Citrix_Solution
广东移动网管客户端集中发布与监控录像方案
思杰系统亚太有限公司北京代表处
目录
一前言----------------------------------------------------------------------------------------------- 2二网管软件的集中发布 ------------------------------------------------------------------------------ 3 1.网管发布平台总体架构 ------------------------------------------------------------------------------------------- 4 2.网管发布平台功能简介 ------------------------------------------------------------------------------------------- 5 1)应用虚拟化(Citrix Presentation Server)-------------------------------------------------------------------- 5 2)操作录像/智能审计(SmartAudit) --------------------------------------------------------------------------- 5 3)口令管理(Password Manager) ---------------------------------------------------------------------------- 7 4)智能访问控制(SmartAccess) ------------------------------------------------------------------------------ 8 5)性能监控(EdgeSight) -------------------------------------------------------------------------------------- 11 3.网管软件的发布 --------------------------------------------------------------------------------------------------- 12 4.网管发布平台的优势 --------------------------------------------------------------------------------------------- 13三网管发布方案配置 -------------------------------------------------------------------------------- 15
1 配置要求-------------------------------------------------------------------------------------------------------------- 15
1)客户端要求-------------------------------------------------------------------------------------------------------- 15 2)服务器要求-------------------------------------------------------------------------------------------------------- 17 3)安全访问要求----------------------------------------------------------------------------------------------------- 18 2软硬件配置列表 ----------------------------------------------------------------------------------------------------- 19四附录 -------------------------------------------------------------------------------------------------- 22附录一:Citrix公司简介 -------------------------------------------------------------------------------------------- 22附录二:Citrix在电信行业的应用 -------------------------------------------------------------------------------- 23
一前言
中国移动通信是国内唯一专注移动通信发展的通信运营公司,在我国移动通信大发展的进程中,始终发挥着主导作用,并在国际移动通信领域占有重要地位。广东移动作为中国移动在广东的子公司经过十多年的建设和发展,已建成一个覆盖全省、通信质量高、业务品种丰富、服务水平一流的全国排名首位的移动通信网络。
作为一家业绩优异的上市公司,中国移动一贯以积极态度对投资者承诺公司的诚实和公正公平,并通过制订内部4A规范等手段加强企业内部控制中的责任。为促进企业优化经营过程中的人为和自动化业务流程,中国移动不断在探索采用恰当的控制手段,保证安全可控的业务信息接入,信息不管在哪儿都是受到保护的、可信赖的和安全的。这些挑战要求中国移动充分利用信息技术来保障企业信息收集和交付所使用的IT系统的可靠性。如果不慎用技术和信息安全,将很难或者根本达不到这些目标的。特别是中国移动已开始遵循业界标准(例如:萨班斯-奥克斯利法案)和实施最佳实践方法来搭建合乎法律法规的框架,因此就需要建设适合企业特定机构的运营和风险评估的合规管理解决方案。这些解决方案应该包括管理、技术和人的完美配合,以便能满足各种不同法规的要求。
作为全球信息安全接入基础架构领域的领导者,思杰系统(Citrix)公司推出了集中和整合应用的解决方案,可以更好地管理应用部署、接入控制、安全性以及应用和用户监控。思杰信息安全接入基础架构解决方案为企业信息安全接入策略的部署奠定了基础,这种接入策略使企业能以更低的成本建立信息技术(IT)控制,满足萨班斯-奥克斯利法案的相关要求。
本方案介绍了思杰系统(Citrix)的网管集中发布模式和操作审计方面的革新技术:软件录像,这项正在申请七项专利的技术能帮助企业建立合乎法律法规的内部控制框架,解决遵循法律法规引起的主要IT控制和安全挑战。
二网管软件的集中发布
广东移动的网络管理系统是关系到核心业务正常运行的关键支撑系统,如何确保网管系统高效、安全地运行和管理是目前面临的问题。
经过近几年大规模的网络建设,网管系统基本成型,同时也面临着如下问题:
1.无法对网管操作人员的操作进行安全控制和审计,网管系统的配置和修改关系到整个网
络的正常运营,尤其是很多维护需要厂家和第三方维护人员直接接入网络进行关键配置
操作,目前网管中心缺少整体的管理和监控手段,当出现问题后,无法回朔操作经过,
无论是解决问题还是追究责任,都缺少应有的管理手段。
2.网络数量众多,安装部署麻烦。比如监控室一般同时监控十几个以致几十个网管系统,
每个网管系统由于系统的差异需配置独立的终端,导致监控终端众多,而受机房及机柜
空间限制,难以集中在合适位置,不方便监控人员工作。
3.访问访问受限,导致使用不便。往往用户需要安装网管客户端软件,也没有统一的访问
网管的入口;
4.网管类型众多,各个厂家开发的软件各异,不利于终端管理;同时版本升级困难。
5.安全方面存在漏洞,用户管理混乱,并且用户在使用不同的网管系统时,需要多次登录
认证,不方面应用;
通过Citrix平台对网管集中发布,发布可以很好地解决网管中心的需求,Citrix采用应用集中部署模式,网管客户端软件只在中心服务器上部署一次,远程访问用户即可以通过IE访问进行工作,同时Citrix提供智能访问技术,结合全面的加密和认证技术,保护关键的信息和应用,提供对网管系统的安全接入,网络管理员可以进行各种级别的身份认证。同时Citrix后台可以执行严格的安全策略,精确地对每一个人员的操作进行录像和审计,这种集中模式下的软件录像非常节省存储空间和带宽,能够在合理的成本下实现每个用户长达一年的操作记录,有利于对每个操作用户的工作审计,问题回朔和确定责任,非常有效地保证了系统的整体安全性。
1.网管发布平台总体架构
对网管终端的监控,需要首先将网管终端集中部署,然后通过权限控制发布给用户使用,这样任何用户通过集中发布的网管的操作就可以被管理和记录下来。通过Citrix集中部署和发布网管客户端软件,对整个的后台网络和网管服务器架构没有变化,只需要在该网段中增加Citrix服务器(Citrix Presentation Server以下简称CPS)集群即可。
对于广东移动网络物理隔离的情况,如果不改变网络联通状况,则需要在每个隔离网络内添加独立的CPS集群,而录像的存储放在集中的磁盘柜上,便于集中管理和录像回放。整个结构如下图所示:
CPS CPS
CPS
网管客户端软件只安装在CPS上,而所有访问用户使用终端设备均无需安装网管客户端软件。客户端设备只需通过IE就可以运行网管系统(第一次访问时会自动提示下载安装一个几兆大小的Citrix ICA插件),多用户同时访问时,由Citrix服务器管理和运行网管客户端软件的多进程访问,并控制向不同用户发布的权限。
同时使用CPS附带的各种安全和管理功能,可以实现全面的用户接入的安全控制和管理监控,包括远程访问的SSL VPN接入,访问后台资源的高级安全访问控制,对个应用的口令管理,以及整体系统的性能监控管理等等。
2.网管发布平台功能简介
1)应用虚拟化(Citrix Presentation Server)
CPS虚拟化应用发布技术核心是其ICA协议,ICA协议连接了运行在CPS服务器上的应用进程和远端客户端设备,通过ICA的32个虚拟通道(包括鼠标、键盘、图像、声音、端口、打印等等),运行在中心服务器上的应用进程的输入输出数据重新定向到远端客户端机器的输入输出设备上,因此虽然应用客户端软件并没有运行在客户端设备上,但是用户使用起来和在客户端安装运行客户端软件相比,没有感觉任何操作上的改变。
CPS虚拟化应用发布原理如下图所示:
应用软件的用户界面在客
户端显示(可以支持非
Windows客户端)
应用软件安装和运行都在
服务器端
网络只传递通过
Citrix的ICA技术处理后的屏幕刷新和
键盘敲击和鼠标移动信息
(带宽需求10-20kbs,甚至可以是低速的拨号连接)
由于ICA协议是一种高效率的数据交换协议,同时在中心服务器和远端终端设备之间传递的是经过压缩和加密的屏幕刷新和鼠标键盘信息,因此每一个连接只占用十几K的网络带宽。
这种模式使得企业应用部署架构上发生变化,从一种分布式部署变成了大集中的应用部署,因而带来了应用访问、性能及安全等各个方面的提升。
2)操作录像/智能审计(SmartAudit)
通过Citrix应用发布平台,任何用户使用应用的过程中将被全程监控:用户的操作行为及显示器上的内容变化可以通过ICA协议存放到磁盘上,然后在需要的时候像看电影一样回放。
为有效利用资源和保护隐私,Citrix解决方案也允许灵活定制以时间、角色、应用名称、位置
为参数的录像策略来控制录像的开始和停止。
从上图可以看出集中化应用部署使得审计变得简单:
?在CPS上进行软件应用安装和管理,而不是在用户自己的电脑上。
?用户可通过网络连接集中化应用,并实时运行和操作,如同本地运行一样。
?集中化服务将所有应用处理过程和数据都集中在服务器上,并把数据的管理严格控制在数据中心。
?该解决方案是以安全为出发点设计的,只有用户界面、键盘敲击和鼠标操作等小量交互信息通过网络传输,但都是经过加密处理的。
?只要管理员在CPS上部署Log Driver和Log Service,如果管理策略(Policy Manager)要求对用户的操作进行录像,用户界面、键盘敲击和鼠标操作信息被多复制一份电子拷贝,即软件录像。经过数字签名的不会被恶意破坏的完整的录像数据经由Log Manager安全存储在脱离IT部门管理的独立的审计部门的文件(存储)服务器上,只有数字电子证书配对成功的控制台才可以查阅、浏览。
?实时监控、审计和报告功能保证了IT对整个业务过程的端到端透明度。
用户使用软件的完整过程被录像后,即可方便的检索和审计。录像的回放如下图所示:
录像如何回放
回放步骤
?被授权的安全审计的员工用控制台联机Log
Manager搜索回放的录像片段
?从集中的存储中找到具体Log文件
?在回放窗口回放这个Log文件
?2007 Citrix Systems, Inc. —All rights reserved
3)口令管理(Password Manager)
由于用户登录Citrix平台时首先通过了身份认证,因此后台的网管系统的口令可以通过CPS 自动管理起来,CPS具有口令自动管理的功能,通过Citrix Password Manager(简称CPM),可以实现多系统登陆口令的自动管理,对应用系统无任何改动,是领先的企业单点登录解决方案。
CPM从根本上改变了传统的多口令管理方式。使用它,用户可简单接入Windows、Web和基于主机的应用程序,且口令得到了更高的安全保障。以前,用户需记住5个,甚至15或30个口令,而且还必须弄清楚哪个应用配的是哪个口令,现在通过CPM的部署使用户只需一次身份验证,就能以一个口令登录所有受口令保护的应用程序,其余的工作将由CPM完成。它将自动接入受口令保护的信息资源,执行严密的口令策略,监控口令相关事项,自动化终端用户工作,例如口令变更,可以按照系统要求的口令策略自动生成口令。
增强安全性
为了加强安全,CPM对口令采取了集中化管理,具体事宜由管理人员统一负责。这增强了终端用户的使用安全性及对外部攻击的防御能力。实际上,当用户离开公司后,您可以仅关闭唯一的一道门终止他们的应用接入权利(取消他的主网络登录密码),因为CPM控制了所有的用户口令。
遵循法律法规
CPM加强了对信息接入的内部控制,使公司能轻松应付全球范围的大量法规条款。根据美国的HIPAA及Sarbanes-Oxley法案或European Union Data Protection Directive,安全缺口会让企业受到严厉的惩罚。而CPM的使用把这种可能性降到了最低。在信息接入追踪方面,CPM执行强口令策略,自动化口令变更,实时抓取用户接入数据以供审查。
降低Help Desk成本
根据Forrester Research研究表明,CPM的自动口令变更过程使客户不必再为口令问题,尤其是口令重置,支付平均每用户200美元的Help Desk支持费用。利用用户自服务,CPM自动化了口令重设,为企业节约了成本。
易于集成
除了上述几点之外,CPM的安装很方便——不需编写脚本,无须应用级的整合,而且完全不会更改公司的基础架构。另外,它还能透明地直接集成业界先进的多因子认证设备。
4)智能访问控制(SmartAccess)
CPS提供了全面的安全访问控制,所有访问CPS服务器的用户,都会经过AAC高级访问控制,进行严格的权限控制。本地用户可以直接从内网访问,外网用户需要经过防火墙,而在两道防火墙之间的DMZ隔离区内放置SSL VPN设备Access Gateway硬件。
CPS的智能访问控制能够根据不同用户接入时的不同场景,将有相应的接入策略与之对应,并控制用户使用企业资源的过程和操作。
第一步:针对远程接入场景的智能分析,包括:
●接入角色分析
●接入设备识别
●接入设备配置
●网络位置分析
●认证方式
●其他定制的安全扫描
如图:进行端点扫描和分析
第二步:基于策略的企业应用资源接入,包括:●Citrix Presentation Server发布的应用资源●文件和网络共享资源
●基于Web的邮件系统
●Web站点
●基于Web的应用
●邮件同步
●基于IP的语音应用(V oIP等软电话应用)如图:接入策略控制
第三步:操作控制和管理
●Copy/Paste
●上传/下载资源
●打印
●预览
●保存到本地或者文件服务器●在线安全编辑(内存中进行)●日志
如图:操作控制管理
用户场景体验
体验一:当用户从企业内部网络来访问企业门户中的各种资源时,Citrix Access Gateway Enterprise监测到该用户访问从信任网络发起(内部网络)后,该用户可以接入的企业资源及可以进行的对资源的操作权限相对较大,这是符合常理的。
体验二:当用户作为企业移动用户来访问企业门户中的各种资源时,该用户可以接入的企业资源及可以进行的对资源的操作权限是有限的;毕竟,该用户是从外网接入,我们需要对其进行策略控制。
体验三:用户使用网吧计算机通过极其不安全的公共网络接入的企业资源及进行的对资源的操作权限我们是必须要对其进行严格控制的,此时,该用户会发现很多资源只能浏览而没有更多的控制能力。
5)性能监控(EdgeSight)
CPS白金版的性能监控工具可以方便地监控CPS服务器、访问客户端、网络等全方面的使用、错误、报警、性能、软硬件变更、硬件资源情况、软件使用情况、以及License管理等等。
通过性能监控工具,管理人员不仅可以追踪用户对应用软件的使用情况,提前预知系统的性能问题,并且保存数据,以供分析和产生报表。
3.网管软件的发布
针对网管客户端软件不同类型的发布方法不同:
1,B/S应用,直接在管理控制台上发布IE浏览器,设置网管的访问URL地址,可以对IE 进行定制以增强其安全性(如隐藏地址栏,禁止用户访问其他地址等)。
2,C/S应用如果无须安装,直接拷贝到服务器,发布其可执行文件。
3,C/S应用如果需要安装,在服务器上安装后,发布其可执行文件。
4,C/S应用如果需要额外安装数据库中间件等,正常情况安装后可以运行,则发布网管软件的可执行程序即可。当多个网管软件需要的环境冲突时,如需要数据库客户端的不同版本,Citrix 平台提供了应用隔离和流技术,先将该网管软件和数据库安装在AIE中,或者打成Streaming包,再在管理控制台上发布即可。
AIE和Streaming使用方法详见Citrix手册。
通过Citrix平台发布的部分网管客户端软件包括:
4.网管发布平台的优势
1、集中发布、高效管理:IT管理效率至少提高100%,几乎没有费用支出
通过CPS将所有网管客户端软件部署在企业数据中心,IT部门管理员日常工作只需要管理数据中心的几台CPS服务器,就可以管理和控制所有使用者对网管的访问;明确各使用者的权限,系统管理员或决策者有权单点控制整个系统的进程、资源、状态等,并且通过CPS的智能审计进行用户操作录像,可以有效记录和控制网管工作的进行。
2、快速部署、缩短项目周期:项目实施周期缩短几倍,风险降低至最低
由于应用系统客户端现在只需安装在Citrix PS服务器上,因此一系列的远程客户端安装、配置、调试工作得到简化,原来需要一两个月、跑来跑去、重复进行的工作,现在只需一两个星期、甚至几天的时间就能完成;99%的项目工作全部在企业总部完成,没有任何风险。
3、极大减少客户端的维护:远程客户端维护量≈零
由于下面的员工或是合作伙伴、供应商等,并没有实质性接触到应用的升级、维护、故障处理,维护工作就由“面”缩小到“点”,尤其是地域分布较广的用户,将深深体会到原来繁重的维护工作量变得简单轻松。
企业原来花费在IT远程维护的时间大致占用30%~50%,甚至更多;现在通过Citrix 部署,这部分时间完全可以节约下来。
4、获取最大的IT投资回报:全球CIO ROI Insight Ranks,Citrix排行第六名
1)ICA客户端软件对硬件要求低,即使一台386也能通过ICA去“运行”各种应用,在Citrix解决方案中,客户端的使用周期延长了3~4倍。
2)通过Citrix PS部署,网络带宽要求大大减少;用户可以节约了大量专线租用成本3)成倍降低IT部门维护费用
5、高效利用网络带宽:Citrix PS部署平均带宽消耗10~20Kbps/并发访问
ICA协议的一个显著特点就是尽力减少网络传输量,即使在低带宽下也能达到满意的性能。平均10~20Kbps带宽,很多客户端用户利用电话拨号Internet就能实现远程应用,节约了大量的专线成本,提高了系统处理效率。
6、系统安全性、工作效率高:数据、缓存等中央传递=安全;简单=安全
由于网络上传输的只是客户端的键盘、鼠标动作以及显示界面的刷新部分,没有任何
数据传递;数据、缓存、Cookie等等全部在中央受限的环境中控制;另外ICA协议还含有多种加密技术;客户端的操作感觉虽然就像在本机操作一样,但未经权限许可,不得擅自修改、备份、拷盘、打印等。通过应用发布的方式,员工只能使用本岗位的应用程序,而不能打开其他的应用软件或数据信息。
7、支持跨平台混合环境:支持的客户端类型>20种→任何设备都可以访问
各种基于Windows、DOS、UNIX、Linux的PC、Macintosh机、手持电脑(HP Jornada、Compaq Cseries)、OS2、Windows终端(如四通协同网络计算机)、机顶盒设备(BocaVision STB121)以及无线设备(Pocket PC PDA)等,都能够应用于Citrix方案,访问到Windows 或UNIX系统下的各种应用程序。
8、轻松实现基于Web的发布和访问:应用C/S架构→B/S架构只需1分钟
能够把应用程序直接“嵌入”到用户的Web页面上,而不需重新编写一行程序代码,是通过浏览器运行应用程序的最佳解决方案,既承袭了C/S(Client/Server)结构的软件资源和用户经验,又进一步发挥了B/S (Browser/Server) 结构的集中控管优势。基于Internet 的架构和技术,Citrix拓展了更广泛的技术范畴。
9、保证无间断的商务运作:保证关键业务随时随地都可以被远程访问
Citrix通过保护关键的信息和应用,提供对业务资源的互联网门户接入,终端用户不用等待所有网络功能或办公设施的恢复,只要有能够上网的设备,就能照常使用关键应用程序进行关键业务的处理,从容应对各种人为或意外的灾难或中断。
10、倡导“系统总体拥有成本”的理念:一次性投资,终生回报
企业信息化系统的成本计算应该与周期挂钩,因为很多费用往往发生在后期的维护与追加投入上,经过验证,采用“应用+ Citrix整体解决方案”的系统,在一年的时间里能够比原来的系统节省20%~40%,随着时间的延续,这种比例将会越来越大。节约下来的成本用于企业对新技术的投资,符合企业不断增长的业务发展
三网管发布方案配置
通过Citrix发布应用,对应用的后台服务器系统没有任何改动,只是在用户客户端和后台服务器之间增加了Citrix服务器群,原先需要安装在用户PC机上的客户端软件现在只在Citrix服务器上安装一次,多用户同时访问时,Citrix服务器管理和运行客户端软件的多进程运行,由运行在Citrix 服务器上的客户端访问后台服务器,Citrix服务器通过虚拟化技术将运算结果和用户输入输出向授权用户发布。
通过这样的部署结构,最终用户访问应用的性能依赖于服务器计算能力和数据中心内部网络,不再依赖于广域网和终端设备,因此通过配置高性能的中心服务器,可以使得远程用户象在局域网内一样使用应用系统。
Citrix服务器集群会自动实现负载均衡,在Citrix服务器配置中集群称之为一个Farm,Citrix 服务器的“Data Collector”负载均衡调度服务器负责收集每一台服务器里面的一些动态信息,并与之进行交流;当有应用请求时,自动将请求转到负载最轻的服务器上运行。
对于网络带宽的需求,每个用户只需要10K~20K的带宽就可以满足需要,因此在我们进行网络带宽的规划时,非常容易估算总的带宽需要,比如500个并发用户时,中心带宽需求是:
500×10K=5M。
1 配置要求
下面,对一个典型的Citrix应用集中部署所需要的各项设备进行详细的说明。
1)客户端要求
用户的客户端设备几乎可以使用任何操作系统、任何配置的硬件设备,Citrix支持的客户端类型如下:
–Windows:
–32-bit: 95, 98, NT and 2000/XP/2003/Vista
–16-bit: 3.1, 3.11, WFWG
–CE
–DOS: 32-bit, 16-bit Real Mode Version
–Macintosh: iMAC, 68k & PowerPC
–Unix:
–HP-UX
–IBM AIX
–Solaris Sparc
–Solaris x86
–SunOS
–SGI IRIX
–Compaq Tru64
–SCO - UnixWare, OpenServer
–Linux: Red Hat, Caldera, SuSE, Slackware
Citrix提供客户端三种访问方式:Web方式、PN完整客户端方式和PN Agent方式,其中Web 访问时,系统会自动检测用户是否安装ICA客户端插件(或是否安装最新版本插件),如果是第一次访问用户没有安装插件(或着不是最新版本),系统提示用户自动开始安装。Web方式提供基本访问功能,无须用户自己进行客户端配置,而PN和PN Agent需要配置并提供了更加全面的客户端功能。
同时在Citrix的体系架构中,PDA和智能手机是和PC机、终端具有同样地位的访问设备,无须额外的应用开发,可以直接将后台各种应用直接发布到移动设备上。
Citrix支持的移动设备列表:
移动设备的ICA客户端软件可以从如下网址下载:
https://www.360docs.net/doc/5510923711.html,/English/SS/downloads/downloads.asp?dID=2755
2)服务器要求
1,Citrix服务器说明
Citrix服务器软件CPS同时有Windows版本和Unix版本,最终使用取决于用户需要发布的应用客户端软件是运行在Windows还是Unix平台上。同时由于Citrix发布应用和终端设备无关,还可以实现Windows客户端访问Unix应用,或者Unix/Linux客户端访问Windows系统上的应用,并且可以同时的去访问不同操作系统上的各种应用。
设计Citrix服务器集群之前,需要对并发访问量进行估算,已保证Citrix服务器集权具备支持用户访问量的处理能力。根据我们在IBM实验室的数据,在模拟多个并发用户分别以简单、普通、高负载三种操作频率使用流行的MS Office 2000软件,Windows 2000/2003 Enterprise Server +Citrix Presentation Server +IBM刀片服务器HS20(配有2路至强DP 2.4G,4G RAM,一个40G 的IDE硬盘,一个18G15000转SCSI硬盘,2块千兆网卡),可以最多支持320、215、170个并发用户。再根据Citrix以往的成功实施经验,由于用户一般会访问多个应用,如果使用2-4-2(2路至强CPU,4G内存,2个硬盘)的配置建议,每台Citrix 服务器将能顺畅支持约50个并发用户,如果服务器内存扩展到8G(PAE打开),有可能支持到100个并发用户(由于32位操作系统在内存访问上的限制,所以关于扩展内存后的并发访问数,会根据用户具体的应用类型变化)如果使用64位操作系统,根据我们的测试,一台IBM3950配4个双核CPU,内存32G,可以支持500个SAP GUI的并发。
针对用户的实际情况,我们推荐N+1负载均衡及冗余原则,例如如果用户估算出有300并发的访问量,需要部署的Citrix Server:
32位操作系统(4G):300/50+1=7台
32位操作系统(8G):300/100+1=4台
64位操作系统:300/500+1=2台
2,其他服务器配置
由于用户的工作不仅是访问应用,还涉及了用户认证、文件存储等一系列相关工作,所以除了Citrix服务器集群外,仍然需要其他相关服务器,如AD域控制器、文件服务器和数据库服务器等,服务器相关配置如下:
?CPS 服务器
–Windows 2003 Server + SP2(注意如果使用PAE,需要2003 Enterprise版)
–Presentation Server 4.5
–微软终端服务
–安装用户的网管客户端软件
?License Server、Data Store 及Summary DB (记录系统资源使用状况)
–Windows 2003 Server + SP2
–MS SQL Server 2000 + SP4 或MS SQL Server 2005
–IIS 6
–Citrix License Service
?Citrix SmartAudit (智能审计录像服务器)
–Windows 2003 Server + SP2
?Windows 域控制器DC
–Windows 2003 Standard Server + SP2
–为避免单点故障,域控制器需要有备份
?Citrix WEB Interface Server
–Windows 2003 Standard Server + SP2
–IIS 6或Tomcat等
–Citrix Web Interface
?文件服务器
–Windows 2003 Advance Server + SP2
–推荐使用光纤磁盘柜
–推荐Cluster Service
–推荐安装专用的备份软件
3)安全访问要求
如果用户通过公网访问,需要提高相应的安全强度,包括用户的身份认证、传输加密及对访问场景的控制。
Citrix集中部署架构,通过CPS隔离了用户对后台服务器的直接访问,同时通过虚拟化技术,
将所有的数据都隔离在数据中心保存,大大提高了系统整体的安全性。
并且针对用户的访问,系统提供了安全接入点,首先用户需要进行身份认证,Citrix集成了各种身份认证手段,包括双因素认证等,访问用户提供用户名、口令和passcode,当用户通过认证后,会通过加密链路经过防火墙和隔离区访问Web Server后,然后才允许用户连接Citrix Presentation Server服务器集群。进一步增强了整体系统的安全性。
Citrix采用了开放的标准安全协议和公用密钥架构来确保安全。单点登录可以访问基于Windows、Web以及所有在服务器上运行的应用程序。Citrix增强了密码策略,保证更快速地连接至应用程序,更安全地访问所需的应用,有效降低IT部门的相关支持费用。
通过Citrix智能访问,可以判定用户是否在我们认可的网段内或是否使用符合公司安全策略的机器,若达不到公司的访问策略,Citrix系统允许访问者进行有限制的访问,而不能随意的更改、拷贝信息,更不能将信息带走。
通过这些措施使得用户通过公网访问集中部署的后台业务系统的安全性大大的增加。
2软硬件配置列表
这次配置服务器以32位为主,针对总共300个并发(CMNET和网管网各150个)的软硬件配置如下:
2)服务器清单