益和VA虚拟应用管理平台.docx

1、益和VA虚拟应用管理平台益和VA虚拟应用管理平台产 品 白 皮 书2012ver 5.3版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，版权均属陕西益和信息技术开发有限责任公司所有，受到有关产权及版权法保护，未经益和公司许可，任何单位或个人不得以任何方式非法使用。目 录前言 1产品适用范围 2信息处理平台 2 VA商业版 2 EAA应用接入版 2 VA企业版 2应用场景 2 信息中心 2 远程接入 3 移动办公 3 信息共享 3 应用加速 3 瘦客户端 4 分时授权 4 其它特殊需求 4应用价值 6 信息中心的多功能平台 6 实现远程/移动办公 6

2、集中统一的用户和应用管理 6 加快应用处理速度 6 信息与文件共享 6 扩大授权软件适用范围 6 降低IT总成本 6 增强保密和安全保障 6 IT系统稳定和高可用性 7技术特点 8 虚拟应用通讯协议 8 高可用服务器集群技术 8 高可靠网络安全管理 8 高兼容性数据结构 8 高性能域名解析 8 完整自动登录引擎 8 免驱动智能虚拟打印 8 高安全登录认证 9 广泛兼容客户端操作系统 9 高开放性接口 9稳定性保障 10 产品数字证书 10 服务器负载均衡 10 设置应用兼容性 10 动态域名容错 10 程序自动防御 10 服务集群状态监控 11 自动报警和异常处理 11 系统维护辅助工具 11

3、安全保密措施及管理 12 数据通讯和服务器资源安全 12 访问控制和接入安全 12 其他安全技术 12附录1：产品版本比较 14附录2：解决方案参考 15 一般应用 15 局域网应用 16 集中应用 17 文档集中管理 18 单点登陆 19 安全上网 20前言尊敬的客户您好！感谢您关注陕西益和信息技术开发有限责任公司的产品。VA系列软件是我公司在长期的技术积累和应用工程实践基础上，历经数年的开发研制、试用改进，于2010年初正式发布的主打产品。具有起点高、适用面广、稳定性和安全性强等诸多优势。几年来，我公司不断加大对该产品的投入力度，使之保持技术领先的优势，满足用户和市场新的要求。我公司还将一

4、如既往，保持产品不断更新和技术服务的加强，推动虚拟应用技术更加广泛的应用于企事业单位的IT平台。VA系列产品目前包括“益和VA虚拟管理平台”企业版和商业版、“益和EAA应用接入系统”，以及客户端软件“AR应用执行器”PC版以及多种操作系统版本（如：AR for WinCE、AR for Android、AR for iOS等）。本白皮书将向您详细介绍VA系列产品的技术背景和应用价值，使之能够为您更好地发挥作用。有关该软件的版本更新、操作和培训资料，产品官方网站提供最新资讯以及相应的技术资料下载。如有进一步需要时，请联系本地供应商或我公司技术服务人员。本白皮书将伴随产品升级换代进行更新，当前版本

5、适用于VA系列产品V5.3版。选择VA就是选择了前沿的技术、放心的产品和高效的服务。VA系列产品将不辜负您的期待和信任，使我们用户的IT平台始终走在时代前列，发挥最好的效益。产品适用范围VA系列产品在提供安全可靠的虚拟应用接入功能的同时，致力于高性能、细颗粒度的管理和降低应用门槛，从而使广大企业和机构（包括大型和中小型企业机构乃至个人用户）能够便捷的实现虚拟化应用和远程接入。信息处理平台根据单位的规模、IT应用水平不同，使用“益和VA虚拟管理平台”企业版或商业版搭建IT平台，实现集中管理，并且最大程度发挥虚拟应用的种种优势（参见“应用价值”一章）。 VA商业版根据现有IT技术以及计算机硬件发展

6、和应用水平，一般而言，100计算机用户以下的单位，如果个性化管理不重要，应用软件对服务器资源要求不高、无特定功能要求，推荐VA商业版。 EAA应用接入版50计算机用户以下小型单位、团队或个人用户，以实现远程接入为主要目的，无其它特定功能要求，推荐EAA应用接入版。 VA企业版VA企业版支持多应用服务器负载均衡运行、域环境、多种认证方式，并可进行文档集中管理、细颗粒度的资源和安全管理，用于大中型企事业单位，以及IT应用水平较高或有特定功能要求的环境。应用场景本产品适用但不限于以下单独或组合场景： 信息中心VA虚拟应用管理平台可以将各种应用软件集中部署在VA集群服务器上，内网、外网统一管理，升级、

7、维护也都集中在服务器上完成，显著提高IT管理效率。可以将数据和软件集中部署、集中管理，发挥集约优势，提高效率，降低成本，强化管理，增强安全保密。VA的集中化架构为安全管理提供了更多层次可能性和方便，由于仅是虚拟应用的管理，不影响终端电脑的其它应用，具有实行严格管理的需求和空间。不再需要维护客户端电脑，对客户端硬件要求大大降低，从而硬件购置和更新的成本有了很大的节约空间。在VA虚拟应用管理平台的支持下，更多的企业内部应用可以部署，更高的内部网络带宽可以保证应用体验更理想，更好的实现企业资源集中、降低IT管理成本。 远程接入只要接通互联网，不受地域和距离的限制，就能运行VA服务器上安装的软件，就像

8、自己的电脑扩展到了服务器上一样。这时的个人电脑实质上就是一台服务器的终端输入输出设备。与单纯的“远程桌面”不同，VA的客户端看到的是一个个“应用”：一个个应用软件、不同范围下共享（私有）文件夹。作为特例，远程桌面也可以是一个“应用”。VA提供一整套授权和安全管理机制，资源调度机制，保证多用户系统的效率和安全。 移动办公处理许多业务，需要单位内网上的环境和资源，离开办公室便无法进行，更不要说类似财务、ERP等等C/S管理软件了。有了VA，通过Internet，在任何地方使用便携平板电脑（PAD）或智能手机都可以象在自己办公室一样工作。VA在陆续提供各种操作系统客户端软件的同时，还提供通用RDP登

9、录模式。不仅WINDOWS系列、WinCE、ANDROID、IOS、LINUX等，凡是支持RDP协议的系统，诸如MAC、塞班、黑莓、WINRT、Windos Mobile等均可作为客户端设备使用。 信息共享不论企业大小都有大量的各种文档和资料需要管理，不同的使用者对于不同的文档有不同的权限，集中统一存放的资料就相当于企业的图书馆一样，给予用户不同权限才能保证文档资源的安全。益和VA提供服务器存储资源的发布，VA文件夹发布可以提供给用户公共文件夹、私人文件夹、同组用户文件夹、互传文件四种文件夹类型，公共文件夹的文件所有用户都可以看到，企业可以通过此处发布公告文件；私人文件夹只有自己能够看到，用户

10、可以保存自己的私人文件资料；同组文件夹可以看到在同一个组中共享的文件；用户之间也可以互传文件资料。整个过程用户不需要知道文档资源在服务器存储的具体位置，设定不同的用户权限可以方便、细致的管理用户对每个文件夹的读、写、传权限。 应用加速某些应用软件的运行需要交换大量的数据，在网速低或者终端电脑配置低的情况下，执行速度常常令人难以容忍。VA的如果服务器集群部署在IT中心，客户端程序运行在应用服务器上，无论是运行速度还是网络传输都可以接近理想状态；而VA与客户端传输的网络带宽要求很低，所以能够很好的解决某些软件在陈旧电脑和低速网络中的速度问题。 瘦客户端随着操作系统和应用软件的升级，对计算机的配置级

11、别要求也越来越高，企业在IT上的购置成本逐年上升。由于VA的先天优势，可以使得客户端的软硬件要求降到最低。机顶盒、云终端让客户端“瘦”到极致，进一步降低IT的系统成本和安全风险；移动终端更是开辟了虚拟应用的新天地。 分时授权越来越多的企业或机构需要购买所需要的正版授权应用软件，其中不少都是按照用户许可数授权的，当用户占用许可后其他用户就不能使用该应用软件，如果使同一个软件在不同时段被不同用户使用的话，那么相当于用户的授权被扩大了。益和VA提供这样一种应用方式：应用许可通过系统设置分配给不同VA客户端用户在不同时段上使用，这样只需要较少的许可即可满足需要，并通过资源回收策略，自动注销“沉寂”用户

12、，提高软件资产使用效率、服务器运行效率。 其它特殊需求单一应用封装对于服务器有特殊设置的用户，例如需要禁用IE相关功能、隐藏地址栏等，或者不需要客户端了解过多信息（服务器地址、内容、用户名等），只需要客户端以一个“黑盒”的模式登录服务器上指定应用。VA的“信息封装登录”（VAK登录）就是将用户服务器上发布的应用程序完全封装起来，客户端用户以一个“不透明”的方式登录进去，直接输入该用户的密码后就直接运行并且登录服务器的指定应用程序，使得用户登录入口具有保密性。信息封装登录既是服务器安全策略的补充，也是客户端安全登录的一种方式。USB Key接入方式插入定制USB Key，自动连接登录VA服务器，

13、打开指定的应用。既是管理便捷、应用方便的手段，也是安全技术的一个体现。单点登录企业和个人使用中有大量的应用程序（包括B/S应用）需要输入密码，用户登录不同的应用需要反复输入用户名和密码，密码的设置或保存不善还会造成其他问题。VA提供应用程序单点登录功能，只需要将用户名和密码设置到VA系统中，则在VA系统中集中发布的应用就可以自动完成登录。单点登录功能是将使用VA平台发布的软件的登录关联到VA控制台相应用户的登录。当使用VA用户登录后，则可以直接进入相应权限的用户应用程序，而无需输入用户应用程序的用户名、密码等。应用价值VA不断挖掘IT发展的潜力，在系统性能和资源管理、安全管理、用户管理、应用管

14、理等方面为IT用户提供高性能、细颗粒度的全面的控制和管理手段。 信息中心的多功能平台构成企业信息中心的基础平台，对内网、外网，系统用户、应用和资源进行全方位管理，具有良好的延展性。 实现远程/移动办公互联网的接入，内网外网一体化管理，实现快捷方便的远程/移动办公，拓展信息化应用物理时空，不仅解决分支机构的IT部署问题，还能使用平板电脑、智能手机等移动终端移动办公。 集中统一的用户和应用管理实现集中、统一的管理，做到定人、定时、定设备、定应用，并可实现多应用单点登录。 加快应用处理速度加快应用处理速度，提高综合效率 信息与文件共享实现授权控制的信息与文件共享 扩大授权软件适用范围将一份程序“虚拟

15、成多分”供终端用户使用 降低IT总成本部署/升级/维护/培训在服务器端，客户端硬件要求降低，降低IT总成本 增强保密和安全保障增强保密和安全的技术和管理手段，从底层杜绝安全隐患 IT系统稳定和高可用性服务器集群集中部署及稳定性措施，提供高可用性技术特点VA系列产品在提供安全可靠的虚拟应用接入功能的同时，致力于高性能、细颗粒度的管理和降低应用门槛，从而使广大企业和机构（包括大型和中小型企业机构乃至个人用户）能够便捷的实现虚拟化应用和远程接入。 虚拟应用通讯协议自主设计的VAP协议（Virtual Application Protocol）能够动态实时对应用程序的输入输出逻辑和计算逻辑进行分离，容

16、忍超低带宽，最大化的容忍网络断线，保证业务不间断运作。 高可用服务器集群技术优化的负载均衡算法和策略，能够基于策略进行动态负载均衡，最大程度提高服务器资源的有效利用，容忍服务器故障。 高可靠网络安全管理基于会话连接的细粒度（客户端IP地址、机器名、网卡号、时间、应用等）访问控制的接入防火墙，可以有效保障网络边缘防护、传输过程加密、身份认证、访问控制等安全措施。 高兼容性数据结构VA系统数据库本地加密存储，数据结构高度抽象，可升迁的数据结构，稳定高效。支持数据迁移到企业内部数据库中（Oracle，DB2，SQLServer，Sybase）。 高性能域名解析内置多动态域名引擎，同时提供域名容错功能

17、，自动进行IP变动检测，自动切换，用户不需要单独安装动态域名客户端。 完整自动登录引擎拖拽操作自动登录设置，可编程自动登录，内置自动登录脚本设计引擎，包括代码录入，代码自动完成，设置断点，DEBUG，脚本语言支持BASIC、Pascal等。 免驱动智能虚拟打印智能化远程虚拟打印，服务器免驱动，高速压缩传输解码，实现动态调整、实时预览、多页排版、自动打印。 高安全登录认证多种认证方式，包括网页方式、AR客户端方式、VAK文件封装方式以及UD KEY（USB Disk Key）安全认证方式。 广泛兼容客户端操作系统多种操作系统的客户端程序，登录接口兼容RDP协议，支持多种终端设备（包括MAC、IO

18、S、LINUX、ANDROID、塞班、黑莓、WINDOWS系列、WINRT、Windos Mobile、WinCE.等），实现无改动跨平台应用，可用于移动终端、机顶盒客户端设备。 高开放性接口开放的WEB二次开发接口，Web功能调用，可以实现定制网页、在企业网站中进行集成、与现有应用集成。提供VA SDK开发工具包，支持服务端分发和加载客户端插件，并在服务端和客户端之间建立通讯通道，实现服务端与客户端的无缝衔接，提高VA应用的可扩展性。稳定性保障以服务器为核心的集中运算，稳定性是一个关键性指标。VA在易管理、易维护、高安全特性的同时，特别重视做为集群正常运行基础的稳定性，特别是终端用户大量并发

19、访问、多服务器负载运行情况下，更要求体现“稳定”的价值。VA在稳定性方面的策略涵盖对象包括VA软件本身、服务器软硬件以及容错等方面，主要包含了 产品数字证书嵌入产品的数字证书的通行证 服务器负载均衡服务器集群负载均衡，保障资源有效分配。VA对服务器资源采用了动态分配和轮询式的负载均衡管理办法，并可以根据每一台服务器的负载能力进行个性化权重设置，保障服务器集群整体性能的发挥，避免在多服务器情况下由于资源分配不均而影响性能甚至导致宕机。 设置应用兼容性高级参数设置，保证应用兼容性。 动态域名容错多动态域名容错，保障网络连接稳定。内置动态域名引擎，让域名解析畅快淋漓。用户一次申请多个域名并在服务器上

20、设置好后，AR客户端登录时可以实现自动在多个域名中选择正确解析的域名登录应用，真正实现免费的应用静态IP的享受。 程序自动防御服务程序自动防御及修复，让系统稳健运行。VA服务器端核心服务VaSvr.exe采用“看门狗”机制，在该服务进程遭遇意外终止时，只需1秒的时间则能自动重新启动，恢复服务，保障VA服务稳固运行。（可以尝试在任务管理器中将VaSvr.exe强行停止，会看到瞬间该服务又自动启动恢复。） 服务集群状态监控多服务器集群状态管理，用户动态迁移。VA集群状态管理，实时监控当前多服务器集群情况（红色表示状态异常）。可以给服务器上所有/指定会话发送消息，同时也可以将负载率过高、状态异常的服

21、务器临时注销。被注销的服务器连接的用户会自动迁移到正常的服务器上，同时，新访问的用户，按照设置好的负载均衡管理办法，也会自动的连接到正常的服务器上。只要整个集群资源的部署有适当富余量，就不会因为个别服务器故障而影响整个IT系统的运行。 自动报警和异常处理自动报警/预警设置，异常现象记录和及时处理。对服务器运行状态监控并管理，对超负荷运行及连接异常直接进行报警。通过对单项硬件资源的管理，可以在超负荷或者意外情况出现时人为介入，保障服务器顺畅运行。 系统维护辅助工具辅助工具，让系统维护简单。安全保密措施及管理VA虚拟应用管理平台构建的企业私有云方案，给企业的信息化管理带来了新的模式，易管理、易使用

22、，安全性保障成为重要的关键课题。VA在数据加密、身份认证及访问控制等安全技术上面做了细致周详的设计，提供可靠的安全屏障和细颗粒度的安全控制手段。 数据通讯和服务器资源安全VA 采用基于服务器计算模式技术（server-based computing），所有的计算均在服务器上完成，而只有键盘信息、鼠标点击指令和屏幕更新信息在客户机和服务器之间加密压缩传输，可以做到数据完全“不落地”。服务器安全策略在于保障数据中心服务器的安全性。服务器集群是应用虚拟化的基础平台，保证了这个平台的稳定和安全，就保证了信息系统的稳定和安全。通过服务器发布的某些资源往往都有存储接口或功能，比如链接网页、“另存为”等，通

23、过这些接口和功能可以访问到服务器上其他资源。200余项安全策略设置，可进行全面的限制。预设各种级别或者针对性的安全策略，为每个用户绑定。 访问控制和接入安全接入防火墙就是对访问服务器的客户端进行过滤控制，用来保障合法的客户端访问服务器。可以归纳为：在什么时间，从哪来到哪去，该行为是被允许还是被拒绝。VA接入防火墙对客户端（源）有多种识别方式：IP地址、客户机指纹、客户机机器名、内/外部网、用户及用户组等。VA防火墙控制访问资源（目的）为应用服务器、应用。VA接入防火墙可以做到细颗粒化管理，例如：在某个时间段，允许某人在某台电脑上访问某个服务器上的某个应用软件。USB Key接入方式，即是管理便

24、捷、应用方便的手段，也是安全技术的一个体现，持卡人允许接入。信息封装登录（VAK登录）：终端用户以“不透明”的方式登录一个应用，保证登录入口的安全性。 其他安全技术常规的密码管理策略：周期性更改密码、用户自设密码、首次登录更改密码等。控制设备资源：可禁止串口/并口/打印机/磁盘驱动器/USB音频等端口、粘贴板映射。代理服务器：可以通过设置代理服务器，增加中间安全环节，保障数据服务器安全。云终端：一个显示器VA云终端键盘鼠标所有信息资源。附录1：产品版本比较为了使产品具备最好的的性价比和使用便捷性，针对不同用户的需求VA系列产品有以下不同的功能配置：产品版本功能EAA应用接入系统VA虚拟应用管理

25、平台商业版企业版域用户多认证方式客户机指纹安全策略的增删安全策略的修改发布桌面发布文件夹发布内容用户组接入防火墙个性化资源管理并发连接数授权/可增加授权/可增加授权/可增加应用服务器数111/可增加发布应用数10（推荐）10不限用户数50（推荐）100不限uKey-E/DMAC地址绑定打印日志、审计附录2：解决方案参考这里介绍部分通用的应用解决方案供参考。请联系供应商，量身定制最适合你的实施方案。 一般应用此方案可以实现组织机构任何时候的远程快速接入及局域网使用，VA为多台应用服务器实行负载均衡，保证高并发数连接的稳定性、可靠性。 局域网应用此方案主要应用与局域网使用远程接入系统。在VA集群管理下，VA客户端通过直连模式连接到当前最空闲的应用服务器。 集中应用VA虚拟应用管理平台构建的虚拟化中心，将企业各种应用软件、数据统一部署，共享资源，统一管理。 文档集中管理通过VA方便、细致的管理用户对每个虚拟文件夹的读、写、传权限，实现文档的共享与传递。 单点登陆由VA进行用户认证，并绑定集群用户与应用系统用户，实现统一管理的应用单点登录。 安全上网局域网终端用户不能直接连接外网，在VA应用服务器上安装部署诸如WWW浏览器、即时通讯、股市交易等程序，发布给有需要的员工，保障终端用户的安全。