瑞友天翼评估报告.docx
《瑞友天翼评估报告.docx》由会员分享,可在线阅读,更多相关《瑞友天翼评估报告.docx(13页珍藏版)》请在冰豆网上搜索。
瑞友天翼评估报告
瑞友天翼评估报告
1产品简介
瑞友天翼应用虚拟化系统(GWTSystem)是国内具有自主知识产权的应用虚拟化平台,是基于服务器计算(Server-basedComputing)的应用虚拟化平台。
它将用户所有应用软件(ERP、OA、CRM、PDM、CAD……)集中部署在天翼服务器(群)上,操作终端无需再安装应用程序,通过天翼独特的RAP协议(RemoteApplicationProtocol),即可让用户快速访问服务器上的各类应用软件;天翼RAP协议只传输鼠标、键盘及屏幕变化的矢量数据,访问仅需3KB/s的带宽,用户不再受客户端和连接性能要求的限制,在任何时间、任何地点,利用任何设备、任何网络连接方式,即可高效安全地访问服务器(群)上的应用程序和关键资源
2产品特点
2.1多系统支撑
瑞友天翼服务端全面支持32位、64位WindowsServer系列(Win2003/Win2008),通过瑞友天翼可以对OS操作系统进行全面而缜密的管理,保障服务器系统高效、安全的运行。
2.2安全性高
瑞友天翼提供客户端ID特征码认证、对连接过程加密、提供多种用户认证模式(用户密码、key、IDynamic Key等)、强化WEB服务安全、提供应用软件访问安全策略、操作系统安全策略、细致的事件审计、数据不落地等安全功能,形成全方位、立体的信息安全防护体系。
2.3管理便捷
瑞友天翼具备系统参数备份与恢复功能;CPU、内存等资源消耗的监控及策略管理功能;各种事件的记录和报警系统功能;数据中心服务器和应用软件用户绑定等一系列便捷功能。
2.4.单点登录(SingleSignOn),简称SSO
SSO实现了在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
3效益与价值
3.1IT运维价值
提升IT生产力,通过快速集中实施、部署及应用交付,缩短应用部署周期;
简化IT资源运维手段,根据业务策略灵活按需交付应用,即可让终端用户可以安全、便捷、即时的访问应用。
3.2IT投资价值
集中化管理IT资源,实现IT资源投资准确评估,最大限度地利用服务器计算性能,避免IT投资浪费;
降低了客户端性能要求,延长操作端旧设备的使用寿命;
访问带宽需求最低仅需3KB/s(20kbps),最大限度地利用网络带宽的负载能力,节约网络带宽投资成本;
集中及简化的运维模型,降低IT运维成本;
集中的应用控制和审计,强化安全,并降低了安全的成本和复杂性。
3.3经营管理价值
所有数据保存在数据中心,规避信息孤岛,加快了数据整合速度,为经营提供全面、及时的决策依据,将信息应用价值最大化;
可灵活扩展的IT基础架构,快速支持用户信息系统扩展,更好的适应业务扩张及业务流程变化要求,为业务协作、信息共享、提快速、简便、有效的支撑。
3.4使用价值
将终端用户的体验变得简单,无论是在出差过程中还是在家庭办公,都可以随时随地接入企业信息系统,降低了出差成本,提高工作效率;
4部署方式
要点说明:
●不受网络及客户端设备的影响,保障用户各种关键资源的不间断运作。
●实现用户应用的门户大集中,我们可以看到天翼将各种应用(ERP、CRM、DRP、OA、Mail系统等等)集中到一个统一的企业门户中。
●可以有效管理并安全的共享应用服务器(群)与客户机上的信息资源。
●让用户在线一对一或一对多的协同工作与交流
5安防措施
在应用服务器架构(A/S架构)中,尤其是广域网远程应用时,安全是应用的前提,瑞友天翼在网络边缘防护、传输过程加密、身份认证、访问控制、操作系统安全等方面有着全面的防护设计与保护措施,可确保远程应用的网络安全及访问安全。
下面我们全面阐述瑞友天翼在安全方面的防护处理措施
5.1接入架构安全
瑞友天翼系统是基于应用服务器架构的应用虚拟化平台,在这种应用架构下,所有的计算功能都是在服务器上完成的,服务器与客户机之间的网络中只传输键盘、鼠标移动变化指令和图像矢量信息,这些信息包即使被侦听和截获,也是一堆无用的信息,所以天翼接入架构的安全性是有保障的。
5.2天翼接入系统架构安全
天翼采用一体化产品设计架构,无需依赖MicrosoftIIS服务、MicrosoftSQL数据库等第三方产品,这种经过严格安全处理的独立产品架构,能有效的杜绝第三方产品存在的安全漏洞而给用户带来安全隐患,同时也不会出现因第三方软件升级带来的产品兼容性问题,从而有效保障应用的安全。
1)天翼WEB服务安全
使用标准浏览器(IE)访问应用系统,WEB服务的安全处理至关重要,所以天翼系统WEB服务没有选择通用的第三方WEB服务产品来作为天翼的WEB服务,而是投入巨大的财力,针对远程应用的WEB安全特点,进行了专项开发,并通过了高强度的安全攻击测试,可完全让用户摒弃对WEB安全隐患的担忧。
2)天翼数据库服务安全
由于通用数据库的安全漏洞难以有效防范,所以天翼也没有选用第三方通用的数据库,而是针对网络应用的安全特性,进行专项开发,采用了内置安全数据库设计,并进行了高强度的加密处理,让用户无需担心数据库安全漏洞,放心使用。
5.3边缘网关安全
瑞友长期专注于网络应用及网络安全的研究,可为用户提供网络的整体安全解决方案,如企业还没有防火墙设备,瑞友网络安全加速服务器(RSAServer)可承担这一重任,它是集深度防护型防火墙、快速VPN部署工具、网络访问管理系统、WEB缓存服务器的综合应用系统,完全能满足用户网络安全的防护需求。
RSAServer可以对网络进行多层安全检查和深入应用层的安全防护,具有可靠的防攻击、防欺骗以及防网络病毒能力;其强大的安全访问控制能力和网络在线监控和信息分析功能,帮助企业及时了解网络运行中的安全状况并进行管理;RSAServer中的WEB网关缓存以及分布式缓存功能,可以加速对常用的WEB网站的访问,节约访问时间和节省带宽成本;RSAServer还可以轻松快速的部署VPN系统,实现总部与异地分支机构的安全互联。
RSAServer通过了国家公安部计算机信息系统安全质量监督检验中心的检验,取得了计算机信息系统安全专用产品销售许可证,在2005年的中国计算机报“一年一等待”网络产品评选活动中,RSAServer以其先进的防护设计、细粒度的防护措施以及优良的性能,获得广大用户及专家的一致好评,并获得年度优秀产品奖项。
5.4网络数据传输安全
虽然在瑞友天翼应用服务器架构下,客户机与服务器之间通讯不传输真实数据,只传输鼠标、键盘的点击动作及图像的矢量信息,但瑞友天翼应用虚拟化系统的RAP协议仍然在对传输在客户端和服务器之间的数据包加密,且可由用户自行设置SSL(SecureSocketsLayer)和TLS的加密强度,加密强度可高达到128位,最大限度的保障了传输过程的安全性。
SSL/TLS是基于PKI(PublicKeyInfrastructure)信息安全技术,是目前Internet上广泛采用的安全服务。
可以提供通讯中的数据保密性、完整性保护;通过强制客户端证书认证的TLS服务,同时可以实现对客户端身份和服务器端身份的双向验证。
5.5天翼远程访问安全及身份认证
1)、图形验证码设计
使用图形附加码也是一种双因子认证技术手段,每次用户登录时,系统都会产生一个包含随机数字的图片,这个图片显示在用户的登录页面上,用户输入了用户名、密码之外还需要输入附加码以保证认证信息的新鲜性,从而为系统提供了更安全的认证手段,这种认证措施提供了双因素认证的手段,同时也不需要用户购买任何的硬件令牌,节省了用户的开支。
2)用户访问身份认证
天翼系统除了自带用户名密码认证控制外,还提供用户名密码+令牌、用户名密码+USBKey以及用户名密码+手机短信等多种三方身份认证接口,为用户提供高安全的访问保障。
在选择采用IKey模式后的登陆界面
5.6细粒度的应用程序访问策略控制
1)、访问安全策略
天翼系统可将每个应用连接做到细粒度访问控制,可以设置到某一个应用程序的访问策略,包括允许访问的客户端是采用什么网络协议连接、客户端的IP地址或硬件ID、在哪一天的什么时间段可以访问等综合策略,为天翼系统所发布的应用程序提供访问安全保障,防止被恶意用户不正当的访问。
2)、应用系统授权访问
天翼系统可针对发布的某一个应用系统或关键资源进行用户(组)权限授权,完全满足用户细致的访问权限管理,如您可以设置到哪一个用户能访问哪一个应用程序。
如上图所示,可设定6个天翼用户中的user01、user02、user03等三个用户有权限操作发布的word2003程序。
5.7天翼安全事件管理
天翼系统可为用户提供所有用户及网络访问活动监控,可记录所有用户的全部访问与操作信息,可通过安全事件、审计事件、报警日志、会话日志等多角度去监控与管理整个应用安全状态,做到可记录、可追溯、动态报警的安全管理,从而帮助系统管理员及时发现及解决安全应用问题。
见下图
5.8服务器系统安全
天翼系统全面兼容Windwos系统的安全策略,它包括3项内容:
用户策略、AD策略、NTFS设置(个别文件的设置、非系统盘的设置、系统盘的设置),这些安全策略可与天翼系统紧密结合起来,用户可根据自身情况,限制用户的各种行为,如隐匿硬盘、限制打印、存储等操作行为,并可通过天翼5的安全策略,实现对接入客户端电脑的各种USB、硬盘、串口、并口资源的使用限制,保障系统的安全、可靠、持续运行,将Windows操作系统B2级的安全管理完完全全的发挥出来。
且天翼系统提供常见的安全策略模板,让用户快速实现系统安全策略配置。
6产品优势
6.1无须修改C/S程序,就可以自动转化为B/S方式访问
如果C/S程序要B/S化应用,开发难度大,要用.net、java、jsp等开发工具,而且开发周期长,直接使用瑞友天翼系统,就直接可以把C/S程序WEB化。
6.2应用门户平台,集中式管理,减少工作量
将用户各种应用软件(ERP、OA、CRM……)集中部署在瑞友天翼服务器(群)上,通过天翼独有的RAP协议(RemoteApplicationProtocol),即可让客户端快速安全的操作使用服务器上的应用软件;客户端上无需安装任何应用软件,各种应用管理软件的升级、打补丁、维护都集中在天翼服务器上完成,大大减少了IT部门的工作量,提高了支持的响应速度。
6.3可以节约IT总投入成本
很多ERP软件都是基于服务器和客户端这种应用模式,如果基于互联网应用,传统的应用方式只能通过VPN来解决,但VPN的成本高,而且维护难度大,这种分布式的应用已经无法满足,信息化发展的步伐。
6.4安全接入
多维立体安全防护措施,用户可通过WEB方式远程访问C/S程序,网络通讯过程采用基于证书的SSL128位端到端的传输加密,四种身份认证方式安全、边界安全、数据传输安全、访问安全策略、远程登录安全、服务器应用安全、强制密码周期性更改等安全体系,确保企业网络应用的信息安全。
6.5服务器集群负载均衡技术
为了增强天翼应用服务器集群的容错性,群中的每一台服务器都可以成为[负载均衡服务器(DC),其负责收集所有服务器的负载信息,并根据负载均衡策略作出“最空闲服务器”的裁断,由于天翼应用接入系统采用了DC漂浮技术,所以任何时候一个活动的DC失效时,都会由集群中所有活动的服务器选举出一个最为强壮的服务器作为当前的[负载均衡服务器],这样就不会出现由于DC失效而导致整个集群失去负载均衡功能,而且天翼系统具备分时负载均衡能力,可按访问应用的起止日期和具体的时间及自定义时间,进行负载。
6.6资源共享无缝连接
根据需要集中分配共享资源,用户不再受客户端和连接性能的限制,任何时间、任何地点、任何设备、任何网络连接方式,都能高效安全的访问服务器(群)上的应用程序和关键资源。
独有的会话共享技术,应用速度更快,承载的用户数更多。
支持多线路智能接入,降低网络配置的复杂性。
支持多语言,用户可自定义语言版本。
全称无缝窗口及输入法的本地化,让您的操作更加方便。
6.7IKey登陆认证
客户的登陆认证过程需要使用USB-key+用户名密码方式才能登陆,只有拥有Ikey的用户才能登陆交易系统,同时通过系统设置有效的管理用户,即使Ikey丢失也能及时补救。
6.8超低带宽需求实现快速访问
瑞友天翼应用接入系统采用天翼独有的RAP协议(RemoteApplicationProtocol简称RAP协议),是国内独家自主研发的服务器通讯的终端协议,它能动态的将应用程序输入输出逻辑与计算逻辑分离,客户端和服务器之间传递的都是键盘的指令和鼠标变化的矢量信息,中间没有真实数据传输,实现超低带宽下(10KBps)快速的远程访问。
6.9移动办公,随时随地应用
使用瑞友天翼系统,不管是员工出差还是在家里都可以完成工作,只要有网络接入的情况下,随时随地不受地域和时间的限制。
6.10一次配置一劳永逸
瑞友天翼控制台可实现配置信息导入导出,将集群属性、应用程序发布、集群帐户管理及策略配置、管理等配置内容导出到服务器,在重新部署天翼时,只需一键导入即可方便、快捷、准确的完成原配置信息配置。
7运行环境
7.1服务器端硬件要求
CPU:
PIII800以上
内存:
512MB以上
网络连接:
100兆以上网卡
服务器端软件要求:
Windows2003ServerEnterprise(含R2),Windows2003ServerDataCenter(含R2),Windows2008ServerEnterprise(含R2),Windows2008DataCenter(含R2)
7.2客户端硬件要求
CPU:
PIII800以上
内存:
256MB以上
网络连接:
100兆以上网卡
客户端软件要求:
支持Windows2000/XP/2003/Vista/Win7/2008操作系统
7.3网络
协议:
TCP/IP、SSL、HTTP/HTTPS。
接入方式:
拨号、DSL、Cable Modem、LAN、GPRS、Wi-Fi、卫星
8存在风险
1)终端服务器需安装window2003的终端访问授权
2)瑞友天翼为付费软件,用于公司产品中存在侵权风险,并且费用较高2000元/并发用户
9待解决问题
8.1如何设置本地打印机的支持
主要是天翼服务器需要把客户端的打印机驱动添加上,否则打印时找不到客户端的打印机,其他应该和本机设置一样。
8.2数据导入导出访问本地磁盘问题
集群管理控制台--选中所发布的应用程序--属性--远程客户端设备设置,将选项中的磁盘映射勾选即可。
8.3本地usb接口或com接口的映射
1.Usb可以被影射
2.不可以
8.4本地输入法如何映射
本地输入3.1不可用,服务端输入法可映射到本地使用.服务使用CUP高
10常见问题
1、
Q:
登陆应用程序时提示“服务器内部认证失败或者没有足够的登录权限”
A:
由于天翼用户绑定的NT系统用户没有设置密码、密码错误或者系统绑定的用户没有加入到remotedesktopusers里。
2、
Q:
打开应用程序的时候,提示“客户端无发连接到远程计算机”
A:
15872端口不通,在运行CMD,输入telnet外网IP加端口号或域名加端口号(如:
telnet61.134.26.1525872),如果不通就需要在网关(ADSL、防火墙、ROUNT等)处做端口映射。
2没有服务器地址转换,解决方法:
天翼集群管理控制台——集群属性——服务器地址设置——地址转换模式,如图:
3、
Q:
登陆应用程序时提示“安全策略检测到协议信息过期”
如图示:
A:
打开天翼集群控制管理台的属性——>集群基本信息,把RAP文件超时设置里的使用RAP文件超时检测的勾去掉或修改失效时间就可以解决。
4、
Q:
如何解决已经授权的终端服务,客户端提示终端服务许可过期问题。
A:
指定WindowsServer2003终端服务中的许可证服务器要选择特定许可证服务器,请执行以下步骤,然后退出注册表编辑器:
1
单击开始,单击运行,键入regedit,然后单击确定。
2.
在注册表中找到并单击下面的项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\Parameters
3.
在编辑菜单上,指向新建,然后单击
项。
4.
将新项命令为“LicenseServers”。
5.
在注册表中找到并单击下面的项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\Parameters\LicenseServers
6.
在编辑菜单上,指向新建,然后单击
项。
7
将新项命令为“ServerName”,这里ServerName是您要使用的许可证服务器的NetBIOS名称,然后按Enter键。