都是不安全因素;而用户访问XENAPP服务器时,之间传输的是屏幕增量变化信息和鼠标键盘变化信息,用户端无任何应用数据缓存在本地,同时中途截获这些信息然后反推出用户真正的业务操作和数据比直接截获业务数据困难上千倍。
因而可以说数据总是存放在最安全的地方。
XENAPP带来的最大益处是采用应用虚拟化方式阻止数据任何时候离开数据中心。
对于远程用户从公网访问内网,XENAPP通过严格的用户认证进行安全权限控制。
对于企业越来越严格的审计要求,应用XENAPP虚拟化发布应用可以提供复杂的内控和审计功能。
对于受控用户或敏感操作,XENAPP可以提供用户操作应用软件的记录监控,管理人员不仅可以实时在线地监控用户的屏幕操作,还可以用类似录像的方式记录下来,以备审计或回朔检查。
Citrix集中应用发布平台的核心产品是CitrixXenAppServer,提供了全面的性能优化、集中管理等功能,下面就XENAPP主要功能进行描述。
1)图像加速
XENAPP不仅降低了在客户端数据传输量,还提供了多种窄带网上的图像加速功能,如:
∙图形加速:
针对如JPG等图片的传递,XENAPP提供了进一步的图形压缩,如采用大比例的JPG压缩算法等降低实际的图形传递数据量
∙FLASH加速:
针对浏览器中的FLASH插件进行加速,可以提高大多数WEB应用的现实效率
∙移动图像加速:
针对用户对图像进行平移或转动的操作,在窄带网络上会消耗大量的带宽,XENAPP提供了降低图形分辨率的方式,当图像移动时降低分辨率以减少传输,当图像停止下来后,再还原分辨率
∙延时加速:
XENAPP的会话连接会针对无线网络进行优化,当窄带网络有很大延时时,会提供本地回显和鼠标响应等优化手段。
2)单点登录
当用户通过了身份认证后,XENAPP可以自动管理后台应用的帐号和口令,CitrixPasswordManager(简称CPM),可以实现多系统登陆口令的自动管理,对应用系统无任何改动,是领先的企业单点登录解决方案。
CPM从根本上改变了传统的多口令管理方式。
使用它,用户可直接登录OA系统或业务系统,且口令得到了更高的安全保障。
以前,用户需记住10个,甚至20个口令,而且还必须弄清楚哪个应用配的是哪个口令,现在通过CPM的部署使用户只需一次身份验证,其余的工作将由CPM完成。
它将自动接入受口令保护的信息资源,执行严密的口令策略,监控口令相关事项,自动化终端用户工作,例如口令变更,可以按照系统要求的口令策略自动生成口令。
3)智能审计
通过Citrix应用发布平台,任何用户使用应用的过程中可以被全程监控:
用户的操作行为及显示器上的内容变化可以通过ICA协议存放到磁盘上,然后在需要的时候像看电影一样回放。
由于ICA协议高效率地节省网络带宽,因此通过ICA记录下来的用户操作录像非常节省空间,经过测试,一个员工一整天的操作全部通过ICA记录下来,生成的文件大小不会超过20M。
同时为有效利用资源和保护隐私,Citrix解决方案也允许灵活定制以时间、角色、应用名称、位置为参数的录像策略来控制录像的开始和停止。
4)智能访问
XENAPP提供了全面的安全访问控制,所有访问XENAPP服务器的用户,都会经过AAC高级访问控制,进行严格的权限控制。
XENAPP的智能访问控制能够根据不同用户接入时的不同场景,将有相应的接入策略与之对应,并控制用户使用企业资源的过程和操作。
例如当用户从企业内部网络来访问企业门户中的各种资源时,XENAPP监测到该用户访问从信任网络发起(内部网络)后,该用户可以接入的企业资源及可以进行的对资源的操作权限相对较大;当用户作为企业移动用户来访问企业门户中的各种资源时,该用户可以接入的企业资源及可以进行的对资源的操作权限是有限的;毕竟,该用户是从外网接入,我们需要对其进行策略控制。
当用户使用网吧计算机通过极其不安全的公共网络接入的企业资源及进行的对资源的操作权限我们是必须要对其进行严格控制的,此时,该用户会发现很多资源只能浏览而没有更多的控制能力。
5)性能监控
XENAPP性能监控工具可以方便地监控XENAPP服务器、访问客户端、网络等全方面的使用、错误、报警、性能、软硬件变更、硬件资源情况、软件使用情况、以及License管理等等。
通过性能监控工具,管理人员不仅可以追踪用户对应用软件的使用情况,提前预知系统的性能问题,并且保存数据,以供分析和产生报表。
6)负载均衡
XENAPP内置了负载均衡功能,用户无需额外购买任何组件。
XENAPP的集群名称叫做Farm,在一个Farm之内负责计算负载量和分配连接的XENAPP服务器的角色叫做DataCollector,所有XENAPP服务器的负载状况会存入数据库并实时变化,DataCollector会查询Farm内所有XENAPP服务器的负载情况,决定将下一个连接交给Farm内哪一台最空闲的XENAPP服务器。
如果一台DataCollector失效,会有备份的XENAPP接替。
XENAPP提供给用户多种负载均衡算法,其指标包括:
CPU利用率、内存使用率、磁盘交换等十多项指标,用户还可以针对不同应用类型自行定义负载指标的组合。
四附录Citrix公司简介
Citrix系统有限公司是全球领先的接入架构解决方案供应商,为企业、政府、教育等机构提供服务。
作为企业级接入领域最知名的品牌,Citrix公司的应用发布平台使用户可以随时随地采用任何设备,轻松便捷、安全可靠地连接企业应用。
公司成立于1989年,总部设在佛罗里达州的FortLauderdale,在世界十多个国家聘有3000余位员工,其产品行销六十多个国家,2006年财政收入增长率为25%,总额达到将近12亿美元。
Citrix在美国纳斯达克股市的上市代号为CTXS,并获列入标准普尔500指数。
Citrix凭借其卓越的技术方案和业务成就,赢得了业界与用户的广泛赞誉:
∙获得《福布斯ASAP》杂志评选的“全美最具活力的软件公司”称号
∙获得“SoftLetter”评选的“全美第十大软件公司”称号
∙在《财富》“发展最快的100家公司”概要中排名第27位
∙Citrix被评为欧洲财富500强企业首选的十大软件之一,并在GartnerMidsizeEnterpriseSummit中获“卓越科技大奖”
∙CitrixNFuse获得由OpenSystemsAdvisors颁发的CrossRoadA类大奖中“最佳企业网站入门产品”
∙连续4年名列Deloitte&Touche的“Fast500”,成为美国500家发展最快的科技公司之一
Citrix的技术和服务目前被全球约18万个机构中的6千万用户使用,客户涵盖财富100强(Fortune100)中的所有企业以及财富500强(Fortune500)的98%。
国内外众多知名企业,例如SAP、Shell、IBM、摩托罗拉、诺基亚、AMD、沃尔玛、香港电信、渣打银行、东亚银行、美联物业、华泰电子、诺华、大众汽车、大宇汽车、雀巢公司、加利福尼亚大学、香港大学、都从Citrix解决方案中获得显著的效益。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Citrix集中上网解决方案 NXPowerLite Citrix 集中 上网 解决方案