Citrix+SSL+VPN方案.docx
《Citrix+SSL+VPN方案.docx》由会员分享,可在线阅读,更多相关《Citrix+SSL+VPN方案.docx(13页珍藏版)》请在冰豆网上搜索。
Citrix+SSL+VPN方案
一.前言
在信息爆炸的今天,如何及时准确地获取公司信息、快速响应客户要求成为商业成功的重要因素。
为了确保员工不受时间、空间及网络设备等条件的限制,轻松、安全地连接到总部的应用系统、获取信息数据并调用各种工具,企业需要具有在更复杂的工作环境中为更多用户提供连接多种信息资源的能力。
随着技术的不断推陈出新,信息系统变得越来越复杂,加之应用设施、平台、标准及网络架构的多样化,为实现接入企业信息带来了更多困难。
另一方面,在企业局域网之外也需要对敏感数据信息进行保护。
因此,许多企业不得不配备更多的人力和物力来确保安全。
显然,这种方法在现有的资源上增加了更多的配置,不可避免地提高了成本,增加了支出。
为此,公司的管理者们需要更为有效的方案来实现更为轻松便捷、安全可靠的信息接入。
思杰系统有限公司(CitrixSystemsInc.)一直致力于寻求一种有效的接入手段帮助企业实现这一梦想。
随着技术的不断完善和发展,作为业界领先接入架构厂商,思杰推出了“按需定制企业信息(On-Demand)”方案,帮助企业建立“按需定制企业信息”架构,让企业用户简单、快捷和安全地接入到公司的应用系统及企业信息,为企业带来更为广阔的应用能力。
二、安全接入的用户需求
1.对Internet中传递的数据私密性保护—VPN的需求
2.提供增强的远程接入功能,让企业员工随时随地都能安全地接入企业资源
3.实现对所有基于IP协议的应用都能够安全接入访问
4.尽量减少对接入客户端的维护和管理
5.对远程接入可以实现精确的接入控制功能,针对企业资源不仅是接入,而且需要具有策略
的接入;针对远程客户端可以进行安全评估
6.实现接入的高可靠性
三、CitrixAccessGateway安全接入方案—SSLVPN专用硬件设备
3.1CitrixSSLVPN专用硬件概述
相比IPSec和传统SSLVPN,Citrix®AccessGateway更具创新性和优越性,提供了安全的、不间断、单点接入,而且部署和维护相当简单,更加经济实惠。
IPSec和其它早期的VPN,包括PP2P和L2TP,给予了用户桌面式远程接入体验,但VPN客户机的安装和更新却导致了管理上的烦恼和极高的支持成本。
由于防火墙的限制,当用户身处客户或合作伙伴的办公室时常常无法正常接入公司应用和资源。
而且最近,这类VPN已成为恶意程序入侵的主要途径。
后来研究开发出SSLVPN来解决IPSecVPN的弊端,它集成了Web代理、Webification、端口转发和网络延伸等功能,然而,它不支持所有的应用程序,仍然要求保留小范围的IPSec部署。
这一类解决方案,每个都有利有弊,因此企业的负担就更重了,因为他们必须管理多种解决方案以满足当今因安全的远程接入所带来的多样化需求。
对于这些企业,最理想的情况莫过于采用单一的解决方案为所有用户提供各式各样的安全远程接入。
而CitrixAccessGateway就能做到这一点。
CitrixAccessGateway不仅采用了IPSecVPN的基础技术提供网络层接入,同时也采用SSL技术提供有效数据加密。
网络层接入和应用层加密的结合使企业不再需要维护两个单独的VPN基础架构,仅需一个产品就能享受IPSecVPN和SSLVPN的双重优势。
3.2CitrixSSLVPN专用硬件部署
如图:
CitrixAccessGateway部署在IntranetDMZ中,为远程访问客户端到企业门户创建一条基于SSL虚拟加密隧道。
通过简单访问安全的WebURL或直接点击桌面图标,客户电脑即可启动CitrixSecureAccessAgent,然后AccessGateway会利用公司的验证服务器来检验身份的真实性,一旦通过验证,SecureAccessAgent即被激活在客户端计算机上,并可通过与AccessGateway建立的安全通道来安全访问企业内部各种应用资源,包括基于IP协议的任何应用,甚至是基于IP的语音应用(VoIP等);另外,同样可以通过Citrix的ICA通道来访问CitrixPresentationServer上发布的各种应用程序(CitrixPresentationServer请参考Citrix文档或访问
3.3CitrixSSLVPN专用硬件指标及优势
●标准机架1U,专用硬件,专用安全操作系统,内置两块千兆网卡
●AccessGateway最大可以支持2000个SSLVPN会话,该时刻性能能够达到300Mbps,足以显示其卓越接入性能
●支持高可用性
●AccessGateway克服了IPSecVPN和传统SSLVPN的局限性,同时传承了它们的所有优点。
不需重写代码或定制设备,AccessGateway支持各种基于IP应用:
Client/Server 应用、Web应用、甚至是基于IP的语音应用(VoIP等)
●AccessGateway建立的SSLVPN通道能跨越防火墙,隐藏远程网络IP地址,防止了恶意程序的侵入。
另外AccessGateway支持区分(禁止/激活)客户端不同通道(VPN安全通道及访问Internet的不安全通道),最大限度实现了建立VPN后对企业内部资源的安全保护
●支持远程客户端安全扫描,让建立的VPN隧道变得更加安全
●独创“AlwaysOn”技术,当网络重新恢复后,终端用户不需要任何操作,甚至不需要重新认证,SSLVPN通道自动恢复
●有了CitrixAccessGateway,用户既可享受昂贵IPSecVPN所带来的桌面式远程接入体验,也不必为IT升级支付高额支持成本。
●客户端插件在用户接入网络时自动安装和更新,且不用重新启动计算机,最大限度减少对终端用户设备的支持和维护
●所有安全和有关路由的决定由AGclient来处理,不会在操作系统里或路由表上做文章,不会在客户端安装一块虚拟网卡;因此网络之间决不是桥接,蠕虫病毒不会从客户端穿越到内网中
●部署方便,管理简单—平均部署时间仅需20分钟
●支持IPOverlapping的VPN连接
四、CitrixAccessGatewayEnterprise—实现策略性接入
相对于传统的IPSec和SSLVPN,CitrixAccessGatewayEnterprise更大优势在于整合企业各种资源,并实现基于远程访问用户角色、设备、接入位置和连接的策略控制;针对企业内部应用程序、文档、Web内容、电子邮件附件、打印和缓存等提供业界领先的控制能力—安全接入企业、策略接入未来。
4.1CitrixAccessGatewayEnterprise部署
IPPhones
CitrixAccessGatewayEnterprise部署在企业内网安装在基于Windows2003Server服务器上,它将企业各种资源整合到门户中,其中包括:
CitrixPresentationServer发布的应用程序资源,邮件服务器、Web或其它应用服务器、文件服务器、语音应用等资源;并智能地对访问这些资源的请求进行策略控制。
CitrixAccessGatewayEnterprise和CitrixAccessGateway将用户的接入从应用程序延伸至企业内部文件、Web内容和服务,并实现安全可靠的信息接入,更针对用户的具体要求进行个性化定制和企业门户资源整合。
CitrixAccessGatewaySSLVPN专用硬件创建了一个单点的安全加密接入点,采用了开放的标准安全协议和公用密钥架构来确保接入安全,包括:
采用ICA(IndependentComputingArchitecture:
独立计算架构)来连接CitrixPresentationServer服务器群组以及HTTP/HTTPS与CitrixAccessGatewayEnterprise创建的门户中心相连。
4.2CitrixAccessGatewayEnterprise实现步骤
通过CitrixAccessGatewayEnterprise将企业各种资源整合到门户后,从以下实现步骤可以看出,根据不同用户接入时的不同场景,将有相应的接入策略与之对应,并控制用户使用企业资源的过程和操作
第一步:
针对远程接入场景的智能分析,包括:
●接入角色分析
●接入设备识别
●接入设备配置
●网络位置分析
●认证方式
●其他定制的安全扫描
如图:
进行端点扫描和分析
第二步:
基于策略的企业应用资源接入,包括:
●CitrixPresentationServer发布的应用资源
●文件和网络共享资源
●基于Web的邮件系统
●Web站点
●基于Web的应用
●邮件同步
●基于IP的语音应用(VoIP等软电话应用)
如图:
接入策略控制
第三步:
操作控制和管理
●Copy/Paste
●上传/下载资源
●打印
●预览
●保存到本地或者文件服务器
●在线安全编辑(内存中进行)
●日志
如图:
操作控制管理
4.3CitrixAccessGatewayEnterprise用户场景体验
体验一:
当用户从企业内部网络来访问企业门户中的各种资源时,如何处理(内部网络通常是可信任网络),事例如图:
绿色表示具有完全接入权限;蓝色表示具有部分可以接入权限控制;红色表示接入权限被拒绝
当CitrixAccessGatewayEnterprise监测到该用户访问从信任网络发起(内部网络)后,该用户可以接入的企业资源及可以进行的对资源的操作权限相对较大,这是符合常理的。
体验二:
当用户作为企业移动用户来访问企业门户中的各种资源时,如何处理;事例如图:
绿色表示具有完全接入权限;蓝色表示具有部分可以接入权限控制;红色表示接入权限被拒绝
此时,该用户可以接入的企业资源及可以进行的对资源的操作权限是有限的;毕竟,该用户是从外网接入,我们需要对其进行策略控制。
体验三:
当用户在网吧里上网来访问企业门户中的各种资源时,如何处理;事例如图:
绿色表示具有完全接入权限;蓝色表示具有部分可以接入权限控制;红色表示接入权限被拒绝
用户使用网吧计算机通过极其不安全的公共网络接入的企业资源及进行的对资源的操作权限我们是必须要对其进行严格控制的,此时,该用户会发现很多资源只能浏览而没有更多的控制能力。
4.4CitrixAccessGatewayEnterprise优势
●无客户端接入,包括诸如PDAs或BlackBerry®WirelessHandhelds™;不需要运行客户
端软件
●任何浏览器、任何设备轻松安全接入
●高级的“SenseandRespond”基于策略的企业资源接入
●管理员可以定义端到端的安全接入策略
●专利的“LiveEdit”技术保证对敏感数据的操作决不保存和保留在客户端设备上;例如:
用户通过网吧里的计算机接入企业内部敏感文档,他可以利用“LiveEdit”技术在线编辑该文档,编辑的所有过程均在内存中完成,当需要保存时所有内容被保留在中央,而不是在客户端本地—安全第一
●对本地和PresentationServer应用程序的用户交互过程实现完全管理控制
●下载、更改、保存、保存位置、打印、电子邮件附件等策略及操作控制
●中央管理,审计和报表
●配合已有的门户和邮件系统的部署
五、Citrix按需企业应用接入架构—简单、快捷、安全和可管理性
要想在当今飞速发展的全球经济环境下取得成功,企业需要快速、灵活地部署各种应用系统,以改善业务处理进程并为员工提供按需安全的接入能力。
然而,在企业采购或研发新的应用程序后,常常会发现由于原有系统软硬件的限制,新应用的部署工作往往会占用IT人员大量的精力与时间,甚至耗费大量成本重新编写代码,才能让这些应用投入使用。
这样的结果往往是延误了新应用的投产时间,为企业增加了新的成本。
更有甚者,新应用所带来的效益已被部署应用时所产生的成本所抵消。
“工欲善其事,必先利其器。
”针对众多用户面临的这种情况,思杰创新地推出了“按需定制企业信息”方案,可加速并简化应用部署和管理,有效降低IT成本。
在CitrixAccessSuite完整地接入架构支持下,企业应用系统的整合速度大幅度提高,安全级别得到本质提升;让企业真正实现了员工可以任何时间、任何地点、通过任何设备和网络简单、快捷、安全和策略的接入。
Citrix提供完整接入架构解决方案:
思杰应用部署方案由四部分组成:
CitrixPresentationServer、CitrixAccessGatewayEnterprise、CitrixPasswordManager和CitrixAccessGateway。
如图:
图:
CitrixAccessSuite打造按需企业应用接入架构
•CitrixPresentationServer能将基于Windows、Unix和Java的应用扩展到通过任何方式接入的客户端设备上,为本地、远程以及移动的用户提供信息和应用。
主要功能包括:
应用程序的自动打包和发布、用户的协同工作、通用的客户端接入、改善应用程序的运行性能和基于SSL标准的加密技术。
•CitrixAccessGatewayEnterprise能够将用户的接入从应用程序延伸至内部文件、Web内容和服务,可实现企业资源的门户整合及并智能地对访问这些资源的请求进行策略控制.
•CitrixPasswordManager通过CitrixAccessSuite进行最有效的单点登录的解决方案(Single-SignedOn),可以接入和访问所有运行在CitrixAccessSuite环境里的、受密码保护的应用程序。
它保证了很好的密码安全问题,单点登录可以访问基于Windows、Web以及所有在服务器上运行的应用程序。
CitrixPasswordManage增强了密码策略,保证更快速地连接至应用程序,更安全地访问所需的应用,有效降低IT部门的相关支持费用。
•CitrixAccessGateway采用了IPSecVPN的基础技术提供网络层接入,同时也采用SSL技术提供有效数据加密。
作为新一代SSLVPN专用硬件,它传承了IPSEC和传统SSLVPN的所有优势,并克服它们的不足,并以其更加优异的性能和简单的部署和强大的管理能力,让远程接入变得更加安全和可以控制
CitrixAccessSuite企业接入架构可以加速并简化应用发布、管理、安全和维护的各个方面,显著降低相应成本。
由于应用程序安装于集中管理的服务器中,IT人员无须考虑每一台客户端PC。
这种部署方式的优势显而易见。
以前,工程师们需要对每一台电脑进行安装和升级工作,可能耗时几周甚至数月。
而现在,仅需简单数分钟而已。
另外,在公司进行收购与合并过程中,设置新用户的工作也可以很快完成,全部过程都无需打断员工的正常工作,从而有效地提高了企业员工的工作效率。
CitrixAccessSuite具备卓越的安全性能。
首先,应用和数据都位于中央服务器,而不是在分散于各地甚至各国的客户端电脑中,网络只传输很少的数据,如:
键盘和鼠标的敲击、屏幕内容的刷新(平均网络流量10~20K);其次,专用硬件的SSLVPN加密可以保护所有的企业信息,包括本地基于网络的应用和基于网络的内容。
在思杰的应用部署解决方案中,传统的Client/Server应用软件无需进行二次开发,即可立刻支持Web访问。
CitrixAccessSuite帮助用户充分利用原有的IT系统,延长原有设备的使用周期,并减少以往频繁操作的客户端设备升级工作;从而帮助用户保护其IT投资,并提升IT系统的投资回报率。
简单、快捷、安全和可管理性—业界领先的按需企业应用接入架构
升级会员 