Citrix+SSL+VPN方案

1、dTRIX安全接入世界、策略接入未來第 #頁第 頁一前言在信息爆炸的今天，如何及時準(zhǔn)確地獲取公司信息、快速響應(yīng)客戶要求成為商業(yè)成功的重要因素。為了確保員工不受時間、空間及網(wǎng)絡(luò)設(shè)備等條件的限制，輕松、安全地連接到總部的應(yīng)用系統(tǒng)、獲取信息數(shù)據(jù)并調(diào)用各種工具，企業(yè)需要具有在更復(fù)雜的工作環(huán)境中為更多用戶提供連接多種信息資源的能力。隨著技術(shù)的不斷推陳出新，信息系統(tǒng)變得越來越復(fù)雜，加之應(yīng)用設(shè)施、平臺、標(biāo)準(zhǔn)及網(wǎng)絡(luò)架構(gòu)的多樣化，為實現(xiàn)接入企業(yè)信息帶來了更多困難。另一方面，在企業(yè)局域網(wǎng)之外也需要對敏感數(shù)據(jù)信息進(jìn)行保護(hù)。因此，許多企業(yè)不得不配備更多的人力和物力來確保安全。顯然，這種方法在現(xiàn)有的資源上增加了更多的配

2、置，不可避免地提高了成本，增加了支出。為此，公司的管理者們需要更為有效的方案來實現(xiàn)更為輕松便捷、安全可靠的信息接入。思杰系統(tǒng)有限公司(CitrixSystemsInc.)直致力于尋求一種有效的接入手段幫助企業(yè)實現(xiàn)這一夢想。隨著技術(shù)的不斷完善和發(fā)展，作為業(yè)界領(lǐng)先接入架構(gòu)廠商，思杰推出了“按需定制企業(yè)信息(On-Demand)”方案，幫助企業(yè)建立“按需定制企業(yè)信息”架構(gòu)，讓企業(yè)用戶簡單、快捷和安全地接入到公司的應(yīng)用系統(tǒng)及企業(yè)信息，為企業(yè)帶來更為廣闊的應(yīng)用能力。二、安全接入的用戶需求1.對Internet中傳遞的數(shù)據(jù)私密性保護(hù)一VPN的需求2提供增強(qiáng)的遠(yuǎn)程接入功能，讓企業(yè)員工隨時隨地都能安全地接入企

3、業(yè)資源3實現(xiàn)對所有基于IP協(xié)議的應(yīng)用都能夠安全接入訪問盡量減少對接入客戶端的維護(hù)和管理對遠(yuǎn)程接入可以實現(xiàn)精確的接入控制功能，針對企業(yè)資源不僅是接入，而且需要具有策略的接入；針對遠(yuǎn)程客戶端可以進(jìn)行安全評估實現(xiàn)接入的高可靠性三、CitrixAccessGateway安全接入方案一SSLVPN專用硬件設(shè)備31CitrixSSLVPN專用硬件概述相比IPSec和傳統(tǒng)SSLVPN,CitrixAccessGateway更具創(chuàng)新性和優(yōu)越性，提供了安全的、不間斷、單點(diǎn)接入，而且部署和維護(hù)相當(dāng)簡單，更加經(jīng)濟(jì)實惠。dTRIX4安全接入世界、策略接入未來cItrix4安全接入世界、策略接入未來安全接入世界、策略接

4、入未來第 頁第 頁第 頁dTRIXIPSec和其它早期的VPN,包括PP2P和L2TP,給予了用戶桌面式遠(yuǎn)程接入體驗，但VPN客戶機(jī)的安裝和更新卻導(dǎo)致了管理上的煩惱和極高的支持成本。由于防火墻的限制，當(dāng)用戶身處客戶或合作伙伴的辦公室時常常無法正常接入公司應(yīng)用和資源。而且最近，這類VPN已成為惡意程序入侵的主要途徑。后來研究開發(fā)出SSLVPN來解決IPSecVPN的弊端，它集成了Web代理、Webification、端口轉(zhuǎn)發(fā)和網(wǎng)絡(luò)延伸等功能，然而，它不支持所有的應(yīng)用程序，仍然要求保留小范圍的IPSec部署。這一類解決方案，每個都有利有弊，因此企業(yè)的負(fù)擔(dān)就更重了，因為他們必須管理多種解決方案以滿足

5、當(dāng)今因安全的遠(yuǎn)程接入所帶來的多樣化需求。對于這些企業(yè)，最理想的情況莫過于采用單一的解決方案為所有用戶提供各式各樣的安全遠(yuǎn)程接入。而CitrixAccessGateway就能做到這一點(diǎn)。CitrixAccessGateway不僅采用了IPSecVPN的基礎(chǔ)技術(shù)提供網(wǎng)絡(luò)層接入，同時也采用SSL技術(shù)提供有效數(shù)據(jù)加密。網(wǎng)絡(luò)層接入和應(yīng)用層加密的結(jié)合使企業(yè)不再需要維護(hù)兩個單獨(dú)的VPN基礎(chǔ)架構(gòu)，僅需一個產(chǎn)品就能享受IPSecVPN和SSLVPN的雙重優(yōu)勢。3.2CitrixSSLVPN專用硬件部署如圖：在家辦公或分支機(jī)構(gòu)CitrixPresentationServersXMLICA應(yīng)用服務(wù)器網(wǎng)吧Citrix

6、AccessGatewayDMZ任何應(yīng)用&協(xié)議TCPUDPICMPNon-ICA移動用戶IP電話交換CitrixAccessGateway部署在IntranetDMZ中,為遠(yuǎn)程訪問客戶端到企業(yè)門戶創(chuàng)建一條基于SSL虛擬加密隧道。通過簡單訪問安全的WebURL或直接點(diǎn)擊桌面圖標(biāo)，客戶電腦即可啟動CitrixSecureAccessAgent，然后AccessGateway會利用公司的驗證服務(wù)器來檢驗身份的真實性，一旦通過驗證,SecureAccessAgent即被激活在客戶端計算機(jī)上，并可通過與AccessGateway建立的安全通道來安全訪問企業(yè)內(nèi)部各種應(yīng)用資源，包括基于IP協(xié)議的任何應(yīng)用，甚

7、至是基于IP的語音應(yīng)用（VoIP等）;另夕卜，同樣可以通過Citrix的ICA通道來訪問CitrixPresentationServer上發(fā)布的各種應(yīng)用程序（CitrixPresentationServer請參考Citrix文檔或訪問 HYPERLINK /China%ef%bc%89%e3%80%82 /China）。3.3CitrixSSLVPN專用硬件指標(biāo)及優(yōu)勢標(biāo)準(zhǔn)機(jī)架1U,專用硬件，專用安全操作系統(tǒng)，內(nèi)置兩塊千兆網(wǎng)卡AccessGateway最大可以支持2000個SSLVPN會話，該時刻性能能夠達(dá)到300Mbps,足以顯示其卓越接入性能支持高可用性AccessGateway克服了IPS

8、ecVPN和傳統(tǒng)SSLVPN的局限性，同時傳承了它們的所有優(yōu)點(diǎn)。不需重寫代碼或定制設(shè)備AccessGateway支持各種基于IP應(yīng)用：Client/Server應(yīng)用、Web應(yīng)用、甚至是基于IP的語音應(yīng)用（VoIP等）AccessGateway建立的SSLVPN通道能跨越防火墻，隱藏遠(yuǎn)程網(wǎng)絡(luò)IP地址，防止了惡意程序的侵入。另外AccessGateway支持區(qū)分（禁止/激活）客戶端不同通道（VPN安全通道及訪問Internet的不安全通道），最大限度實現(xiàn)了建立VPN后對企業(yè)內(nèi)部資源的安全保護(hù)支持遠(yuǎn)程客戶端安全掃描，讓建立的VPN隧道變得更加安全獨(dú)創(chuàng)“AlwaysOn”技術(shù)，當(dāng)網(wǎng)絡(luò)重新恢復(fù)后，終端用

9、戶不需要任何操作，甚至不需要重新認(rèn)證，SSLVPN通道自動恢復(fù)有了CitrixAccessGateway，用戶既可享受昂貴IPSecVPN所帶來的桌面式遠(yuǎn)程接入體驗，也不必為IT升級支付高額支持成本?？蛻舳瞬寮谟脩艚尤刖W(wǎng)絡(luò)時自動安裝和更新，且不用重新啟動計算機(jī)，最大限度減少對終端用戶設(shè)備的支持和維護(hù)所有安全和有關(guān)路由的決定由AGclient來處理，不會在操作系統(tǒng)里或路由表上做文章，不會在客戶端安裝一塊虛擬網(wǎng)卡；因此網(wǎng)絡(luò)之間決不是橋接，蠕蟲病毒不會從客戶端穿越到內(nèi)網(wǎng)中部署方便，管理簡單平均部署時間僅需20分鐘支持IPOverlapping的VPN連接四、CitrixAccessGatewayE

10、nterprise實現(xiàn)策略性接入相對于傳統(tǒng)的IPSec和SSLVPN，CitrixAccessGatewayEnterprise更大優(yōu)勢在于整合企業(yè)各種資源，并實現(xiàn)基于遠(yuǎn)程訪問用戶角色、設(shè)備、接入位置和連接的策略控制；針對企業(yè)內(nèi)部應(yīng)用程序、文檔、Web內(nèi)容、電子郵件附件、打印和緩存等提供業(yè)界領(lǐng)先的控制能力安全接入企業(yè)、策略接入未來。4.1CitrixAccessGatewayEnterprise部署公司筆記本移動PDA終端設(shè)備合作伙伴計算機(jī)家里計算機(jī)部署在內(nèi)網(wǎng)中安全專用硬件網(wǎng)關(guān)接入控制策略文件服務(wù)器部署在Windows2003serverIPPhones部署在DMZAccessGatewayA

11、ccessGateway專用硬件Enterprise軟件CitrixAccessGatewayEnterprise部署在企業(yè)內(nèi)網(wǎng)安裝在基于Windows2003Server服務(wù)器上，它將企業(yè)各種資源整合到門戶中，其中包括：CitrixPresentationServer發(fā)布的應(yīng)用程序資源，郵件服務(wù)器、Web或其它應(yīng)用服務(wù)器、文件服務(wù)器、語音應(yīng)用等資源；并智能地對訪問這些資源的請求進(jìn)行策略控制。CitrixAccessGatewayEnterprise和CitrixAccessGateway將用戶的接入從應(yīng)用程序延伸至企業(yè)內(nèi)部文件、Web內(nèi)容和服務(wù)，并實現(xiàn)安全可靠的信息接入，更針對用戶的具體要求

12、進(jìn)行個性化定制和企業(yè)門戶資源整合oCitrixAccessGatewaySSLVPN專用硬件創(chuàng)建了一個單點(diǎn)的安全加密接入點(diǎn),采用了開放的標(biāo)準(zhǔn)安全協(xié)議和公用密鑰架構(gòu)來確保接入安全，包括：采用ICA（IndependentComputingArchitecture:獨(dú)立計算架構(gòu)）來連接CitrixPresentationServer服務(wù)器群組以及HTTP/HTTPS與CitrixAccessGatewayEnterprise創(chuàng)建的門戶中心相連。4.2CitrixAccessGatewayEnterprise實現(xiàn)步驟通過CitrixAccessGatewayEnterprise將企業(yè)各種資源整合到門

13、戶后，從以下實現(xiàn)步驟可以看出，根據(jù)不同用戶接入時的不同場景，將有相應(yīng)的接入策略與之對應(yīng),并控制用戶使用企業(yè)資源的過程和操作第一步：針對遠(yuǎn)程接入場景的智能分析，包括：接入角色分析接入設(shè)備識別接入設(shè)備配置網(wǎng)絡(luò)位置分析認(rèn)證方式其他定制的安全掃描如圖：進(jìn)行端點(diǎn)掃描和分析第二步：基于策略的企業(yè)應(yīng)用資源接入，包括：CitrixPresentationServer發(fā)布的應(yīng)用資源文件和網(wǎng)絡(luò)共享資源基于Web的郵件系統(tǒng)Web站點(diǎn)基于Web的應(yīng)用郵件同步基于IP的語音應(yīng)用（VoIP等軟電話應(yīng)用）如圖：接入策略控制第三步：操作控制和管理Copy/Paste上傳/下載資源打印預(yù)覽保存到本地或者文件服務(wù)器在線安全編輯（

14、內(nèi)存中進(jìn)行）日志如圖：操作控制管理dTRIX4安全接入世界、策略接入未來dTRIX4安全接入世界、策略接入未來第 頁第 頁43CitrixAccessGatewayEnterprise用戶場景體驗體驗一：當(dāng)用戶從企業(yè)內(nèi)部網(wǎng)絡(luò)來訪問企業(yè)門戶中的各種資源時，如何處理（內(nèi)部網(wǎng)絡(luò)通常是可信任網(wǎng)絡(luò)），事例如圖：綠色表示具有完全接入權(quán)限；藍(lán)色表示具有部分可以接入權(quán)限控制；紅色表示接入權(quán)限被拒絕EmailSynchronizationAttachmentAccess-Launchlocally-ICALaunch-Laurichtomemory-Previewread-only感應(yīng)并響應(yīng)任何場景Otherp

15、rotocols狀況PublishedApps-MappedDrivesLocalPrintingURLAccessFileAccess一Launchlocally-ICALaunch一Launchtomemory一Previewread-onlyFileAccess一Launchlocally-ICALaunch一Launchtomemory一Previewread-only控制，昏里記錄Accessand盜源棲用當(dāng)CitrixAccessGatewayEnterprise監(jiān)測到該用戶訪問從信任網(wǎng)絡(luò)發(fā)起（內(nèi)部網(wǎng)絡(luò)）后，該用戶可以接入的企業(yè)資源及可以進(jìn)行的對資源的操作權(quán)限相對較大，這是符合常理

16、的。體驗二：當(dāng)用戶作為企業(yè)移動用戶來訪問企業(yè)門戶中的各種資源時，如何處理；事例如圖：綠色表示具有完全接入權(quán)限；藍(lán)色表示具有部分可以接入權(quán)限控制；紅色表示接入權(quán)限被拒絕控制管理,記錄Accessand盜源便用狀況MPSApplicationsOtherprotocols感應(yīng)并響應(yīng)任何場景的接入需求-PublishedAppsMappedDrives-LocalPrintingFileAccess一Launchlocally-ICALaunch一Launchtomemory一Previewread-onlyEmailSynchronizationAttachmentAccess-Launchloc

17、ally-ICALaunch一Launchtomemory一Previewread-onlyURLAccessFileAccess一Launchlocally-ICALaunch一Launchtomemory一Previewread-onlyWebServers此時，該用戶可以接入的企業(yè)資源及可以進(jìn)行的對資源的操作權(quán)限是有限的；畢竟，該用戶是從外網(wǎng)接入，我們需要對其進(jìn)行策略控制。體驗三：當(dāng)用戶在網(wǎng)吧里上網(wǎng)來訪問企業(yè)門戶中的各種資源時，如何處理；事例如圖：綠色表示具有完全接入權(quán)限；藍(lán)色表示具有部分可以接入權(quán)限控制；紅色表示接入權(quán)限被拒絕PDAs控制管理,記錄Accessand資源極用狀況企業(yè)內(nèi)網(wǎng)

18、PublishedAppsMappedDrivesLocalPrintingMPSApplicationsInternetHTTPSlogin.login已壷毗.si事nt|T伍|EmailSynchronizationAttachmentAccess-LaunchlocallyppALaurh一Launchtomemory一Previewread-onlyEmaHServers不安全的網(wǎng)絡(luò)DMZ安全的兩絡(luò)URLAccessFileAccess一Launchlocally-ICALaunch一Launchtomemo巧一Previewread-onlyWebServersFileAccess一

19、Launchlocally-ICALaunch一Launchtomemoi一Previewread-onlyFileServersOtherprotocols感應(yīng)并響應(yīng)任何場景的接入需求圖例AppServers完全access詔分accessaccess用戶使用網(wǎng)吧計算機(jī)通過極其不安全的公共網(wǎng)絡(luò)接入的企業(yè)資源及進(jìn)行的對資源的操作權(quán)限我們是必須要對其進(jìn)行嚴(yán)格控制的，此時，該用戶會發(fā)現(xiàn)很多資源只能瀏覽而沒有更多的控制能力。44CitrixAccessGatewayEnterprise優(yōu)勢無客戶端接入，包括諸如PDAs或BlackBerryWirelessHandhelds；不需要運(yùn)行客戶端軟件任何

20、瀏覽器、任何設(shè)備輕松安全接入高級的“SenseandRespond”基于策略的企業(yè)資源接入管理員可以定義端到端的安全接入策略專利的“LiveEdit”技術(shù)保證對敏感數(shù)據(jù)的操作決不保存和保留在客戶端設(shè)備上；例如：用戶通過網(wǎng)吧里的計算機(jī)接入企業(yè)內(nèi)部敏感文檔，他可以利用“LiveEdit”技術(shù)在線編輯該文檔，編輯的所有過程均在內(nèi)存中完成，當(dāng)需要保存時所有內(nèi)容被保留在中央，而不是在客戶端本地安全第一對本地和PresentationServer應(yīng)用程序的用戶交互過程實現(xiàn)完全管理控制下載、更改、保存、保存位置、打印、電子郵件附件等策略及操作控制中央管理,審計和報表配合已有的門戶和郵件系統(tǒng)的部署五、Citr

21、ix按需企業(yè)應(yīng)用接入架構(gòu)一簡單、快捷、安全和可管理性要想在當(dāng)今飛速發(fā)展的全球經(jīng)濟(jì)環(huán)境下取得成功，企業(yè)需要快速、靈活地部署各種應(yīng)用系統(tǒng)，以改善業(yè)務(wù)處理進(jìn)程并為員工提供按需安全的接入能力。然而，在企業(yè)采購或研發(fā)新的應(yīng)用程序后，常常會發(fā)現(xiàn)由于原有系統(tǒng)軟硬件的限制，新應(yīng)用的部署工作往往會占用IT人員大量的精力與時間，甚至耗費(fèi)大量成本重新編寫代碼，才能讓這些應(yīng)用投入使用。這樣的結(jié)果往往是延誤了新應(yīng)用的投產(chǎn)時間，為企業(yè)增加了新的成本。更有甚者，新應(yīng)用所帶來的效益已被部署應(yīng)用時所產(chǎn)生的成本所抵消?！肮び破涫拢叵壤淦?。”針對眾多用戶面臨的這種情況，思杰創(chuàng)新地推出了“按需定制企業(yè)信息”方案，可加速并簡化應(yīng)

22、用部署和管理，有效降低IT成本。在CitrixAccessSuite完整地接入架構(gòu)支持下，企業(yè)應(yīng)用系統(tǒng)的整合速度大幅度提高，安全級別得到本質(zhì)提升；讓企業(yè)真正實現(xiàn)了員工可以任何時間、任何地點(diǎn)、通過任何設(shè)備和網(wǎng)絡(luò)簡單、快捷、安全和策略的接入。Citrix提供完整接入架構(gòu)解決方案：思杰應(yīng)用部署方案由四部分組成：CitrixPresentationServer、CitrixAccessGatewayEnterprise、CitrixPasswordManager和CitrixAccessGateway。如圖:CitrixAccessSuite打造企業(yè)按需應(yīng)用接入架構(gòu)數(shù)據(jù)中右CitrixPresenta

23、tionServerforWindows/UnixWindows.NET,32-bit,WebandLegacyApplicationsUNIXandJavaApplicationsCitrixAccessGatewayEnterpriseNativeWeb&NETApplications,Sites,Content,FilesandReportsCitrixPasswordManagerSinglesign-ontoWindows,Web,ProprietaryandHostbasedApplicationsLAN/WAN接入任何設(shè)備-PC,Laptop,PDA,Thin-Client-Wi

24、ndows,Linux,UNIX,Mac-工業(yè)標(biāo)哇和密Internet圖:CitrixAccessSuite打造按需企業(yè)應(yīng)用接入架構(gòu)CitrixPresentationServer能將基于Windows、Unix和Java的應(yīng)用擴(kuò)展到通過任何方式接入的客戶端設(shè)備上，為本地、遠(yuǎn)程以及移動的用戶提供信息和應(yīng)用。主要功能包括:應(yīng)用程序的自動打包和發(fā)布、用戶的協(xié)同工作、通用的客戶端接入、改善應(yīng)用程序的運(yùn)行性能和基于SSLcItrix4安全接入世界、策略接入未來cItrix4安全接入世界、策略接入未來第 #頁第 頁標(biāo)準(zhǔn)的加密技術(shù)。CitrixAccessGatewayEnterprise能夠?qū)⒂脩舻慕尤霃膽?yīng)用程序延伸至內(nèi)部文件、Web內(nèi)容和服務(wù)，可實現(xiàn)企業(yè)資源的門戶整合及并智能地對訪問這些資源的請求進(jìn)行策略控制.CitrixPasswordManager通過CitrixAccessSuite進(jìn)行最有效的單點(diǎn)登錄的解決方案(Single-SignedOn),可以接入和訪問所有運(yùn)行在CitrixAccessSuite環(huán)境里的、受密碼保護(hù)的應(yīng)用程序。它保證了很好的密碼安全問