思杰金融系统解决方案

Size: px

Start display at page:

Download "思杰金融系统解决方案"

陵矮鲍
7 years ago
Views:

1 思杰虚拟化银行系统解决方案 V2.2 思杰系统公司大中华区编 0

2 目录 1 前言银行业务系统总体介绍交付中心的驱动力交付中心的概念 CITIRX 交付中心关键技术介绍 Citrix Delivery Center TM 将数据中心转变成交付中心 Citrix Workflow Studio 强大的协作工具, 实现真正的动态交付中心应用虚拟化 Citrix XenApp TM 从数据中心交付 Windows 应用桌面虚拟化 Citrix XenDesktop TM 从数据中心交付 Windows 桌面服务器虚拟化 Citrix XenServer TM 桌面和服务器应用供应 Citrix Provisioning Server TM 企业单点登录 Citrix Password Manager TM 性能监测和负载测试 Citrix EdgeSight TM 远程访问和 SSL VPN Citrix Access Gateway TM WAN 优化 Citrix Repeater TM Citrix NetScaler TM Citrix Application Firewall TM 智能电话 Citrix EasyCall TM

3 6 CITRIX 金融行业解决方案一览银行集中开发管理平台解决方案银行图形前端系统虚拟应用集中发布解决方案银行文档和源代码集中管理以及桌面虚拟化解决方案银行办公网统一对外访问解决方案银行卡应用统一发布管理平台方案银行内网系统安全远程登录解决方案商业银行分支机构快速扩张和部署解决方案网银在线交易平台解决方案 CITRIX 交付中心银行业应用案例某国有商业银行总行部署全球风险评估系统成功案例某银行分行内外网隔离 Citrix 应用交付支持与提升深圳某银行用户新体验某国有商业银行深圳市分行思杰公司介绍思杰公司简介用户实施集中化收益分析国外银行业应用简述

4 1 前言随着中国经济的高速发展和银行体制改革的不断深入, 银行迎来了良好的发展机遇, 同时也面临着更大的风险和挑战如何在激烈的市场竞争中生存和发展, 银行需要统一规划制定正确的经营政策有效地控制成本充分的发挥信息系统的优势共享企业资源, 通过建立一个稳固可靠先进的随需应变运行环境来支撑银行的可持续发展银行经过多年建设, 信息化已经初具规模, 但随着客户群及业务量的逐步增加业务种类的不断更新, 过去分散式运行管理的落后模式开始制约着银行的下一步发展银行需要通过业务大集中和数据大集中, 扩大业务规模, 为客户提供更好的服务银行当前业务发展的另一个重点就是如何集成多渠道的银行经营方式, 包括更好地发挥网上银行呼叫中心银行卡系统 Web 柜员系统客户关系管理的整合优势, 通过金融创新, 利用信息化手段降低银行运营成本并提高总体收入作为当前银行业务新的增长点, 尤其是中小银行, 信贷业务成为中小银行重点发展的一个领域, 安全高效统一的信贷管理平台可以规范信贷业务流程改善信贷业务管理状况促进中小银行信贷业务的健康快速发展随着银行业务系统的不断完善和业务数据的日益增多, 银行也迫切需要建立业务数据仓库系统来完成大量宝贵的包括客户关系管理账户分析赢利和风险分析在内的商业分析作为银行管理信息和控制信息的重要组成部分, 非结构化信息 -- 通常称为内容 ( 银行报表对账单图像视频音频等 ) 的有效管理及再利用能有效地推动银行的发展银行需要实现对大量报表文档等信息数据的快捷安全可靠地存储和在线查询, 降低打印纸使用量和报表仓储的成本银行为了加强内部协作, 提高管理水平, 需要整合内部信息系统, 建立全部员工协同工作平台, 利用多种协作技术手段, 实现银行各网点内部的信息沟通和知识共享, 加速决策流程, 提高协同办公效率, 降低日常运营成本随着银行业务和数据的集中, 银行面临大量的网络设备服务器和跨平台的多个应用的集中监控和管理, 银行在复杂的金融系统建设中经常需要将 IT 项目外包, 如何降低项目风险提高项目质量迫在眉睫因此, 在信息技术高速发展的今天, 银行信息系统是否高效畅通安全, 这在很大程度上影响着企业的生产销售管理等各个环节对于现代化银行来说, 及时了解客户需求和市场动态非常重要, 建立一个高效可靠灵活的银行信息架构就显得尤为迫切借助思杰公司近 20 年的金融行业应用经验, 结合思杰公司为金融行业提供的优秀高科技产品, 能够共同帮助中国的银行业实现灵活弹性的企业战略, 使得企业能够在变化降临的各个阶段快速实现业务决策, 化被动为主动 ; 使得企业随市场而变, 随用户而动, 而银行核心业务系统随企业而动 ; 帮助中国银行业的创新模式, 使其随时随地转化为满足用户需求的竞争力满足市场变化的竞争力 3

5 2 银行业务系统总体介绍通常银行的业务系统总体可以分为 : 渠道服务系统 ( 前台 ), 主要包括柜台 ATM 网银 POS 移动网点多媒体自助等核心业务系统 ( 中台 ), 主要包括存贷卡类汇兑代收代付中间业务等决策支撑系统 ( 后台 ), 主要包括人事财务资产风险管理市场营销等在每个主要业务应用系统之下, 又各自有少至几个, 多至上百个子系统提供支撑服务每个应用系统因为历史集成原因, 开发商不同, 不同接口需要整合, 对支撑的网络, 服务器等等各种设备的可靠性性能要求各不相同, 形成了一个非常丰富的 IT 生态系统 3 交付中心的驱动力目前, 在国内外大型商业银行中, 均在启动面向新一代信息系统的建设计划新一代信息系统规划通过自动化资源整合与管理虚拟化安全以及能源管理等新技术的采用, 解决目前信息系统普遍存在的成本快速增加资源管理上的日益复杂信息安全方面的严峻挑战以及能源危机等尖锐问题, 从而打造与行业 / 企业业务动态发展相适应的新一代企业基础设施驱动新一代银行信息系统变革, 其主要变革的动力来自于以下几点 : 1. 用户 : 越来越多的交易不是通过传统的柜台交易系统, 而是通过 ATM 自助终端或者网上银行等自动系统来进行越来越多的用户希望选用包括 PDA, 上网本, 甚至手机等终端随时连上银行交易系统交易在目前, 有很多银行的网上银行交易量甚至超过 50%, 这也要求数据中心的发展必须面向此类终端交易要求的 7X24 不间断交易需求 2. 银行竞争力的要求 : 随着国家对商业银行政策的进一步放开, 各类商行 ( 国有股份城市农村外资 ) 大量涌现越来越多的商业银行正走出区域限制, 需要快速扩展分支机构, 以更快更好地提供面向客户的服务为竞争力这就需要银行能够有一种坚固安全并具有相当弹性的系统架构来支撑业务的快速扩张, 提高企业的市场占有率和竞争力 3. 永恒的安全 : 在进行数据大集中后, 以及无论是内部系统的增加和外联系统的繁衍, 数据的安全可靠变得尤其重要传统的基于防火墙隔离堡垒机内外网隔离等等手段已经远远不能满足今天和未来的信息化业务对安全的要求同时, 传统的灾备方案也体现出耗时耗能等不足这些挑战, 不仅来自于 IT 基础设施所需要的高额投入, 也来源于 IT 基础设施增长所带来的复杂度和相应的能源消耗因此, 银行必须采取与以往不同的思路和技术方法, 才能获得新的突破而这种新的思路就需要采用一种全新的架构来实现, 交付中心系统的出现, 将有力地帮助银行建设新一代信息系统 4 交付中心的概念对于交付中心, 首先的一个问题就是应用的发布问题下面我们从一个典型的应用发布流程中所经历的环节进行分析 : 4

6 在应用发布的整个过程中, 信息主管面临以下问题 : 如何简化 IT 架构 : 银行业务的复杂性, 面临多应用, 多协议的整合, 信息主管需要有完善的架构设计理念和实施部署方案, 实现这些不同种类应用的最佳部署结构, 简化 IT 应用及终端集中 : 随着银行自身的发展, 对信息化建设提出了更高要求, 因此对各 IT 应用间的整合与互联互通需要越来越高, 对终端行为进行管制的紧迫性也越来越强安全威胁 : 从 DDOS 到 SQL Injection, 各种不同类型的攻击手段都在影响着交付中心的顺畅, 轻则导致应用变慢不顺畅, 重则导致业务中断系统瘫痪数据中心优化 : 伴随着应用及终端的集中, 后台系统优化随即变得非常关键, 同时如何使位于数据中心的服务器资源得到合理的共享动态调配降低能源消耗已经现实的摆在了信息主管面前分散的用户 : 目前大部分银行的业务系统都从最初仅面向一个营业网点或者一个小范围的客户群体, 发展到面向全国甚至全球的使用者用户分散加剧也导致了交付中心的环境变得越来越恶劣针对交付中心的各个环节中的薄弱点,Citrix 交付中心提供了端到端的解决方案简化 IT 架构 : 通过整合工作负载无论多少应用多少系统多少密码可以在数据中心端通过 Citrix 一的力量来简化工作负载镜像管理, 进行系统的单一密码单一管理, 真正实现 IT 系统的简化, 同时实现按需交付应用及终端集中 : 通过将前台应用或终端 ( 例如 PC) 的实际计算与存储功能向数据中心转移, 前台只保留其显示功能, 可实现应用或终端计算与具体设备彻底无关这不但远程就可实现全程全网的应用或终 5

7 端一体化管理监控部署升级或改造, 同时也极大简化大量终端的系统配置要求, 真正创造绿色 IT 此外, 由于应用或逻辑终端与其进行显示的物理终端无关, 银行业务应用可实现有保障有管理有安全的真正移动性安全威胁 : 通过桌面和应用集中, 银行核心业务数据的物理存储运行与其终端显示完全虚拟化隔离, 从而实现体系架构级的业务数据安全保障此外, 通过网络层安全防护应用层安全防护和传输通道加密技术等, 提高系统的整体安全性数据中心优化 : 通过服务器虚拟化负载均衡应用网络优化等设备, 实现服务器的高可用性高安全性和可扩充性同时降低能耗, 实现绿色 IT 分散的用户 : 通过将数据应用和桌面的智能完全集中到数据中心, 然后以高效显示传输协议交付给最终用户, 从而最大程度地减少传统应用的客户端管理和对本地客户端操作系统的依赖, 真正实现应用发布的客户端独立性传统的信息系统主要关注的是硬件的建设, 而各种新兴繁杂的网络化应用, 关注的则是业务逻辑和功能交付中心 (Delivery Center) 的理念则将重点放在了这两者之间的地带, 在现有架构的基础上, 实现应用交付的快速安全和高可用 5 Citirx 交付中心关键技术介绍 5.1 Citrix Delivery Center TM 将数据中心转变成交付中心为各地用户交付应用是 IT 的基本职能然而, 尽管业内分析师指出传统的应用部署过于复杂, 过于死板, 维护成本过高, 不利于业务调整, 但多数银行 IT 系统仍然延用传统方式部署和安装应用思杰提供一种全新的并且与众不同的方法思杰交付中心 (Citrix Delivery Center), 将数据中心从静态设施转变成动态交付中心 Citrix Delivery Center 产品系列包括四种主要的产品线, 构成了思杰交付中心的基础架构用户应用系统 5.2 Citrix Workflow Studio 强大的协作工具, 实现真正的动态交付中心作为思杰交付中心 (Citrix Delivery Center) 产品系列的一员,Workflow Studio 是一种 IT 流程自动化解决方案, 使系统管理员在整个应用交付基础架构上可以编写整合及协调基于规则的工作流 Workflow Studio 允许管理员通过工作流轻松组合技术组件, 从而使整个系统真正地作为动态交付平台运行 6

8 Workflow Studio 通过提供便捷易用的图形界面来显示工作流组成, 可以释放 Microsoft PowerShell 和 Windows Workflow Foundation 的潜力, 通过这种虚拟化方式消除了编写脚本的压力 5.3 应用虚拟化 Citrix XenApp TM 从数据中心交付 Windows 应用 Citrix XenApp( 更名前称为 Citrix Presentation Server) 是业界公认的以最低的成本采用任何设备通过任何网络连接方式向所有用户交付 Windows 应用的行业标准 XenApp 同时提供客户端应用虚拟化 ( 应用数据流 ) 和服务器端应用虚拟化 ( 应用发布 ), 实现优化的应用性能和灵活的交付选项采用安全的应用架构, 银行可以在安全的数据中心集中化管理应用和数据, 降低了管理和支持成本, 增强了数据安全性, 同时确保了快速可靠的应用性能 5.4 桌面虚拟化 Citrix XenDesktop TM 从数据中心交付 Windows 桌面采用 Citrix XenDesktop 可直接从您的数据中心, 以更安全更可靠成本更低的方式交付虚拟 Windows 桌面, 有效降低数据丢失的商业风险, 并减少分布式 PC 管理的复杂性提高扩展的灵活性, 同时将总拥有成本降低高达 40% 全球化趋势灵活的工作方式业务连续性以及兼并和收购都意味着员工要在不同地点开展工作, 这就需要采用全新的方式实现快速安全的桌面交付桌面虚拟化包括将 PC 桌面从用户访问的 PC 上分离开来采用 Citrix XenDesktop 解决方案, 所有桌面将在数据中心进行集中化保存和管理, 并虚拟交付到终端用户, 这是将 Windows 桌面交付到办公场所分支机构外包工作人员最好的最经济的方式, 有利于业务的快速拓展, 例如分支机构扩张业务外包法规遵从以及实现业务连续性 5.5 服务器虚拟化 Citrix XenServer TM 通过提高服务器效率和灵活性交付动态数据中心 Citrix XenServer 是可以满足不断变化的业务需求, 实现服务器虚拟化和交付动态数据中心的最简捷和最有效的方式采用 Citrix XenServer, 银行可以快速轻松地部署高性能虚拟机, 通过一个简单易用的单一管理控制台即可对这些虚拟机及其相关的存储和网络资源进行管理这样形成的动态虚拟化基础架构为计算和存储提供灵活的资源池,Citrix XenServer 利用强大的供应 (Provisioning) 功能成为唯一一个能够在统一的动态虚拟化基础架构中整合虚拟和物理服务器部署及管理的平台采用 Citrix XenServer 进行虚拟化, 银行可以提高服务器和存储利用率, 降低设备采购电力消耗冷却系统以及占用场地的成本 7

9 5.6 桌面和服务器应用供应 Citrix Provisioning Server TM 采用流技术交付服务器和桌面镜像 Citrix Provisioning Server for Datacenters 通过网络按需交付组成完整的服务器的各个部分 ( 包括操作系统应用和配置 ) 应用储备服务器(Provisioning Server) 将服务器各个部分组成为一个虚拟版本 VDisk, 并将其以文档形式存储在网络上当服务器启动时, 不再通过本地磁盘启动, 而是从 VDisk 启动,Provisioning Server 采用流技术将指定的应用组成部分交付到服务器这使得银行可以通过组合运行一种配置或 VDisk 盘, 通过重启利用其它的组合方式运行不同的配置 Citrix Provisioning Server for Desktops 采用流技术通过网络服务将单一的标准桌面镜像按需交付给物理桌面对共享桌面镜像进行集中化配置交付和管理, 降低了总成本, 提高了安全性和灵活性 5.7 企业单点登录 Citrix Password Manager TM 简化和集中化控制用户密码 Citrix Password Manager 是一种提高终端用户生产效率和增强 IT 安全性的企业单点登录解决方案用户采用其主网络凭证进行一次身份验认,Password Manager 即可自动将用户登录到受密码保护的 Windows Web 或基于主机的各类应用 Password Manager 对密码进行集中化管理, 并将这一重要功能置于 IT 控制之下这有助于通过强制实施密码策略自动完成密码变更以及整合强大的验证技术来持续提供数据保护功能 Citrix Password Manager 可将 Help Desk 支持成本锐减 25%, 原因在于用户再也不会因为忘记应用密码而呼叫 Help Desk 5.8 性能监测和负载测试 Citrix EdgeSight TM 实时监测用户体验 Citrix EdgeSight 产品系列为思杰应用交付基础架构提供性能监测和负载测试解决方案 EdgeSight 系列产品的性能监测解决方案可提供持续的应用性能可视性,EdgeSight 独特的用户应用系统和网络性能数据可为整个应用交付基础架构上 IT 业务的健康状况及可用性提供无与伦比的可视性 EdgeSight 系列产品的负载测试解决方案为 Citrix XenApp 和 XenDesktop 环境提供自动负载和性能测试, 它通过预测所需资源进行推测, 从而大幅降低回归测试 (Regression testing) 的相关维护成本, 并且将由于配置或软件变更带来的不稳定性机率实现最小化 5.9 远程访问和 SSL VPN Citrix Access Gateway TM 经由互联网安全地访问应用 Citrix Access Gateway 是利用应用层接入策略安全交付任何应用的唯一 SSL VPN 设备采用便捷易用的自动下载客户端, 用户可通过任意一台联网设备进行高效接入强劲可靠的端点分析功能允许 Access Gateway 检测客户端设备的配置和用户身份信息, 从而确定客户机信任级别, 并采用基于情景的策略控制, 确保对应用和资源的访问限制在适当级别例如, 当用户使用办公室 PC 或公司所属的笔记本电脑时, 即可对全部文档进行全权访问 ( 浏览本地保存和打印等 ); 如果通过未被识别的因而导致不可信任的客户机进行连接时, 其访问权限将被限定为只读 8

10 5.10 WAN 优化 Citrix Repeater TM 改善经广域网交付的应用性能 Citrix Repeater 针对分支机构用户家庭办公用户或移动用户的低下应用性能进行加速, 向这些广域网用户提供了与局域网相媲美的性能 Repeater 可将银行应用的性能提升 30 倍, 从而增强了用户生产效率, 延缓了昂贵的带宽升级, 实现了应用资源在数据中心的整合 Repeater 解决方案可为所有基于 TCP 的应用交付更高的广域网吞吐量并改善应用响应时间, 该系统是基于 AutoOptimizer 引擎创建的, 可根据应用数据和网络状况为每个数据流自动动态匹配最佳的组合性能加速技术, 如多级压缩自适应 TCP 优化和协议加速器 5.11 Citrix NetScaler TM 交付具有最高可用性安全性和最佳性能的 Web 应用 Citrix NetScaler 可优化面向内部和外部的 Web 应用交付加速性能, 提高可用性并增强安全性 Citrix NetScaler 解决方案在紧密集成的单一系统中融合了高速负载均衡内容交换先进的 4-7 层流量管理应用加速智能数据压缩动态静态内容高速缓存 SSL 加速网络优化应用性能管理以及强健可靠的应用安全性 NetScaler 保护 Web 应用免受应用层攻击, 有效防止银行和客户的宝贵数据被盗或泄漏 NetScaler 拥有的专利技术使之能够阻止非法请求和拒绝服务 (DoS) 攻击 5.12 Citrix Application Firewall TM 保护 Web 应用免受攻击 Citrix Application Firewall 可保护 Web 应用免受日益增长的应用层攻击, 包括缓冲区溢出攻击 SQL 注入企图跨站脚本攻击以及其它威胁 Application Firewall 通过保障银行机密信息和客户敏感数据的安全来提供身份防窃保护 Citrix Application Firewall 的安全技术实施基于 HTTP 行业标准和 HTML 最佳编码实践的主动安全保护模式, 偏离积极安全保护模式的 Web 应用行为被视为潜在的恶意行为并予以阻止通过识别正确的应用行为, 积极的安全保护模式并不依赖攻击特征码或模式匹配技术来检测并阻止攻击 Citrix Application Firewall 提供的是唯一经实践检验的针对未发布的攻击提供全天候保护的方案 5.13 智能电话 Citrix EasyCall TM 将通信功能整合到应用上 Citrix EasyCall 能将通信功能整合到任意应用上, 即使是虚拟化的应用采用流技术交付的应用基于 Web 的应用或本地安装的应用通过将通信功能嵌入到任何应用程序中, 从而由应用程序本身或从用户选择的电话进行呼叫 : 用户只需简单地将鼠标指向应用程序中的电话号码 EasyCall 客户端将出现的电话号码包括应用程序中的电话号码拨号框中存储的号码以及用户在其用户档案中选择的始发呼叫号码 EasyCall 网关通过选定的电话 ( 办公室电话移动电话或住宅电话等 ) 呼叫用户, 然后拨通被点击的号码 EasyCall 网关能无缝地整合新一代 VoIP 电话系统以及传统的数字 TDM 电话系统 9

11 6 Citrix 金融行业解决方案一览 6.1 银行集中开发管理平台解决方案随着很多银行产品开发部承接的 IT 开发项目的数量增加与规模扩大, 与外部公司的合作日益密切, 项目开发环境的管理更加复杂, 安全管理的要求也日益提升为此, 需要建立一个简单易用安全的集中开发管理平台, 以有效进行开发环境的规范管理, 支持可控的外部合作公司的远程开发模式, 同时保护重要数据与代码的安全, 并能对重要系统操作进行跟踪和审计功能需求 1. 集中管理 : 可将开发环境中的应用软件进行集中管理, 可以根据需要随时调整开发环境的应用部署, 简化开发人员客户端的开发环境配置及部署要求 2. 应用发布 : 具有包括各类开发工具在内的应用软件发布功能和 Web 网页发布功能, 要求支持发布的应用软件列表参见附录 3. 存储隔离 : 每个用户能建立各自的文件系统或存储空间, 相互之间不能访问但授权用户可以访问特定用户组的存储空间, 可以通过 FTP 或者其它方式获取用户存储空间的数据 4. 数据保护 : 所有的代码及业务数据只在服务器端传递, 提高系统数据访问的安全性 5. 远程接入 : 支持外部合作公司远程接入的项目开发模式, 能有效控制用户的剪贴板本地硬盘打印机端口等操作, 做到合作公司人员未经授权无法从任何渠道获取项目的代码文档和业务数据 6. 访问控制 : 对于合作公司的远程访问要求能有效控制, 包括登录时间段登录用户的监控要求能穿越防火墙 ( 能够 NET 转换 ) 访问到服务器 7. 访问日志 : 用户登录及对开发工具和应用软件的访问, 应该有日志记录操作录像 : 对于应用软件的操作需要有屏幕录像功能用户和应用可以分别控制是否需要录像, 录像时间段范围可配置能快速根据指定条件查询录像文件, 录像文件可以自动清理, 并能设置录像文件保留期限技术需求 8. 水平扩展 : 服务器端支持水平扩展, 能通过水平增加服务器来适应业务需求的扩大 9. 负载均衡 : 可根据用户访问量和资源使用情况, 动态分配到到负载量最低的服务器上可支持手动负载均衡操作 10. 本地输入法 : 用户接入要求支持中文界面, 可以使用本地输入法资源监控 : 能监控系统应用访问用户和对应资源的占用情况, 并形成报表解决方案及对应项目需求的实现总体方案构架通过 Citrix XenApp 集中部署和发布应用客户端软件, 整个的后台应用服务器架构没有变化, 客户端可以通过 XenApp 来访问集中发布的各种银行应用和开发工具其整体构架如下图所示 : 10

12 客户端软件安装在 Citrix XenApp 服务器上, 而所有访问用户使用终端设备均无需事先安装应用客户端软件客户端设备只需通过 IE 就可以运行应用系统 ( 第一次访问时会自动提示下载安装一个几兆大小的 Citrix ICA 插件 ), 多用户同时访问时, 由 XenApp 管理和运行应用客户端软件的多进程访问, 并控制向不同用户发布的权限开发网段的客户端可以直接连接 WebInterface 和 XenApp 服务器其他网段的用户, 可以通过在防火墙打开相应的 HTTP 和 ICA 协议端口来访问 XenApp 服务器同时外网远程接入所有客户端经过安全网关 Access Gateway( 可选 ) 或者第三方 VPN 接入使用 Access Gateway 可以实现 SSL 加密, 对传输的数据进行加密保护, 并且配合 XenApp 的智能访问, 可以实现用户的访问场景识别, 能够更加严格地限制用户对后台资源的访问 XenApp 可整合现有的活动目录中的用户账户来进行用户身份认证图中的文件服务器, 提供了用户的个人数据存储功能通过使用 Windows 的目录权限控制, 及文件夹重定向功能, 可以做到用户数据的安全保存及漫游访问通过 Citrix XenApp 服务器中 SmartAudit 功能, 客户端的操作不仅可以被管理员实时监控, 还可以进行屏幕录像并长期保存, 以实现行为审计对于未来非开发网段的应用的部署, 可以通过在相应的网段部署 XenApp 服务器来实现对应功能需求的实现集中管理 Citrix 的集中部署模式只将银行应用部署在数据中心, 由于客户端和服务器位于同一局域网内, 因而应用性能和安全性得到提升, 用户可以通过任意终端和任意网络进行访问数据中心, 非常方便 ; 而银行只需对局域网内的数据中心进行管理, 实现了管理维护的简化应用软件的安装及配置变化, 均可以在服务器端集中进行, 大大简化了开发环境的配置和部署应用发布 XenApp 为用户提供了基于服务器的计算模式 (Server-based Computing), 实现了虚拟化应用发布其技术核心是 ICA 协议,ICA 协议连接了运行在 XenApp 服务器上的应用进程和远端客户端设备, 通过 ICA 的 32 个虚拟通道 ( 包括鼠标键盘图像声音端口打印等等 ), 运行在中心服务器上的应用进程的输入输出数据重新定 11

13 向到远端客户端机器的输入输出设备上, 因此虽然客户端软件并没有运行在客户端设备上, 但是用户使用起来和在客户端安装运行客户端软件相比, 没有感觉任何操作上的改变 XenApp 虚拟化应用发布原理如下图所示 : 应用软件的用户界面在客户端显示 ( 可以支持非 Windows 客户端 ) 应用软件安装和运行都在服务器端网络只传递通过 Citrix 的 ICA 技术处理后的屏幕刷新和键盘敲击和鼠标移动信息 ( 带宽需求 kbs, 甚至可以是低速的拨号连接 ) 由于 ICA 协议是一种高效率的数据交换协议, 同时在中心服务器和远端终端设备之间传递的是经过压缩和加密的屏幕刷新和鼠标键盘信息, 因此每一个连接只占用十几 K 的网络带宽这种模式使得银行应用部署架构上发生变化, 从一种分布式部署变成了大集中的应用部署, 因而带来了应用访问性能及安全等各个方面的提升存储隔离通过选择 NTFS 文件系统和 Windows Server 的用户 Profile 机制, 每个用户可以有自己的存储空间利用 NTFS 的文件权限的管理机制, 用户在服务器端的私有存储空间工作目录临时文件可以被安全的管理和限制可限制用户的对其他用户数据的交叉访问也可给予特定管理员访问获取用户数据的权限同时可以通过配置 Windows Server 2003 的文件夹重定向, 将 My Documents 等目录集中重定向到集中的文件服务器, 从而保证用户不管登录到哪台服务器, 都能一致地访问其用户数据数据保护传统模式应用分布在银行的所有客户端上, 其安全要考虑各个环节 : 服务器客户机和端到端的网络 ; 其维护和安全管理范围需要涵盖银行的每一台终端设备和跨广域网段因为客户端直接访问后台时, 之间传输的数据是真实的银行应用数据, 该数据会被缓存在用户本地或在传输中被截获, 这些都是不安全因素 ; 而用户访问 XenApp 服务器时, 之间传输的是屏幕增量变化信息和鼠标键盘变化信息, 用户端无任何应用数据缓存在本地, 同时中途截获这些信息然后反推出用户真正的业务操作和数据比直接截获业务数据困难上千倍因而可以说数据总是存放在最安全的地方 XenApp 带来的最大益处是采用应用虚拟化方式阻止数据任何时候离开数据中心对于远程用户从公网访问内网,XenApp 通过严格的用户认证进行安全权限控制由于网络上传输的只是客户端的键盘鼠标动作以及显示界面的刷新部分, 业务数据和代码的并不下载到客户端本地 ; 数据缓存 Cookie 等等全部在中央受限的环境中控制 ; 另外 ICA 协议还含有多种加密技术, 保证显示界面和用户操作数据的安全传输 ; 客户端的操作感觉虽然就像在本机操作一样, 但未经权限许可, 不得擅自修改备份拷盘打印等通过应用发布的方式, 内部员工和外部合作公司的员工只能使用本岗位的应用程序, 而不能打开其他的应用软件或数据信息应用远程访问本地用户可以直接从内网访问, 外部用户需要经过防火墙, 可在两道防火墙之间的 DMZ 隔离区内放置 SSL 加密的网关设备 Access Gateway 12

14 Citrix 为用户提供了统一的安全接入手段, 一个典型的接入过程如下图所示 : 首先用户需要进行身份认证,XenApp 集成了各种身份认证手段, 包括双因素认证等, 访问用户提供用户名口令和 passcode 如下图所示 : 当用户通过认证后, 会通过加密链路进入其个人访问门户, 看到其所能访问的各个应用软件如下图所示当用户使用某一软件, 或访问某一系统, 通过 Citrix 的虚拟化服务器和口令管理, 在几秒内自动完成应用调用和登陆, 然后用户就可以如在本地一样使用所需软件和应用而管理员不仅可以方便地设置每个应用允许哪些用户的访问, 并且可以详细地记录用户对各应用的使用情况通过 Citrix 应用交付平台可以严格控制用户对应用的访问, 根据不同用户接入时的不同场景, 将有相应的接入策略与之对应, 并控制用户使用银行资源的过程和操作可控制的操作和资源访问包括 Copy/Paste 打印保存到本地, 端口的访问等应用访问控制 XenApp 不仅对访问用户的身份进行认证 ( 和 AD 集成的身份认证 ), 还可以对用户使用的访问设备进行检测 ( 需 AccessGateway 支持 ), 以提供更高级别的安全访问控制而管理员不仅可以方便地设置每个应用允许哪些用户的访问, 并且可以详细地记录用户对各应用的使用情况通过 Citrix 应用交付平台可以严格控制用户对 13

15 应用的访问, 根据不同用户对应用访问时的不同场景, 将有相应的接入策略与之对应, 并控制用户使用银行资源的过程和操作可控制的操作和资源访问包括 Copy/Paste 打印保存到本地, 端口的访问等访问日志管理员不仅可以方便地设置每个应用允许哪些用户的访问, 并且可以使用 SQL 数据库的方式, 详细地记录用户对各应用的使用情况, 可以生成各种报表, 如用户登录时间, 运行的应用等 ( 报表功能需要 XenApp 企业版或白金版支持, 高级版不含此功能 ) 操作录像操作录像可以通过 XenApp 的智能审计 (SmartAudit) 来实现 ( 该功能需要 XenApp 白金版支持 ) 通过 XenApp 服务器使用的任何应用都可以被全程监控 : 用户的操作行为及显示器上的内容变化可以通过 ICA 协议存放到磁盘上, 然后在需要的时候像看电影一样回放为有效利用资源和保护隐私,Citrix 解决方案也允许灵活定制以时间角色应用名称位置为参数的录像策略来控制录像的开始和停止而由于 ICA 协议的高效, 操作的屏幕录像记录下来并存储到文件的大小一般为 :10M/ 天 / 人其工作原理如下图所示 : 从上图可以看出集中化应用部署使得审计变得简单 : 在数据中心的 Citrix 服务器上进行软件应用安装和管理, 而不是在用户自己的电脑上用户可通过网络连接集中化应用, 并实时运行和操作, 如同本地运行一样集中化服务将所有应用处理过程和数据都集中在服务器上, 并把数据的管理严格控制在数据中心该解决方案是以安全为出发点设计的, 只有用户界面键盘敲击和鼠标操作等小量交互信息通过网络传输, 但都是经过加密处理的如果管理策略 (Policy Manager) 要求对用户的操作进行录像, 用户界面键盘敲击和鼠标操作信息被多复制一份电子拷贝, 即软件录像经过数字签名的不会被恶意破坏的完整的录像数据安全存储在独立的审计部门的文件 ( 存储 ) 服务器上, 只有数字电子证书配对成功的控制台才可以查阅浏览实时监控审计和报告功能保证了 IT 对整个业务过程的端到端透明度用户使用软件的完整过程被录像后, 即可方便的检索和审计备注 : 某些功能, 如 SmartAudit 需要 XenApp 白金版具体功能和版本要求可参见附录技术需求的实现水平扩展 Citrix XenApp 内置实现了群集功能, 在 Citrix 服务器配置中集群称之为一个 Farm, 当用业务系统规模扩大时, 可以方便地通过在 Server Farm 中添加服务器来进行水平扩展负载均衡在 XenApp 的 Server Farm 中, Data Collector 负载均衡调度服务器负责收集每一台服务器里面的一些动态信息, 如 CPU 内存等使用情况, 并与之进行交流 ; 当有应用请求时, 自动将请求转到负载最轻的服 14

16 务器上运行 Server Farm 同时提供了高可用性功能, 当单点服务器出现故障时不影响用户使用, 用户会重新连接到另外一台负载较轻的服务器上从而避免了单点故障求本地输入法 Citrix XenApp 支持使用客户端的本地输入法进一步提升了用户体验, 适应中国用户的特殊要资源监控 XenApp 的性能监控工具可以方便地监控服务器访问客户端网络等全方面的使用错误报警性能软硬件变更硬件资源情况软件使用情况以及 License 管理等等通过性能监控工具, 管理人员不仅可以追踪用户对应用软件的使用情况, 提前预知系统的性能问题, 并且保存数据, 以供分析和产生报表应用场景描述下图中, 红色箭头及编号分别表示了各种场景下, 客户端的访问方式远程接入用户 VPN AccessGateway( 可选 ) c b 开发网段 Web Interface XenApp Server Farms 文件服务器 License 服务器非开发网段用户总分行业务人员总分行管理人员 a d e SmartAudit 服务器域控制器后台应用及数据库其他网段应用文件服务器开发网段用户系统管理人员 SmartAudit XenApp Server Farms 域控制器 a b 产品部开发部及合作公司现场开发人员受控使用集中开发管理平台访问开发环境进行开发用户直接访问 Web Interface 来访问后端 XenApp 上发布的应用客户也可以使用本地安装的 ICA 客户端分行开发人员受控访问总行开发环境进行远程开发分行开发人员通过防火墙访问 Web Interface 和 XenApp 服务器防火墙上需要打开 http/https 协议和 ICA 协议相应的端口 15

17 c d e 特定合作公司专线接入开发环境受控使用集中开发管理平台进行远程开发远程用户使用 Citrix AccessGateway 或者第三方 VPN 或专线接入网络, 再访问 Web Interface 和 XenApp 服务器 Citrix AccessGateway 使用 SSL 的方式建立连接若采用第三方的 VPN, 需要开放 http/https 及 ICA 协议及对应端口开发环境机房系统管理人员受控访问各系统进行维护操作开发环境机房管理人员可通过 XenApp 服务器进行维护操作通过 SmartAuditor 功能, 操作可以被记录和监控总分行业务管理人员受控访问特定应用系统总分行业务管理人员可以跨网段访问特定应用系统应用系统所在网段部署 XenApp 服务器以安装有关应用应用可以发布到统一的 Web Interface 管理人员所在使用的客户端和 XenApp 服务器之间需要开放 http/https 及 ICA 协议及端口系统配置通过 Citrix 发布应用, 对应用的后台服务器系统没有任何改动, 只是在用户客户端和后台服务器之间增加了 Citrix 服务器群, 原先需要安装在用户 PC 机上的客户端软件现在只在 Citrix 服务器上安装一次, 多用户同时访问时,Citrix 服务器管理和运行客户端软件的多进程运行, 由运行在 Citrix 服务器上的客户端访问后台服务器,Citrix 服务器通过虚拟化技术将运算结果和用户输入输出向授权用户发布通过这样的部署结构, 最终用户访问应用的性能依赖于服务器计算能力和数据中心内部网络, 不再依赖于广域网和终端设备, 因此通过配置高性能的中心服务器, 可以使得远程用户象在局域网内一样使用应用系统 Citrix 服务器集群会自动实现负载均衡, 在 Citrix 服务器配置中集群称之为一个 Farm,Citrix 服务器的 Data Collector 负载均衡调度服务器负责收集每一台服务器里面的一些动态信息, 并与之进行交流 ; 当有应用请求时, 自动将请求转到负载最轻的服务器上运行对于网络带宽的需求, 每个用户只需要 10K~20K 的带宽就可以满足需要, 因此在我们进行网络带宽的规划时, 非常容易估算总的带宽需要, 比如 500 个并发用户时, 中心带宽需求是 :500 10K=5M 客户端配置用户的客户端设备几乎可以使用任何操作系统任何配置的硬件设备,Citrix 支持的客户端类型如下 : Windows: 32-bit: 95, 98, NT and 2000/XP/2003/Vista 16-bit: 3.1, 3.11, WFWG CE DOS: 32-bit, 16-bit Real Mode Version Macintosh: imac, 68k & PowerPC Unix: HP-UX IBM AIX Solaris Sparc Solaris x86 16

18 SunOS SGI IRIX Compaq Tru64 SCO - UnixWare, OpenServer Linux: Red Hat, Caldera, SuSE, Slackware Citrix 提供客户端三种访问方式 :Web 方式 PN 完整客户端方式和 PN Agent 方式, 其中 Web 访问时, 系统会自动检测用户是否安装 ICA 客户端插件 ( 或是否安装最新版本插件 ), 如果是第一次访问用户没有安装插件 ( 或着不是最新版本 ), 系统提示用户自动开始安装 Web 方式提供基本访问功能, 无须用户自己进行客户端配置, 而 PN 和 PN Agent 需要配置并提供了更加全面的客户端功能同时在 Citrix 的体系架构中,PDA 和智能手机是和 PC 机终端具有同样地位的访问设备, 无须额外的应用开发, 可以直接将后台各种应用直接发布到移动设备上服务器配置 Citrix 服务器说明设计 Citrix 服务器集群之前, 需要对并发访问量进行估算, 以保证 Citrix 服务器集群具备支持用户访问量的处理能力根据我们在 IBM 实验室的数据, 在模拟多个并发用户分别以简单普通高负载三种操作频率使用流行的 MS Office 2000 软件,Windows 2000/2003 Enterprise Server + Citrix XenApp Server +IBM 刀片服务器 HS20( 配有 2 路至强 DP 2.4G, 4G RAM, 一个 40G 的 IDE 硬盘, 一个 18G 转 SCSI 硬盘,2 块千兆网卡 ), 可以最多支持个并发用户再根据 Citrix 以往的成功实施经验, 由于用户一般会访问多个应用, 如果使用 (2 路至强 CPU, 4G 内存,2 个硬盘 ) 的配置建议, 每台 Citrix 服务器将能顺畅支持约 50 个并发用户 ; 如果服务器内存扩展到 8G(PAE 打开 ), 有可能支持到 100 个并发用户 ( 由于 32 位操作系统在内存访问上的限制, 所以关于扩展内存后的并发访问数, 会根据用户具体的应用类型变化 ); 如果使用 64 位操作系统, 根据我们的测试, 一台 IBM3950 配 4 个双核 CPU, 内存 32G, 可以支持 500 个 SAP GUI 的并发但是使用 64 位 Windows Server 2003 需要额外考虑应用在 64 位平台上的兼容性问题 6.2 银行图形前端系统虚拟应用集中发布解决方案背景对于银行业来说, 业务的快速响应能力是核心竞争力之一, 尤其是在当今激烈的竞争环境中, 要求业务响应随需而变由于银行业务是建立在信息化电子化的 IT 基础架构的支撑之上, 因此银行业对 IT 的响应能力也提出了越来越高的要求传统的 IT 架构不具备这样的快速响应能力, 举个例子, 如果银行决策层决定马上在某个城市或地区开一个分支机构, 涉及到 IT 系统的扩展需要考虑硬件配置网络架设终端机应用安装调试, 以及培训试运行等等直至开业,IT 的部署和实施周期在整个分支扩展过程中占了很大的比重和不可小视的成本, 其响应速度直接决定了业务扩展速度和服务质量分析整个 IT 支撑响应滞后的原因, 可以发现由于业务系统必须以软件的形式安装在业务终端上, 这导致了业务用户不得不安装和维护个人电脑和操作系统, 安装维护升级各种软件, 不断地在个人端防病毒防信息泄露, 并使得个人业务工作环境和个人电脑绑定在一起, 丧失了灵活性因此软件即服务的提出是对 IT 理念的一次革新, 如果业务系统不以软件的形式而以服务的模式提供给业务用户, 那么不仅可以省去对所有业务用户的软件维 17

19 护, 而且业务人员可以在任意位置访问和使用业务系统显然很多应用还没有达到软件即服务的要求, 如果对应用软件的改造则成本巨大因此应用虚拟化技术应运而生简单来说, 只要把传统应用软件部署在应用虚拟化平台上, 就直接升级为了面向业务用户的服务因为虚拟化应用只要在后台安装一次, 而无需将业务软件安装部署到业务用户端, 只要经过管理员的权限定义, 所有业务用户都可以使用并进行业务操作, 而所有的维护和管理工作全部在数据中心虚拟化技术不仅为银行带来了很大的资源节省和降低成本, 同时使得银行的 IT 响应能力大大提高, 真正地实现了业务的灵活多变需求分析目前, 很多银行现有的柜台系统是基于 COP 的字符操作模式和通过仿真终端软件 NLTERM 运行在 Windows 平台上两种模式并存的状况新开发的图形前端系统是基于 Windows 平台, 具有高柜低柜业务功能, 同时提供各业务部门非柜台业务人员完成参数维护用户管理权限定义和业务监督等业务需求目前行内对网络管理分为生产网段和办公网段新的图形前端系统服务器部署在生产网段内, 客户端必须通过特定的生产网段网口访问服务端各业务部门非柜台业务人员所在办公区域网络一般为办公网段, 一台办公网段的 PC 机无法通过图形前端系统在生产网段内完成业务操作此外客户端安全隐患增加, 由于 PC 机的安全漏洞较多, 因此业务数据在客户端有泄露的危险, 并且用户的业务工作环境也有受攻击和被破坏的危险而业务人员的工作环境被绑定在 PC 机上, 出现软硬件故障的时候, 业务人员只能被动地等待维护人员修复, 因此维护响应能力的不足, 直接导致了业务支撑和决策执行的响应能力的降低, 带来营业损失业务终端的维护成本也不断上升,IT 运维人员不仅要进行 PC 机进行维护, 还要对操作系统环境应用的安装配置和更新进行桌面管理和维护, 随着应用的增多, 维护工作呈上升增长趋势随着业务的发展方向越来越广, 高低柜业务的应用场景越来越多, 对前端业务系统的功能性, 安全性, 方便性的要求越来越高, 例如 : 分支机构管理和快速扩展 : 随着全球化发展, 新开业务网点的快速灵活扩张, 要求业务人员对业务系统的访问和使用简单快速灵活要求分支机构的 IT 部署工作降低到最小化, 以适应业务的快速响应和降低成本前端业务连续性 : 随着应对各种自然灾害和环境变化, 要求业务连续性能力增强, 能够快速恢复业务访问 VIP 客户管理移动柜台业务和办公 : 未来柜台业务人员在客户处采用 VPN 等方式接入前端办理业务, 要求远程访问的性能安全以及更加全面的监控和授权机制等等合作业务的互相访问 : 银行和企业间的合作外包业务日渐增多, 要求系统的互联互访更加灵活, 同时也要求对银行系统的安全保护增强因此简化客户端环境, 实施集中化部署管理和运维, 虚拟化客户端是有效解决方案建设目标集中化模式已经被银行广泛采用, 并被证明是大规模网点的最佳运算模式传统的集中化模式主要集中在高 18

20 柜业务, 基于主机系统或 UNIX 系统随着目前银行的高低柜业务融合以及字符化业务向图形化业务的升级换代, 新图形前端业务系统大规模采用 Windows 平台作为支撑平台, 因此需要解决 Windows 平台下的前端应用所面临的迫切需求因此通过在数据中心实施虚拟化前端业务系统应用集中发布平台, 达到的项目建设目标可以总结如下 : 业务人员对图形前端业务的访问更加灵活和方便 ( 业务人员的工作环境与 PC 机没有绑定关系 ) 大大降低业务 PC 机的投入和维护成本 ( 业务 PC 机无需安装维护和管理任何柜台业务软件和操作系统的桌面管理 ) 提高对前端业务的访问控制和使用权限管理前端业务系统的整体安全性提高前端业务系统的推广更加快速灵活, 缩短项目实施周期降低总拥有成本总体方案采用 Citrix 虚拟应用技术, 能够实现基于 Windows 平台的大规模应用集中部署在数据中心构筑图形前端业务系统应用的集中发布平台, 通过虚拟化技术使得所有的业务人员访问使用业务系统, 实现建设目标方案概述通过集中发布平台实现图形前端业务的集中部署模式的物理架构图如下所示 : 图形前端业务系统虚拟化应用集中发布是通过在数据中心部署虚拟应用服务器层实现, 这样所有的前端业务软件包括用户的办公环境均一次安装部署在虚拟应用服务器上, 由服务器集群实现多用户的并行计算而所有的业务 PC 机为标准设备, 不用安装和维护应用软件通过集中部署模式, 一方面使得业务终端环境简化, 业务 PC 机由于不再安装应用, 因此任意一台标准设备就可以, 使得 PC 机的维护工作量大大降低 ; 另一方面, 由于所有的应用都位于数据中心的机房, 集中管理的同时, 也大大提高了业务数据的安全性业务用户的访问方式是 : 打开浏览器输入统一的访问网址, 例如然后在出现的身份认证页面里输入自己的核心柜员用户身份, 通过后就会看到 ABC 应用的图标以及其他自己有权使用的应用图标点击 ABC 应用图标, 界面显示建立服务的连接条, 大约 10 秒钟后出现 ABC 应用的界面, 剩下的操作就和使用本地 ABC 19

21 一样业务人员使用业务应用更加灵活, 由于业务应用和客户端不再绑定, 因此如果本地 PC 机出现异常或网络中断, 业务应用并不受影响, 当用户离开座位一段时间, 但又不想结束业务操作, 可以选择断开服务, 这时用户屏幕上的 ABC 应用消失, 等用户回来后, 重新输入身份认证, 通过后刚才做了一半的业务就重新出现在屏幕上, 可以继续工作当一个用户打开业务操作后长时间不用, 系统自动释放该服务连接给别人用, 业务界面暂时消失当这个用户重新使用时, 再做身份认证后, 可以继续刚才的业务操作拓扑结构图形前端业务集中发布平台的部署对银行现有的拓扑结构没有改变, 只需要在总行数据中心的局域网内增加一组虚拟应用服务器即可其拓扑图如下所示 : 隔离区办公区已有的网络拓扑后台服务器和客户端环境没有变化, 增加的一组虚拟应用服务器位于总行机房的局域网内, 已经在运行的柜台业务不访问该服务器, 因此对于传统模式的柜台业务没有任何影响非柜面人员使用的 PC 机, 不用安装图形前端业务客户端, 而是通过访问虚拟应用服务器, 实现图形前端业务操作软件架构虚拟应用服务器上软件架构是, 在底层 Windows2003 操作系统之上安装 Citrix XenApp 虚拟应用平台, 然后在虚拟应用平台之上安装柜台客户端软件 OFFICE 软件邮件系统客户端以及用户常用的工具软件等, 业务终端机上不再安装任何业务软件, 整个软件架构如下图所示 : 20

22 业务 PC 机只是在第一次访问前端服务器时下载并安装 Citrix ICA 插件,ICA 插件和前端服务器的 XenApp 平台之间通过 ICA 协议建立连接通道, 使得 PC 机用户可以正常使用服务器上运行的图形前端客户端软件 ICA 协议连接了运行在前端服务器上的应用进程和业务 PC 机的输入输出设备, 通过 ICA 的 32 个虚拟通道 ( 分别传递各种输入输出数据如鼠标键盘图像声音端口打印等等 ), 运行在前端服务器上的应用进程的输入输出数据重新定向到远端客户端机器的输入输出设备上, 因此业务用户使用前端服务器上的柜台应用时感觉就像在使用本地模式一样 ICA 协议如下图所示 : ICA 协议可以分别针对单独的虚拟通道进行控制, 这样为用户的访问和使用带来了细粒度的控制比如如果控制用户不许通过打印机把信息打印出来, 只需要中断 ICA 连接中的打印机通道即可详细设计用户登录为了提高系统访问的安全性, 用户在通过 URL 访问到新业务系统虚拟服务门户网站后, 需要进行身份认证, 以确定该用户是否可以进入新业务系统的虚拟服务应用环境, 从而防止非法用户或其他非授权人员的访问用户名由于业务人员已经具有 6 位数字的唯一操作号, 为了简化用户身份管理, 建议采用该操作号作为用户登录门户的身份认证用户名密码授权用户首次登录门户时, 会提示用户新置密码, 该密码可以称为门户密码, 与登录 ABC 的密码 ( 称为业务密码 ) 可以一样, 也可以无关, 由用户自行设置以后该授权用户就以此密码登陆虚拟服务的门户登录后授权用户会看到 ABC 的图标, 点击 ABC 登陆新业务系统时, 仍然使用该用户原业务密码 21

23 日常流程非授权用户如果访问了虚拟服务门户, 虽然输入了 6 位操作号, 会显示拒绝访问授权用户访问虚拟服务门户, 输入 6 位操作号和门户密码后, 可以看到 ABC 等可用应用列表, 然后点击 ABC 登陆新业务系统时, 再输入 6 位操作号和业务密码输入两次用户名, 第一次是为了验证该用户是否有权使用虚拟服务环境, 第二次是登陆新业务系统用户管理虚拟应用平台会建立独立的 DC( 域控制器 ) 来统一定义用户访问服务器的权限, 该域的成员不仅有所有的虚拟应用 (XenApp) 服务器, 还有所有授权用户身份 DC 可以批量加载用户, 因此在项目实施时可以通过编辑一个 XML 文件, 该文件中包含所有授权用户操作号, 然后将该文件加载到 DC, 自动按照 6 位操作号生成用户名 DC 中可以定义用户组, 并基于用户组定义权限, 因此在日常使用过程中如果增加用户, 只需在 DC 中增加用户并指定用户组即可, 无需单独定义其权限该过程也可以通过手工也可以通过文件加载实现将身份认证独立出来的好处是, 日后可以方便地提高身份认证强度, 而无须对新业务系统进行改造虚拟应用平台支持的身份认证模式包括 : 静态口令 ( 目前的模式 ): 目前的用户名加口令, 属于低强度身份认证, 建议只在内网使用动态口令双因素认证 : 如果需要提高身份认证强度 ( 如有从公网访问的需求 ), 则建议采取双因素认证等手段应用集中发布平台经集成了大量的高强度身份认证技术, 如 RSA 令牌等等认证令牌可以硬件软件和智能卡等多种形式向用户提供令牌在发售时已经使用唯一的 128 位种子初始化 ; 内部芯片每分钟都会使用一种算法, 组合该种子与当前时间, 生成一个随机的数字作为动态密码, 从而提高用户的密码强度证书生物识别 ( 如指纹 ) 及其他高强度认证 : 应用集中发布平台预留了集成其他身份认证的接口, 如 RADIUS 认证等等, 可以方便地集成用户自由认证或第三方认证 ABC 客户端加密验证按照安全部门的规定, 新业务系统客户端需要实现一机一密的保护机制在虚拟应用服务器上, 所有用户的 ABC 客户端软件配置文件和密钥都是集中存放和管理, 由后台管理员控制, 使用人员没有控制权限因此需要在集中部署时满足每个用户的 ABC 客户端软件设备号和密钥文件的对应关系对于服务器集中部署模式, 可以为每个用户做好固定的密钥, 建立用户设备号和密钥一对一关系也可以采用更加灵活的方法是, 管理员申请一定数量的有效密钥, 放在服务器上, 供虚拟服务授权用户轮流使用外设支持银行的柜台业务系统需要操作的外设包括金卡键盘小密码键盘票据打印机宽行打印机二代身份证识别仪器, 其中连接通道为串口并口和 USB 口等在虚拟化平台上对外设的支持是通过操作系统端口重定向后, 有虚拟化访问协议 Citrix ICA 提供虚拟通道实 22

24 现集中部署模式所有的客户端软件, 如图形前端 ABC OFFICE 软件 FOXMAIL 和阅读器等, 均部署在虚拟应用服务器上, 部署方式分为三种 : 手工安装 ( 拷贝 ) 自动安装和应用流模式手工安装过程等同于该软件在客户端的安装过程, 也包括一些绿色软件无需安装拷贝就可以使用自动安装是 Citrix 虚拟应用平台提供的功能, 管理员只要在一台虚拟应用服务器上手工安装了软件, 安装管理器 (Installation Manager) 可以自动地将该软件的安装过程复制到其他服务器上, 省去了其他服务器上的手工安装工作应用流模式更加灵活, 可以实现应用软件和操作系统之间没有安装关系, 但同样可以运行该软件管理员只需要通过 Citrix 提供的流打包工具 (Profiler), 将该软件打成应用流包, 然后放置在文件服务器当服务器需要运行该应用时, 会自动从文件服务器上下载并运行应用流方式只适用于部分软件, 如果应用有底层调用的时候不建议采用针对银行的客户端集中部署模式建议是 : 标准的 Windows 应用如 Office IE 浏览器阅读器等使用应用流模式部署, 以减少后台管理维护工作量对于 ABC 客户端软件, 由于无需安装只要拷贝就可以运行, 建议采用强制 profile 模式自动拷贝, 用户登陆任意一台服务器就会从缺省模板拷贝一份 ABC 客户端软件智能场景识别从对前端业务系统的安全保护角度来看, 虽然将 ABC 客户端从 PC 机上收到虚拟应用服务器上以后提高了业务系统的安全性, 但是如果 PC 机没有安装防病毒软件或者没有打上安全漏洞补丁, 当该 PC 机访问服务器并进行业务操作时, 还是有可能会把安全隐患传染到服务器上因此, 当用户访问虚拟应用服务器时, 虚拟应用服务器应该具备识别该用户的终端设备是否满足安全要求的能力, 从而决定该终端设备能否使用柜台业务应用虚拟应用平台可以识别访问的终端设备类型, 以及是否安装了行内要求的趋势防病毒软件, 并且细化到可以识别出趋势防病毒的病毒库更新服务是否启动和有效等, 也可以识别是否安装了行内要求的 Novell 终端管理软件等出于对业务系统保护的需要, 管理者可以制定对业务系统更加严格的访问条件, 比如业务系统只能从办公室访问 ( 或某个楼层访问 ), 或者只能通过某一类终端设备访问 ( 比如某些应用只能通过瘦客户机而不能在 PC 机上用等等 ), 甚至某一类应用只允许某个时间段访问等等, 就需要具备智能访问控制针对用户访问的场景的智能分析, 包括 : 接入角色分析, 基于用户身份接入设备识别, 用户使用的是什么机器, 什么操作系统接入设备配置, 用户的设备中是否有防病毒软件服务外设等等网络位置分析, 用户来自于办公室楼层还是家中网吧其他定制的安全扫描 23

25 基于扫描结果可以决定哪些应用可以访问, 控制范围包括集中应用发布平台上发布的所有应用, 以及每个应用的操作权限如 : 是否可以访问 AB 等系统在 AB 等系统内是否可以打印从文件中粘贴复制内容上传和下载文件, 保存到本地或者文件服务器在线安全编辑 ( 内存中进行 ) 业务审计录像监控 ABC 业务操作有被监控和记录的要求, 虚拟应用发布平台的审计录像就类似柜台摄像头, 在后台服务器上直接将每个业务人员的在 ABC 系统中的图形化操作以类似录像的形式记录到文件中进行存储, 管理人员可以按照权限进行调用回放, 象看录像一样回放某业务人员的业务操作录像监控的范围包括所有在集中发布平台上发布的业务应用, 比如 ABC 系统, 但并不监控业务用户本地的私人行为并且根据策略, 可以选择用户操作前提醒其行为将被录像, 也可以选择不提醒, 直接录像等录像容量估算根据测试, 如果将一个用户连续工作一天的活动进行录像, 所占用的空间约为 20-30M 因此, 按照每天 600 个并发用户连续工作 1 个月的存储需求, 可以计算磁盘空间为 20M =360G 虚拟应用发布平台管理图形前端业务集中发布平台, 不仅实现了应用的集中部署和管理, 同时必须保证后台服务器的可靠性可扩展性和可管理性, 具体功能如下集群能力无论是用户访问, 还是后台管理员的管理对象, 都不是单台的服务器, 而是一个单一的集群否则随着应用的增多和用户数的增多, 对服务器的资源调度和管理将成为瓶颈图形前端业务集中发布平台的集群功能包括 : 在操作系统之上建立集群平台层, 管理员应用发布的设置和管理只需针对平台, 而不需一台一台服务器进行设置通过集群平台可以提高整体后台的可靠性和可扩展性通过集群平台可以有效地将工作负载进行分担, 其负载算法应根据服务器的 CPU 内存磁盘交换等多种逻辑由管理员定义组合计算集群平台可以根据用户身份进行会话重连, 以实现跨客户端设备和网络的工作漫游通过集群平台可以优化操作系统计算资源, 如控制整体 CPU 计算能力按照用户均分, 优化应用的内存消耗等, 以提高后台支持并发访问的能力应用控制 24

26 应用发布平台能够实现应用粒度的控制, 即各个应用可以在集群中独立发布, 用户可以针对单个应用独立访问例如集群中 1 至 4 号服务器发布应用 ABC,5 6 号服务器发布 FOXMAIL 及 OFFICE 工具,7 8 号服务器发布 IE 等上网工具, 这样后台的管理更加灵活,1 至 4 号服务器可以专门针对 ABC 应用进行优化, 而邮件和 IE 上网等不会影响应用 ABC 另外可以控制应用运行的位置, 如果用户使用 PC 机并在局域网内, 可以允许 OFFICE 以应用流模式下载并运行在客户端, 以节省服务器计算资源图形前端业务集中发布平台的应用控制功能包括 : 可以独立发布和访问应用, 而不依赖于桌面可以实现应用只安装一次, 就可以部署到平台服务器上, 无需在每台服务器上安装可以控制应用的运行位置, 如运行在服务器上还是运行在客户端可以控制应用在服务器上的进程数, 以防止单个用户运行大量应用耗尽后台资源可以控制应用对外设的访问, 如是否可以拷贝文件是否可以打印是否可以粘贴内容可以解决应用兼容性问题, 如将互相冲突的应用安装在同一台服务器上, 以节省服务器资源提供应用标准外设的支持以及非标准外设的集成接口带宽控制由于应用集中运行时, 会话会持续消耗网络带宽, 因此带宽控制能力, 是后台支持并发能力的一个重要指标图形前端业务集中发布平台的带宽控制能力包括 : 每用户消耗带宽应尽可能低, 例如 10K-20K 控制带宽的消耗, 如设定每用户消耗带宽的最大值能够细粒度控制传输数据对带宽的消耗, 如分别控制打印数据磁盘文件拷贝声音数据等对带宽消耗的最大值提供网络硬件加速方案, 实现诸如压缩缓存和 TCP/CIFS 等协议优化, 以进一步节省带宽, 从而提高用户在有限带宽下的应用体验终端访问控制由于用户的访问终端和环境各异, 例如终端设备和 PC 机共存, 而 PC 机的安全隐患较多, 因此需要针对用户的访问进行识别和权限控制图形前端业务集中发布平台的访问控制能力包括 : 能够识别用户访问的终端设备类型能够通过策略设置, 即使相同的客户如果通过不同的终端设备访问到的应用不同, 例如某些应用只有图形终端能用,PC 机不能用等能够通过策略设置, 即使相同的应用如果通过不同的终端设备或网络环境访问时使用的外设不同, 例如在办公室可以打印, 办公室外不许打印能够设别终端设备是否满足安全条件, 比如是否安装防病毒软件等, 如果安装了才可以使用某些应用, 后者才可以使用某些外设等 25

27 可视化监控对服务器和客户端用户的使用进行监控, 并提供可视化监控界面和报表, 是集中应用发布平台的必备功能, 因为用户业务运行的压力全部在服务器上, 用户的使用和后台服务器状态操作系统报错网络状况密切相关, 能否全面监控和管理, 是所有用户正常使用的保证图形前端业务集中发布平台的访问控制能力包括 : 提供平台健康状况监控的可视化仪表盘自动收集所有服务器的系统事件报警和错误并统一通知管理员提供相关的数据钻取帮助管理员定位用户问题提供用户远程访问会话信息记录提供用户体验记录, 包括会话内部的事件记录 ( 如连接过程加载驱动加载配置文件的详细过程和时间记录 ) 提供系统管理的统计报表, 如用户访问统计资源消耗情况网络延时统计系统出错统计等提供用户的远程工作监控和接管总体配置图 32 位系统一般最大能使用的内存为 8G(2G 内核空间,6G 用户空间 ), 通过虚拟服务器技术可以将 64G 内存服务器虚拟成 8 个 8G 的 32 位系统因此将每一台物理服务器上的虚拟服务器分配为 :DC(1G) 一台,WEB(1G) 一台,SQL/FILE(2G) 一台,XenApp 服务器 (8G)7 台, 如下图所示 : 其中 XenApp 服务器自己通过集群实现负载均衡,Citrix 集群称为 Farm, 每个 Farm 中的 Data Collector 负载均衡调度服务器负责收集每一台服务器里面的一些动态信息, 并与之进行交流 ; 当有应用请求时, 自动将请求转到负载最轻的 XenApp 服务器上运行 26

28 6.3 银行文档和源代码集中管理以及桌面虚拟化解决方案开发中心集中的文档和源代码管理系统的解决方案可以分为以下几个构成 : 银行的文档管理平台, 实现文档的集中存储和管理集中的源代码管理系统, 实现源代码的管理和控制通过集中部署的虚拟化应用, 实现安全集中的应用和文档访问安全的, 集中部署的虚拟桌面构架, 以支持开发平台的各种开发工具的集中部署和运行解决方案整体逻辑架构如下图所示 : 银行的文档管理平台对于统一的存储, 可以建立集中的文件服务器, 利用 Windows 文件服务及其内建的访问控制和磁盘配额功能, 实现基本的文件集中存储和分类管理进一步可以利用 Microsoft Office Sharepoint Server 来进一步提供基于 Web 的全面银行文档管理平台集中部署的虚拟化应用, 实现安全集中的应用和文档访问要对文档访问进行有效地安全控制, 需要首先将数据访问客户端集中部署, 然后通过权限控制发布给指定用户使用, 这样任何用户通过集中发布的文档访问操作就可以被有效地管理和记录通过 Citrix XenApp 服务器集中部署和发布文档阅读和编辑客户端软件, 如 MS Office, 最终用户可以使用习惯的客户端对集中存放的文档进行访问和操作, 就象平时在本机客户端操作一样, 但是其访问权限, 打印拷贝下载等操作权限都能够进行有效地控制 Citrix 安全的集中部署的虚拟桌面架构解决方案虚拟应用已经可以支持很大一部分开发工具的集中部署和发布, 但是对于一些需要系统级权限和操作和 Windows Server 平台的多用户环境不兼容的应用, 可以使用集中部署的 Windows XP/Vista 虚拟机来搭建开发平台 Citrix 虚拟桌面解决方案能够为开发中心的用户提供安全的桌面开发环境 27

29 6.3.4 开发中心虚拟桌面解决方案为了保证研发设计代码的安全性, 建议采用 Citrix XenDesktop 桌面交付技术来应对以上的挑战 Citrix 桌面交付技术可以在数据中心集中化管理桌面, 还可轻松实现安全防护及备份然而, 经常出现的同一生命周期管理问题依然存在 IT 部门仍需对每个虚拟桌面镜像及其所安装的应用程序和用户设置进行管理维护和更新另外, 桌面虚拟化还会带来新的挑战尤其是会使用户的网络性能大大降低, 使每位用户的桌面镜像网络存储成本大大增加 Citrix XenDesktop 桌面交付技术超越桌面虚拟化, 可提供一种端到端的桌面交付解决方案 XenDesktop 可动态按需产生虚拟桌面, 用户每次登录时都能获得一个干净的个性化的全新桌面从而确保性能不会下降此外,XenDesktop 采用的高速交付协议还可在任何网络条件下提供无与伦比的响应速度对于 IT 机构而言, XenDesktop 可通过分别交付桌面操作系统应用软件和用户个人配置文件, 大大简化桌面生命周期管理并显著降低拥有成本 Citrix 桌面虚拟化服务器包含如下组件 : Citrix Desktop Delivery Controller 服务器 : 以下简称 Citrix DDC 服务器, 对用户的登录请求进行认证, 授权用户可使用某一个用户桌面 Citrix Provisioning Server: 将用户的操作系统应用软件个人配置文件分离, 采用流技术, 将用户桌面按需提交到用户 Provisioning Server 节省了 IT 管理人员的时间和金钱, 并减少部署服务器补丁更新和升级时的失误当需要打补丁或进行升级时,Provisioning Server 的功能使 IT 能够复制现有的虚拟工作负载镜像, 进行必要的更改, 并使所有关联的服务器都能在重新启动时随之发生变化如果出现问题, 可以回退到以前产生的镜像, 仅需简单重新启动并回流到以前产生的镜像 Citrix 桌面交付实现方式如下 : 员工利用现有计算机, 以 Web 或客户端方式登录 Citrix DDC 服务器, 节约当前用户计算机的投资 Citrix DDC 服务器提交认证请求到后台域控制器认证成功后, 工作站按需从 Citrix Provisioning 服务器获取标准 Windows 桌面应用软件用户个性配置文件用户个性配置文件及新建的设计图纸等文档, 都集中存放于网络存储中, 简化文件的管理 ; 标准 Windows 桌面映像只需要一份, 同时提供给所有用户使用, 这可节约大量的存储空间 Citrix DDC 服务器通过 ICA 协议提交工作站上的桌面到最终用户, 用户就像使用本地计算机一样方便 28

30 用户与 Citrix DDC 服务器之间的会话采用 ICA 协议, 只传输屏幕信息键盘鼠标指令等, 只占用少量的网络带宽整体示意如下 : Citrix 桌面交付主要特性及优点卓越的用户体验按需桌面 : 用户每次登录时都会动态产生一个虚拟桌面, 从而确保性能不会降低 SpeedScreen : 任何网络条件下都能提供最快速的桌面性能快速开机 : 数秒内便能访问虚拟桌面通用打印机驱动 : 为用户提供快速一致的打印体验, 对于 IT 部门而言可简化打印机管理和支持 EasyCall: 实现简单的点击呼叫语音通信简单的桌面置备和管理桌面镜像管理 : 使 IT 可以通过一个单一镜像集中化管理多个虚拟桌面按需镜像置备 : 创建或取消置备虚拟桌面, 不仅优化资源利用, 而且用户每次登录时都能获得一个干净的操作系统桌面存储优化 : 使数百个虚拟桌面可以从一个单一桌面镜像启动, 从而减少桌面镜像蔓延, 可节省高达 90% 的存储费用虚拟机基础架构 : 提供一种基于准虚拟化的 64 位系统管理程序, 实现虚拟桌面集中存管的可扩展性和经济实惠性可靠的桌面访问管理桌面分配 : 为用户群创建虚拟桌面池, 或为特定用户提供个性化桌面会话管理 : 虚拟桌面连接和会话状态会话可靠性 : 确保用户即使通过高延时或低带宽的网络连接也可继续工作高可用性 / 故障恢复 : 在避免产生单点故障的情况下让用户能够访问其虚拟桌面安全远程访问 : 使远程工作人员和加班人员能够采用其它设备从公司防火墙之外的地点访问其虚拟桌面桌面优化和支持 29

31 桌面性能监测 : 通过对实时和历史监测数据进行跟踪, 主动确保用户始终获得最佳的性能 WAN 优化 : 采用服务质量 (QoS) 机制来提升广域网 (WAN) 性能桌面支持 : 使技术支持人员能够查看用户屏幕开展对话传输文件, 从而快速解决问题广泛的桌面交付生态系统桌面设备 : 新型终端设备可提供最佳的用户体验和立即可用的互操作性支持广泛的系统管理程序 : 提供与思杰微软和 VMware 等任何 VM 基础架构的互操作性和集成能力支持刀片 PC: 采用基于刀片 PC 的虚拟桌面, 为用户提供高性能的专用计算资源支持异构客户端 : 使用户在终端设备选择上具有更大的灵活性, 支持 Windows Linux Mac 和智能手机等操作系统 Citrix Ready 产品 : 确保与桌面设备服务器存储和管理软件的互操作性业务系统的发布针对各种应用客户端软件不同类型的发布方法不同 : 1. B/S 应用, 直接在管理控制台上发布 IE 浏览器, 设置业务系统的访问 URL 地址, 可以对 IE 进行定制以增强其安全性 ( 如隐藏地址栏, 禁止用户访问其他地址等 ) 2. C/S 应用如果无须安装, 直接拷贝到服务器, 发布其可执行文件 3. C/S 应用如果需要安装, 在服务器上安装后, 发布其可执行文件 4. C/S 应用如果需要额外安装数据库中间件等, 正常情况安装后可以运行, 则发布软件的可执行程序即可当多个软件需要的环境冲突时, 如需要数据库客户端的不同版本,Citrix 平台提供了应用隔离和流技术, 先将该软件和数据库安装在 AIE 中, 或者打成 Streaming 包, 再在管理控制台上发布即可桌面和应用集中发布平台的优势集中发布高效管理 : 通过 XenApp 将所有客户端软件部署在银行数据中心,IT 部门管理员日常工作只需要管理数据中心的几台 XenApp 服务器, 就可以管理和控制所有使用者对应用的访问 ; 明确各使用者的权限, 系统管理员或决策者有权单点控制整个系统的进程资源状态等, 并且通过 XenApp 的智能审计进行用户操作录像, 可以有效记录和控制应用软件的进行快速部署缩短项目周期 : 由于应用系统客户端现在只需安装在 Citrix XenApp 服务器上, 因此一系列的远程客户端安装配置调试工作得到简化, 原来需要一两个月跑来跑去重复进行的工作, 现在只需一两个星期甚至几天的时间就能完成 ; 99% 的项目工作全部在银行总部完成, 没有任何风险极大减少客户端的维护 : 由于下面的员工或是合作伙伴供应商等, 并没有实质性接触到应用的升级维护故障处理, 维护工作就 30

32 由面缩小到点, 尤其是地域分布较广的用户, 将深深体会到原来繁重的维护工作量变得简单轻松企业原来花费在 IT 远程维护的时间大致占用 30%~50%, 甚至更多 ; 现在通过 Citrix 部署, 这部分时间完全可以节约下来用获取最大的 IT 投资回报 : ICA 客户端软件对硬件要求低, 即使一台 386 也能通过 ICA 去运行各种应用在 Citrix 解决方案中, 客户端的使用周期延长了 3~4 倍通过 Citrix XenApp 部署, 网络带宽要求大大减少 ; 用户可以节约大量专线租用成本, 成倍降低 IT 部门维护费高效利用网络带宽 :Citrix ICA 平均带宽消耗 10~20Kbps/ 并发访问 ICA 协议的一个显著特点就是尽力减少网络传输量, 即使在低带宽下也能达到满意的性能平均 10~20Kbps 带宽, 很多客户端用户利用电话拨号 Internet 就能实现远程应用, 节约了大量的专线成本, 提高了系统处理效率系统安全性工作效率高, 通过策略灵活控制访问由于网络上传输的只是客户端的键盘鼠标动作以及显示界面的刷新部分, 没有任何数据传递 ; 数据缓存 Cookie 等等全部在中央受限的环境中控制 ; 另外 ICA 协议还含有多种加密技术 ; 客户端的操作感觉虽然就像在本机操作一样, 但未经权限许可, 不得擅自修改备份拷盘打印等通过应用发布的方式, 员工只能使用本岗位的应用程序, 而不能打开其他的应用软件或数据信息支持跨平台混合环境 : 支持的客户端类型 >20 种任何设备都可以访问各种基于 Windows DOS UNIX Linux 的 PC Macintosh 机手持电脑 (HP Jornada Compaq Cseries) OS2 Windows 终端 ( 如四通协同网络计算机 ) 机顶盒设备(BocaVision STB121) 以及无线设备 (Pocket PC PDA) 等, 都能够应用于 Citrix 方案, 访问到 Windows 或 UNIX 系统下的各种应用程序轻松实现基于 Web 的发布和访问 : 应用 C/S 架构 B/S 架构只需 1 分钟能够把应用程序直接嵌入到用户的 Web 页面上, 而不需重新编写一行程序代码, 是通过浏览器运行应用程序的最佳解决方案, 既承袭了 C/S ( Client/Server ) 结构的软件资源和用户经验, 又进一步发挥了 B/S (Browser/Server) 结构的集中控管优势基于 Internet 的架构和技术,Citrix 拓展了更广泛的技术范畴保证无间断的商务运作 : 保证关键业务随时随地都可以被远程访问 Citrix 通过保护关键的信息和应用, 提供对业务资源的互联网门户接入, 终端用户不用等待所有网络功能或办公设施的恢复, 只要有能够上网的设备, 就能照常使用关键应用程序进行关键业务的处理, 从容应对各种人为或意外的灾难或中断倡导系统总体拥有成本的理念 : 一次性投资, 终生回报银行信息化系统的成本计算应该与周期挂钩, 因为很多费用往往发生在后期的维护与追加投入上, 经过验证, 采用应用 + Citrix 整体解决方案的系统, 在一年的时间里能够比原来的系统节省 20%~40%, 随着时间的延续, 这种比例将会越来越大节约下来的成本用于银行对新技术的投资, 符合银行不断增长的业务发展 31

33 6.4 银行办公网统一对外访问解决方案需求分析很多银行现有的办公网络中有大量可访问互联网的客户端, 如 PC, 笔记本等当互联网上安全威胁日益严重的今天, 如何既能保障银行网络的安全, 又能使最终用户能安全便捷地访问互联网信息, 是 IT 部门必须解决的问题同时, 随着银行 IT 网络安全建设的加强, 银行内网的安全分区也越来越多, 越来越细如何能安全地可控地访问位于不同安全网络分区内的应用, 也是 IT 部门必须考虑的问题综合起来, 其需求可以归纳为 : 1. 让内网的终端用户可以方便高效地访问安全隔离的其他网段的资源和应用, 如互联网 2. 可以使用诸如浏览器, 邮件客户端, 即时消息等常用的互联网应用, 访问互联网资源 3. 可以使用 Office 等常用软件对互联网获得的文档和发往外部的文档进察看和编辑等操作 4. 访问互联网时, 能保证互联网与银行网络的隔离, 以保证互联网上的病毒木马等安全威胁无法影响银行内网的终端 5. 能有效地对整个平台及用户进行集中的管理监控和审计传统的解决方案是通过访问权限控制防火墙入侵检测防病毒软件及行为审计等技术手段, 对用户的上网进行控制, 并对来自互联网的诸如病毒木马等各种安全威胁进行检测和消除但是这样的解决手段不但实施复杂, 管理成本高, 其效果也不尽如人意大量的银行, 尽管实施了种种的技术手段, 但是仍旧无法从根本上解决隐患另一种解决方法是严格地将内外网隔离, 但这样限制了员工访问访问互联网信息的能力对于很多业务上必须访问互联网的员工, 这会严重影响业务, 也是无法接受的 Citirx 解决方案总体架构 Citrix 的解决方案从体系架构上改变了这一切解决方案采用集中式互联网访问平台的模式, 通过基于应用虚拟化的应用程序交付平台, 将互联网的各种应用集中地部署在一个统一的受控的安全分区, 然后通过 Citrix 的应用交付技术, 将应用安全地交付到银行内部客户端从而, 既实现了互联网应用的访问, 又从根本上控制和断绝了内网客户端和互联网的数据交互, 从而保证了内部网络的安全通过 Citrix 的应用程序发布平台, 集中部署和发布各种互联网客户端和软件 ( 如 IE,MSN Messenger), 这些应用无需作任何修改整体构架上增加了 Citrix XenApp 服务器群组 IE,MSN 等应用集中安装在 XenApp 服务器上, 而不是最终用户的 PC 上而 Citrix XenApp 服务器部署在可访问互联网的单独的安全分区中, 从而保证互联网访问平台与银行内部网络的隔离和安全分区其整体构架如下图所示 : 32

34 而所有用户使用经 XenApp 发布的互联网应用, 无需安装应用的客户端软件用户可以通过瘦客户端, 或者 PC 上的浏览器等等, 就可以使用发布的 IE msn 等互联网应用 ( 浏览器第一次访问时会自动提示下载安装一个几兆大小的 Citrix ICA 插件 ) 多用户同时访问时, 由 XenApp 管理和运行应用客户端软件的多进程访问, 并控制向不同用户发布的权限同时所有客户端和 XenApp 服务器之间传输的数据都进行了加密保护, 并且配合 XenApp 的智能访问, 可以实现用户的访问场景识别, 能够更加严格地限制用户对网络的访问平台还提供了强大的监控和审计功能, 客户端的操作不仅可以被管理员实时监控, 还可以进行屏幕录像并长期保存, 以实现行为审计 6.5 银行卡应用统一发布管理平台方案需求分析一直以来, 在某些银行信用卡部的全国直销办是卡中心 IT 管理的盲区网络安全问题全国直销办地处全国各地, 无专门的 IT 管理员负责当地的网络安全, 网络设备可以说直接暴露在外面, 如不采取措施任何人都可以将一台电脑连入卡中心的网络扫描卡中心的网段尝试登陆卡中心的各类服务器, 严重威胁到卡中心的信息安全与此同时, 全国直销办都是通过 ADSL 拨号接入卡中心网络, 在信息的传送过程中, 已采取了 VPN 通讯隧道加密技术, 但如果在此基础上再建立加密的 ICA 隧道, 安全性就有了双重保障直销办信息安全问题直销办人员流动频繁, 素质参次不齐,PC 操作员安全意识不强, 离开电脑没有锁屏, USB 端口开放, 任何人都可以将 U 盘插入到 PC 操作员的电脑中拷贝重要的用户资料所有的 PC 客户机操作员都拥有管理员权限, 存在客户信息有意 ( 人为 ) 或无意 ( 电脑感染黑客病毒 ) 地将通过总行的代理上网服务器被泄露出去的风险信息录入员打印出自己编制的客户信息清单以供校对, 存在打印效果不好的涉密文件被扔入废纸篓的风险部门间打印文件的交接都是手工操作, 如一方保管不当也很容易造成客户信息遗失纸质客户信息的编制打印传递保管存档也不可避免地存在客户信息可能被泄露的风险直销员用自己相机拍摄的用户影像资料在交给主任管理员前, 任何人都无法保证直销员是否会把 SD/CF 可借用给别人或自己留一份备份, 在这种情况下客户信息基本处于失控的境地, 所有的行政手段或业务规程在这些安全隐患面前显得苍白无力, 无法达到有效的防控目的工作效率问题全国直销办事处由于历史原因一直处于卡中心内部局域网管理之外, 与卡中心的联系一直以来都是通过邮寄或传真的方式进行, 存在严重的信息滞后问题, 长期以来制约着卡类营销工作的开展所有用户信息的获取还是要靠卡中心业务部门提供, 给业务开展造成极大的不便, 工作效率大打折扣最主要的原因是许多客户 33

35 信息需要到生产系统平台上获取, 利用以往的 IT 技术不能进行生产办公网段的安全隔离, 而采用 Citrix 产品可以很好地同时解决业务需求和两网安全隔离问题 Citrix 解决方案链路安全 : 通过在 VPN 远程加密接入的基础上建立客户机与应用发布服务器独立的 ICA 加密通讯隧道, 保证了直销办与卡中心数据通讯间的信息安全双网隔离 :Citrix 产品利用防火墙技术, 在生产网段 Citrix 服务器与办公网段某个指定的 VLAN 间开放特定的 80,443( 加密端口 ),1494,2598, 四个端口, 即满足了用户跨网段的应用需求, 又阻断了其他形式的未授权访问数据安全 : 采用 Citrix 技术后, 所有用户信息均保存在卡中心的 NETAPP 存储上, 本地 PC 可以不保存任何客户数据, 从而在数据存储方面杜绝了信息的泄露可能通讯优化 :WLAN 接入方式与 LAN 接入方式技术模式完全两样, 链路带宽也天差地别,Citrix 产品的优势就是在低带宽 ( 通常界定为 1M 以下 ) 的模式下获得最好的用户操作体验, 提高了直销办人员的工作效率举例 : 以一个直销办 20 人为例, 并发运行 Citrix 服务器发布的 WORK2003 程序, 每个并发占用 16K~20K 的带宽, 由于打字屏幕变化不大, 实际情况可能是 16K 都不到, 而一旦用户端做全屏刷新, 则每个连接有可能达到 20K 左右, 经过简单的计算不难得出以下结论 :20 个并发应用占用 400K 的带宽, 在 512K 通讯带宽条件下可以满足用户的操作体验高可用性 : 利用 Citrix 负载均衡技术可以动态均衡地将接入用户分派到不同的后台 Citrix 应用发布服务器上, 即使用户与后台 Citrix 服务器的连接发生短暂的中断, 当用户连接重新建立后原有编辑的文档或打开的画面依旧存在, 不致于让用户重新来过这对 Citrix 应用发布服务器下线维护是很有帮助的 6.6 银行内网系统安全远程登录解决方案用户现状及面临的挑战原有的内网应用通过 Citrix XenApp 发布到公网, 需要更安全的远程访问方式保障安全由于客户端对于 XenApp 的访问通过 Citrix 私有协议 ICA, 其他的 SSLVPN 产品不识别 ICA 协议, 因此如果使用其他品牌的 SSLVPN 设备, 必须安装 SSLVPN 客户端, 通过打通 SSLVPN 网络通道跟内网的 XenApp 服务器交互, 不符合他们的设计初衷不能实现 SSLVPN 和 XenApp 的单点登录功能由于需要使用客户端证书 +AD 认证的双因素认证, 需要多次输入 PIN 码和 AD 用户名密码针对以上问题, 客户需要 : 使用 SSLVPN 设备作为安全的远程访问方式实现客户端证书 +AD 的双因素认证方式对于只访问 XenApp 的用户实现 SSLVPN+XenApp 的单点登录, 避免多次输入 PIN 码和 AD 认证用户名和密码 34

36 对于只访问 XenApp 的用户, 无需安装 SSLVPN 客户端 Citrix 解决方案示例拓扑图如图所示 : 两台 Netscaler AGEE 的 SSLVPN 设备放在防火墙的 DMZ 区, 提供 HTTPS 的远程访问接口特色技术描述 Citrix Netscaler AGEE 集成了 ICA 协议, 可以作为 ICA 的 Proxy, 实现 AGEE 和 XenApp 的单点登录功能, 无需多次输入用户名密码或证书 PIN 码同时, 由于 AGEE 集成 ICA 协议, 可以直接和 XenApp 交互, 无需打通 SSLVPN 网络通道, 因此客户端无需安装 AGEE 客户端软件, 减少 SSLVPN 客户端的维护工作独特的 Policy Engine 可以方便各种授权等权限和功能设置菜单式选择策略方式友好方便, 且设置粒度精细 35

37 6.6.4 主要效益保证内网应用的远程安全访问单点登录方便快捷, 提高使用者工作效率和良好体验免 SSLVPN 客户端安装减少维护工作量和成本提高客户的投资回报率 6.7 商业银行分支机构快速扩张和部署解决方案背景目前, 很多商业银行正致力于跨区域发展这些银行积极推进管理创新和金融技术创新, 努力打造公司银行零售公司个人银行信用卡金融市场五大利润中心, 实现利润来源多元化随着银行网点的快速扩张, 及各项业务的开展, 业务需求对 IT 应用和 IT 基础构架的要求也越来越高不但要求 IT 系统的各应用能够快速满足各种新业务的要求, 对于网络安全管理等基础构架也带来了更高的要求和更大的压力而且, 由于银行的快速扩张,IT 部门的人手也严重不足, 进一步加剧了矛盾所以需要有一个系统的解决方案, 帮助这些银行的 IT 部门来应对这一系列挑战需求为了应对这些挑战, 银行的 IT 构架需要解决以下几个关键的问题 : 支持分支机构快速扩张的基础构架因为短期内分支机构的快速扩张, 需要有一套 IT 构架, 能够适应这样速度的扩张能够在最短时间内, 快速建立新的分支机构的 IT 环境的部署同时系统要能够有良好的可扩展性来支持日益增长的系统容量解决终端和应用的管理和安全问题由于存在大量的分支机构, 终端网点的客户端的安全和管理问题的矛盾也越来越突出由于网点终端分散于各个网点, 加上网点的 IT 管理力量薄弱, 对于这些终端的维护和管理的挑战性十分大采用传统的 PC+ 本地安装客户端模式, 初始安装和配置需要大量的工作量日后的应用升级维护, 往 36

38 往需要 IT 管理人员访问现场, 其速度和成本也非常高同时, 如何保证这些分散的客户端的安全也是需要重点考虑的问题在生产网络中, 任何一台受到病毒或木马感染的客户端, 都可能直接影响到整个网点, 乃至整个生产网络的正常生产同时, 如何保护重要应用中的敏感信息的保密, 也是需要着重考虑的问题跨安全分区访问业务应用由于银行网络安全要求的特殊性, 其网络往往划分为多个相互隔离的安全分区, 如办公网, 开发网, 生产网等多个安全分区之间用防火墙互相隔离但是由于不少业务应用, 需要跨安全分区进行访问, 这就需要在防火墙上打开相应的端口由于应用对通信和端口的要求千变万化, 而且随着应用的构架变化和版本升级, 往往防火墙规则也需要做相应修改这样不但增加了管理负担, 而且也带来了一定的安全隐患分支机构访问应用的速度问题对于分支机构, 不但存在终端和应用的管理问题, 应用的访问速度也是用户十分关注的指标由于银行的应用绝大部分采用集中的后端, 及越来越多使用 B/S 构架, 其操作响应速度往往不够理想这就要求新的解决方案能够很好地优化分支机构的用户对各种应用的访问和响应速度安全的开发环境银行的开发部门由于银行的业务特殊性, 对开发环境和文档管理环境的安全性要求较高而由于银行业务的飞速拓展, 银行开发项目中, 往往还会牵涉到很多第三方公司和外包项目这对开发系统的安全构成了极大的挑战需要有一套环境, 能够让开发项目的员工及外包员工, 能够在受控环境下, 进行相关应用的开发和调试, 同时能有效保护应用代码及银行数据的安全要应对以上的这些挑战, 采用传统的 PC 机加管理软件的方式, 不能完全有效地解决这些矛盾通过 Citrix 应用交付中心的解决方案, 是客户端系统和应用管理方式的变革, 能从另一种思路来解决这些安全和管理的问题, 达到传统方式无法达到的理想效果以此使银行的客户端和应用管理水平迈上一个新的台阶, 能适应银行业务快速拓展的需要问题分析银行终端和应用的安全和管理的挑战是使用传统计算模式情况下, 非常普遍的问题由于 PC 的特点,PC 终端的安全和管理一直是业界困扰的问题传统模式的弊端下图是传统的计算模式构架图 : 从传统构架来看, 有这样几个特点 : 1. 客户端需要在终端部署, 初期安装以及后期维护工作量巨大维护成本高 2. 由于应用客户端直接部署与终端, 业务数据会直接在数据中心到网点的网络中进行传输 37

39 3. 由此, 为了满足传输的安全, 必须对传输的数据进行加密, 以防被截获加密一般通过应用本身的设计或者使用专门的网络层的加密设备, 如 VPN 等来实现 4. 此外, 大部分应用还会将数据缓存与客户端的本地在本地的数据也需要加密和访问控制, 才能保证数据的安全 5. 要实现从传输过程, 到本地数据的安全和保密, 对应用的要求很高很多应用并没有对数据的安全性作很好的考量改造应用, 或者通过其他产品来实现加密等, 实现非常困难, 安全漏洞很多 6. 应用直接部署于客户端, 也使应用客户端本身暴露于分析扫描反向工程破解等等各种安全攻击的威胁下 7. 对于跨安全分区的应用, 每个应用, 都需要分别配置防火墙上的策略打开过多的地址和端口, 也对安全造成一定的影响同时, 一旦应用服务器的部署有所变化, 也需要对策略作相应的调整, 非常不灵活 8. 由于很多应用没有对远程网络访问进行优化, 导致应用访问速度非常不理想客户体验差, 影响工作效率综合起来看, 传统模式由于其分散的本质, 及客户端应用和数据直接存于远程的终端之上, 管理复杂, 要保证其安全十分困难其面临的安全攻击面较高传统解决方案必须从传输, 保存, 端点及运行环境等各个环节都保证安全, 所以有了防火墙, 终端管理软件终端防病毒软件入侵检测网络加密设备等等各种解决方案和产品其实现安全的代价高, 效果往往仍不理想所以, 一味地从传统方案入手, 而不改变其构架, 问题隐患并没有从根本上得到解决 Citrix 模式带来的变化我们来看一看 Citrix 的方式, 如何通过改变整体的计算构架, 来使整个问题的解决变得简单化 Citrix 模式的核心是 : 1. 在数据中心集中部署应用客户端 2. 使用桌面 / 应用虚拟化技术, 使集中部署的应用能在各网点的 PC 和瘦客户端上使用下图是使用 Citrix 模式带来的变化 38

40 从 Citrix 的模式, 可以看到有以下几个变化及特点 : 1. 应用客户端集中部署于位于数据中心的 Citrix 服务器上终端设备上无需部署应用由此, 可以实现应用管理的集中化, 大大减轻分支机构终端和应用的维护压力 2. 由于应用客户端不在终端直接部署, 在终端对应用客户端进行扫描破解反向工程等攻击基本不可能 3. 由于应用客户端在数据中心, 所以原始业务数据的传输也只在数据中心的范围内数据中心的网络安全性一般能有保障 4. 在数据中心到终端网点的网络中传输的是经过 Citrix 协议加密的屏幕刷新和键盘鼠标操作等信息该数据很难被截获破解, 即使被截获破解以后, 其提供的信息也十分有限能十分好的保护原始数据信息 5. 应用客户端的本地数据存储实际存于数据中心的服务器, 其安全性也能得到保证 6. 由于客户端集中部署于数据中心, 其与后台应用服务器之间的连接速度良好, 从而, 使应用的反应速度有所保证而从 Citrix 服务器至用户客户端, 使用的 ICA 协议, 对于各种网络环境, 特别是低带宽高延时的网络有良好的优化从而使远程的分支机构, 访问应用的速度和用户体验大大增强 7. 对于需要跨安全分区访问的应用, 以往, 不同的应用需要开放不同的 IP 地址段和端口, 现在, 只需要配置从客户端至 Citrix 服务器的策略即可即使应用改变, 也无须改变防火墙策略总结来说, 由于传统模式客户端直接访问后台时, 之间传输的数据是真实的银行应用数据, 该数据会被缓存在用户本地或在传输中被截获, 这些都是不安全因素 ; 而用户访问 XenApp 服务器时, 之间传输的是屏幕增量变化信息和鼠标键盘变化信息, 用户端无任何应用数据缓存在本地, 同时中途截获这些信息然后反推出用户真正的业务操作和数据比直接截获业务数据困难上千倍因而可以说是用 Citrix XenApp 平台后, 数据总是存放在最安全的地方 XenApp 带来的最大益处是采用应用虚拟化方式阻止数据任何时候离开数据中心由于其集中的构架, 带来的安全的优势十分明显解决方案整体构架解决方案整体构架根据银行的需求, 建议采用 Citrix XenApp 来构架一个集中的应用发布平台通过使用集中计算的构架模式, 来面对安全和管理等问题下图所示为解决方案的整体构架示意图 : 39

41 其构架特点 : 1. 前端用户使用瘦客户端, 或普通 PC 等设备, 通过访问 Citrix 统一的应用发布平台, 来运行特定生产应用及 OA 系统 2. 这些应用的客户端统一安装于 Citrix XenApp 平台, 实现统一的安装和管理 3. 经发布的应用无需在前端客户端部署和维护 4. 数据中心到客户端的通信是加密的, 敏感信息只存放在数据中心, 不存与客户端上 5. 使用 AD 来实现统一的用户认证和授权 6. 后台的应用构架不变, 无需对现有应用进行改变经 Citrix 平台发布的主要应用 : 开发平台源代码管理系统 OA 系统信用卡业务部各常用业务系统国际业务部常用系统个人征信系统反洗钱核查系统第二代身份证核查系统等等 Citrix 方案总结总结来说, 通过 Citrix 应用交付中心解决方案, 为银行建立了一个可以集中, 安全发布各类应用的平台通过该平台, 建立起了一个安全高效的应用交付基础构架通过该构架, 可以有效解决了银行以下几大类问题 : 一个可以有效支持分支机构快速扩张的应用交付基础构架大大提高分布式应用的数据和网络安全, 特别是在分支机构的数据安全大大简化需跨安全分区访问的应用的部署复杂度, 简化访问策略配置, 提高安全性提高分支机构远程用户对应用的访问速度和体验实现安全的开发环境 6.8 网银在线交易平台解决方案网银在线交易平台的特性 40

42 随着互联网和电子商务的发展, 越来越多的银行客户喜欢在网上操作银行业务, 因此, 在各大银行中, 网上银行的建设都是重中之重的一个系统并且, 作为一个对 Internet 开放的电子渠道, 在网上银行建设中会面临各种复杂的问题随着银行的固有业务也在逐渐地走向互联网, 这就使网银也必须具备互联网行业的一些特性, 比如 : 应用的快速响应, 网站的安全性和网站运行的可靠性等但是, 网银其特殊的业务模式同时也决定了网银自身的一些特殊属性网银属于交易查询类网站, 由于网银业务涉及到个人信息和财产等敏感信息, 因此其必须采用一种加密协议来为 HTTP 应用做认证和加密, 一般使用 SSL 协议网银必须对登录者的身份进行严格的审查, 由于网银业务涉及到金钱, 所以会招致一些假冒者或是盗用者的光顾, 因此网银通常会对登录者进行三次验证, 不仅仅需要登录账号的验证, 还需要进行证书验证, 更需要将登录账号与证书的 DN 匹配验证目前随着网银的普及率的提升, 网银平台自身也暴露出其性能低下效率不足的的问题网银在线交易平台遇到的问题网银深入互联网, 与互联网结合来为客户提供更方便更优质更及时的服务但是和互联网一样网银也面临着和互联网一样的问题我们下面从两个方面讨论 : 一个是网银自身业务特性所面临的问题 ; 一个是互联网面临的问题网银业务特性面临的问题由于网银业务特性的需要, 网银需要大量的 HTTPS(HTTP+SSL) 的应用众所周知 SSL 协议属于高强度加解密运算协议, 它的好处是可以将明文的 HTTP 等应用变成安全的 HTTPS 等应用, 达到用户验证和数据保密的作用但是 SSL 协议所带来的负面影响就是 CPU 的负载和加解密带来的延时, 这些影响会直接反映到服务器的使用率上和间接的反映到用户的使用体验上来那么如果只使用 SSL 加速产品是否就能解决此类问题了呢? 答案是不能完全解决传统 SSL 加速设备会将 SSL 在应用前端之前卸载, 然后将明文发送给应用前端也就是 WEB 服务器这样虽然可以解决了服务器 SSL 处理性能的问题, 却忽略了网银另一个自身业务的特性三次验证使用传统 SSL 加速产品第一和第二次验证都没有问题, 但是第三次的验证就会出问题, 因为 SSL 在 WEB 服务器之前就被卸载了,WEB 服务器是无法获得用户证书信息的这种情况对于网银来说是绝对不能出现的另外, 对于安全级别要求很高的网银需要所有数据在传输过程中都要加密, 这就需要既做 SSL 加速, 也要同时与后台 WEB 服务器建立 SSL 这就会产生矛盾了, 既然前后都要建立 SSL, 网银还需要 SSL 加速产品吗? 网银面临互联网的问题互联网的应用日益广泛, 涉及面也越来越广, 从早期的门户网站, 到具有实体意义的交易类网站 ; 从看看新闻娱乐潮流, 到买生活用品转账还信用卡这都表明互联网对我们日常生活的影响越来越大, 慢慢成为我们生活中的必需品由此而来对互联网的要求也就越来越高, 而对于网银来说也是一样的, 用户随时随地都有可能进行在线交易和查询, 这就需要我们的网银 24 小时不间断运行, 那么可靠性就成为了网银必须能够保证的 41

43 用户是永远自私的, 每个用户都希望自己的交易和查询能够第一个被受理, 就和在银行窗口办理业务时的心态一样这就需要我们的网银处理的速度要快, 能够及时的响应客户端, 那么应用加速就成为网银必须要做工作了但是对于 WEB 应用的基础架构 B/S, 其暴漏出客户端大量的短连接应用逻辑集中在服务端服务器利用率低负载过高等不足也严重影响着 WEB 应用的性能网上银行系统结构规划在大型银行的数据中心建设中, 通常设计为 2 个或两个以上的数据中心, 数据中心之间采用 Gbps 以上高速连接根据银行的网上银行发展战略的不同, 通常情况下, 网上银行的系统建设分为两种部署结构, 初期建设时采用单站点结构, 在进一步完善的时候采用多站点结构网银业务特性面临的问题 1. 大量的 SSL 交易会让 WEB 服务器不堪承受, 为了释放服务器压力, 更大更合理的利用服务器资源来处理 WEB 应用,Citrix Netscaler 通过专业的 SSL 硬件加速芯片和 SSL 处理机制为网银提供最大 tps 的 SSL 交易量 2. Citrix Netscaler 通过 AppExpert 策略引擎和 RewriteHTTP 报头重写, 将客户端证书中的所有信息或是整张证书插入到发往 WEB 服务器中的请求报头中来帮助网银 WEB 服务器在 SSL 卸载后依然可以获得客户端证书信息进行第三次用户身份认证 3. Citrix Netscaler 通过 4-7 层负载均衡技术, 可以实现前端 SSL 卸载后, 依然可以与 WEB 服务器建立 SSL 会话, 并且 SSL 会话的加密强度是可调节的 ; 同时通过 Request Switch 技术可以实现将前端客户端大量的短连接的请求, 复用到 Citrix Netscaler 与 WEB 服务器建立的永久连接中从而帮助网银既解决大量的 SSL 高强度运算, 同时保证所有交易数据在传输过程中都是加密的 42

44 网银面临互联网的问题 1. HTTP 协议由于是非 session 化协议, 因此其造成大量客户端发起的 TCP 短连接, 而服务器必须要花费很多系统资源来处理这些连接 Citrix Netscaler 通过 Request Switch 技术能够实现 TCP 连接复用将客户端的连接终结, 并将客户端请求复用到 Citrix Netscaler 与 WEB 服务器建立的永久连接当中从而降低服务器处理 TCP 建立和拆除的工作, 提升服务器处理应用的效率 2. 网银为了分担客户端压力, 会在应用前端部署多个 WEB 服务器, 甚至多个相同站点 Citrix Netscaler 通过 4-7 层本地负载均衡技术, 来帮助多个 WEB 服务器均摊压力, 与传统负载均衡不同的是,Citrix Netscaler 是真正意义上的负载均衡, 因为它负载的是应用 (Request), 而不是传统意义的 TCP 连接同时 3-7 层的服务器健康检测能及时检测到应用状态, 引导客户端访问当前可用的服务器上 ; Citrix Netscaler 通过 4-7 层全局负载均衡, 来帮助网银多个相同站点之间压力协调同时每个站点的 Citrix Netscaler 通过 MEP 私有协议, 来互相告知各自站点当前的状态, 引导客户端访问当前响应最快的站点上 Citrix Netscaler 帮助实现网银业务的高效, 可靠和安全经验证的应用效益 Citrix 联合主要的应用合作伙伴在实验室对 NetScaler 配置进行了测试, 验证了应用性能增益 NetScaler 可将 Web 应用性能加速高达 5 倍使用高级优化技术如动态缓存时, 或者当网络延迟或数据包丢失增大时, 性能增益会更高加速 Web 应用加速 Web 应用性能为银行带来了直接的效益 : 提高员工生产效率, 增强与现有和潜在合作伙伴的通信, 并提高客户满意度 Citrix NetScaler 提供了多种技术来加速服务器到用户之间的 Web 应用交付 : Citrix. AppCompress 在将数据传输给用户之前对数据进行压缩, 减少了经网络传输的数据量和发送数据所需的往返次数, 从而改善了响应时间, 降低了带宽消耗 Citrix. AppCache 可通过 NetScaler 系统直接交付静态和动态应用内容, 而不需要经过应用服务器, 让 Web 和应用服务器避免了重复创建和处理相同的内容 TCP 优化技术可提升所有 TCP 通信的效率, 有效提高了整个网络基础架构的应用性能, 应用用户可获得更快的响应时间 43

45 扩展应用基础架构除了能加速应用性能,Citrix NetScaler 服务器卸载消耗计算资源的任务连接管理, 然后服务器可以释放多的应用请求, 从而提高应用基实现更高的投资回报 (ROI) 通过卸载服务器的繁琐任务,NetScaler 让公司可以在相同的服务器资源基础上支持更多的用户, 从而降低资本和运营支出 NetScaler 的压缩功能可以降低带宽消耗, 帮助进一步缩减开支全面的流量管理 NetScaler 具有强大的负载均衡功能, 可以将应用请求发送到适合的应用资源, 从而提供全面的流量管理 NetScaler 集成的广域负载均衡 (GSLB) 功能可将客户端请求智能定向到全球最佳的地理位置当灾难来临让主要的数据中心无法运作时, 应用用户可以被透明地重定向到另一个站点以访问所请求的应用大量的负载均衡算法可以使服务器得到平等的负载除将流量定向到服务器之外,NetScaler 还提供完善的健康检查和高级会话持久性, 以保证总是将请求发送到可用的应用资源应用安全性 Web 应用总是让黑客有机可乘, 可以非法访问敏感的客户数据和公司机密信息为了让 Web 应用远离攻击并遵循不断增多的数据保护法规, 银行必须采取措施来增强 Web 应用的安全性, 不仅是针对已知漏洞如拒绝服务 (DoS) 攻击, 还针对新型攻击经验证,Citrix NetScaler 可阻止不断增长的针对 Web 应用的应用层攻击, 而且不会影响吞吐量或应用响应时间 NetScaler 提供了基于 SSL 的数据加密技术, 以及完善的内容过滤功能和 DoS 保护措施, 以确保合法用户能随时访问应用针对 Web 应用监测终端用户的综合体验 Citrix EdgeSight for NetScalerR 针对应用交付基础架构提供了应用可视性, 为 Web 应用提供了监测终端用户性能的功能, 并使 IT 管理人员能够从实际用户体验角度出发主动提升系统的管理性能和可用性 7 CITRIX 交付中心银行业应用案例 7.1 某国有商业银行总行部署全球风险评估系统成功案例用户需求某国有商业银行北京总行需要部署一套风险评估系统, 使得香港新加坡纽约伦敦法兰克福韩国澳大利亚等地的分行能够同时使用, 该行现有网络已经有专线连到各地, 因为这套软件数据流量比较大, 所以跨广域网使用起来非常慢, 而且维护非常麻烦, 需要经常各国跑来跑去用户需要一种解决方案, 提高使用性能, 降低维护费用, 并且对现有网络无大改动, 使用简便 Citrix 解决方案 Citrix 解决方案通过设置应用服务器 ( 组 ), 将关键性的业务程序集中安装并进行发布, 客户端可完全在服务器上执行所需的应用, 从而使得用户无论在何地, 无论使用何设备, 都能快速简捷安全地获取各种 44

46 Windows UNIX 或 Internet 的程序所需的应用信息和通讯 Citrix 解决方案完全能够满足用户的需求, 集中管理大大降低了维护成本, 低带宽下的优异性能解决了广域网上的快速获取应用的问题技术部署和实施设置两台 Citrix 应用服务器, 操作系统 :Windows 2000 Server, 应用软件 : 风险评估系统客户端, 后台数据库保持不便各地用户通过 ICA Client 访问应用服务器, 运行应用服务器上的风险评估客户端从而运行风险评估系统系统现状目前整套系统运行稳定, 跨广域网运行速度很快, 因为每一个 ICA 协议连接平均仅需要 10~20K 带宽, 工作效率大大提高不同地域不同时区的用户感觉就象自己拥有这套系统一样, 而实际上不需要昂贵的设备以及复杂的计算环境系统维护和软件部署都非常方便, 只在总部进行即可, 技术支持也变得轻松 7.2 某银行分行内外网隔离用户的挑战和问题随着互联网的高速发展, 人们可以从互联网获取更多更有效的信息, 这些信息对日常工作有很大帮助, 例如开发人员可以从互联网获得功能模块例子代码, 可以参与各种讨论组开拓思路 ; 研究人员可以从互联网了解行业的发展动向 ; 市场人员可以从互联网获得竞争对手信息, 及时把握市场动态等等很多重要的信息都来自互联网, 但是互联网是把双刃剑, 在获取信息的同时也为各种病毒蠕虫等有害内容的入侵打开了通道如何安全高效地管理员工的上网行为成为 IT 人员面临的一个课题不加管理的互联网上网往往会带来如下问题 : 被蚕食的网络带宽,BT 电驴等下载软件可能导致关键业务应用系统带宽无法保证 BT 电驴等下载技术使人们可以高速获取海量的网络资源, 为在全球范围实现资源共享提供了可能但事物总是辨证的双刃剑, 这些 P2P 软件的滥用非常消耗组织有限的带宽资源, 甚至导致关键业务应用系统无法正常使用目前市面上也有一些 P2P 控制工具, 但每天互联网上都会有人发布最新的 P2P 软件, 这让大多数的 P2P 控制工具望尘莫及, 它们只能封堵昨天的 BT 软件上网的客户端安全难以保障, 一旦某台终端被感染会导致整个内部网络的不稳定由于互联网上充斥着各种病毒蠕虫木马等恶意程序, 用户在不经意之间就有可能感染, 虽然部署了严格的防病毒软件但是往往还是会被黑客找到漏洞, 因为不能保证每个最终用户都掌握足够的安全知识以确保自己的机器不会被感染被耽误的工作效率, 上网聊天购物游戏等行为严重影响工作效率在工作时间, 太多的人在使用 QQ MSN 等聊天工具, 也许是在和同事讨论工作, 更多的聊天对象却是家人朋友甚至是陌生人你无法确定员工何时使用 IM 软件谈业务, 何时用来聊与工作无关的私人话题很多组织针对此的解决办法是对这些聊天工具进行屏蔽, 造成某些确实需要与外界保持联络的部门 ( 比如市场部 ) 怨声载道网管员往往通过在防火墙里将聊天软件使用的服务器加入黑名单来杜绝 IM 的使用, 或者禁止这些 IM 软件的端口但聊天工具层出不穷,QQ MSN Skype 网易泡泡, 服务器地址和端口还会经常变换, 这导致封服务器地址和端口成为一项持续的高成本工作, 而且治标不治本 45

47 被击破的商业机密安全堡垒, 通过 BBS 论坛外发邮件等导致的组织内部机密信息泄漏越来越普遍每个组织都有关系自己生死存亡的商业机密资料, 比如科研部门的最新研究成果市场部门的最新市场战略等, 为了保障这些机密信息的不外泄, 很多组织都规定了非常严格的保密制度, 包括不允许携带摄像机数码相机甚至带有摄像功能的手机进入公司但在 Internet 的面前, 这些保密措施并不是马其诺防线, 很容易就被某些缺乏保密意识的员工通过即时通讯软件邮件 BBS 论坛员工个人博客等泄漏出去同时, 规模大的组织还面临着人员的流动性问题, 组织的商业合作伙伴第三方审计员新员工随时可能接入内网, 他们可以通过网上邻居下载组织的财务报表或人事档案, 然后打包发给你的竞争对手如何进行防泄密, 组织需要在制度和技术措施上有一个相对完整的信息保密体系被动引发的法律风险, 员工利用公司网络发表反动言论等将导致组织面临法律风险如果员工在互联网上的言论涉及到违反法律或危害国家安全的事件, 员工所在的组织必然会在其中被动的卷入法律风险综上所述, 网络作为信息时代银行的生产工具, 同样面临着适当监控合理使用的问题根据 IDC 的调查, 目前在欧洲和美国有 80% 的公司在监控员工的在线行为, 而在世界 500 强企业中, 绝大多数企业对员工的邮件, MSN 等上网行为进行监控, 而且这一举措得到了法律条文上的支持已经有不少组织在着手解决上网管理的问题, 例如尝试过物理上的集中上网方案, 每个人桌面上的 PC 是不能直接访问互联网的, 上网行为只能在某些固定的 PC 机上, 这种方案并不能根本解决上述问题, 反而给最终用户带来很多不便, 因此受到较大的抵制, 难以推广 Citrix 的解决方案 Citrix 集中上网解决方案从原理上解决了上述问题, 用户桌面的 PC 不能直接访问互联网, 所有的互联网访问都必须通过发布在 Citrix XenApp 或 XenDesktop 上的相关应用 ( 例如 IE MSN QQ FTP 等 ), 管理员可以根据用户的帐号来决定用户是否可以使用特殊的应用 ( 例如只有开发人员可以使用 FTP 工具 ) 集中上网的 XenApp/XenDesktop 服务器由管理员统一管理, 最终用户只有普通用户权限 Citrix 集中上网管理系统架构如下图所示 : 通过了解某分行双网隔离, 我们对分行的的系统总体结构做如下的布置 : 46

48 在信息中心的 win2003 服务器上安装 Citrix XenAPP 和行情交易软件客户端, 在所有的需要访问 internet 的客户端上安装 Citrix ICA 客户端这样实现客户端使用 ICA 客户端访问服务器上的 IE 进行访问 internet 为了有效支持整个分行 200 个用户的 internet 上网, 需要在服务器端使用 n+1 的部署方式, 实现服务器群集在各台服务器上安装 Windows 2003 Server 操作系统 Microsoft Terminal Services Licensing 以及 Citrix XenAPP, 配置域控制器, 实现各环节的失效转移通过银行网部署 Citrix, 用 ICA 客户端访问设在信息中心的 Citrix 服务器系统总体结构图如下 : Citrix Farm OA 服务器邮件服务器 MeteFrame XP Server 1 Server 2 Server 9 移动用户 Citrix ICA Client 总行局域网交换机 PSTN 海外分行 Citrix ICA Client 总行用户总行涉密终端防火墙拨号服务器 / Modem Pool 路由器移动用户 Citrix ICA Client 中元 FR/2M 路由器 PSTN 移动用户 Citrix ICA Client 交换机防火墙拨号服务器 / Modem Pool OA 服务器一级分行局域网路由器中元 FR/2M 路由器二级分行局域网邮件服务器一级分行用户总行异地用户一级分行涉密终端二级分行用户二级分行涉密终端用户的收益通过这样的改变可以方便地实现 : 防止 P2P 软件的泛滥, 用户的 PC 不能直接上网, 能够上网的 XenApp 服务器上不能安装任何 P2P 软件 ; 用户的客户端不再被来自互联网的病毒蠕虫木马等攻击, 因为浏览器 (IE) 运行在 XenApp 服务器上, 而普通用户没有下载安装运行的权限, 这样杜绝了绝大多数的漏洞 ; 管理员在 XenApp 服务器上集中统一设置 IE 安全选项, 安装防病毒软件, 由管理员负责更新病毒码, 定期扫描等, 防止系统漏洞的出现 ; 只有被授权的用户才能访问特定应用, 例如用户是否能用 MSN QQ 等 IM 软件都是由管理员设定的 ; 设置针对部分用户的录像审核功能, 利用屏幕录像高效记录用户的上网行为带宽的节省, 因为用户无法做策略控制以外的无论是主动还是被动的操作, 实现真正对下载电影,P2P 等等非正常流量的限制 47

49 7.3 Citrix 应用交付支持与提升深圳某银行用户新体验在成功部署 NetScaler 应用交付设备后, 大大提高了服务器的服务能力, 增强了业务系统的安全性与稳定行, 避免了金融交易风险, 降低了成本深圳某银行信息技术部维护组挑战 : 应对业务突发流量, 保障业务的绝对不中断深圳某银行维护组此次对整体业务应用网络进行改造, 目的是要达到对整个网络的应用流量控制, 保证业务的顺利进行, 避免由于访问量过大而造成的网络堵塞所要达到的应用效果是 : 实现流量的智能负载均衡, 大量的访问请求能够平均分配到各个网络服务器上 ; 确保网络运行的稳定性, 消除由于某一台服务器宕机导致的业务中断 ; 提高链路利用率和网络的可靠性, 使流量能就近地从两条 Internet 链路访问业务合理地利用链路流量, 同时保证业务的稳定与安全客户业务系统需求 : 希望解决南北用户访问业务网络速度慢的问题, 通过智能 DNS, 将用户请求重定向到响应最快的 ISP 链路上, 提高用户对网站和网上业务系统访问的响应速度, 提升服务质量 ; 实现电信和网通两条 ISP 线路的入向流量优化与负载均衡, 及链路备份功能 ; 实现数据中心内本地业务系统的服务器高可用性和高性能, 消除目前网络系统存在的单点故障, 在出现超过负载能力的超峰值访问的时候, 具有保护服务器的应急措施 ; 可以对服务器的运行状况进行监控, 当服务器发生故障时, 可以及时作出响应, 将用户的访问转移到可以正常提供服务的服务器上在负载均衡时保持用户访问的持续性以保证用户客户访问的会话完整性具备全面的攻击防御系统, 可保证系统不受 DoS DDoS 网络蠕虫病毒和应用专用漏洞的攻击灵活的扩展空间, 根据实际应用的需求灵活投资, 提高服务器处理效率和整体服务能力业务系统网络拓扑图如 : 48

展开

目录 1. 概述... 1 2. 总体方案... 3 2.1. 方案概述... 3 2.2. 软件部署架构... 4 2.3. 技术原理... 5 2.4. 访问场景... 6 2.5. 典型设备 ipad 配置使用示例... 8 2. 详细

目录 1. 概述... 1 2. 总体方案... 3 2.1. 方案概述... 3 2.2. 软件部署架构... 4 2.3. 技术原理... 5 2.4. 访问场景... 6 2.5. 典型设备 ipad 配置使用示例... 8 2. 详细思杰移动办公解决方案 2012 年 9 月思杰系统信息技术 ( 北京 ) 有限公司 Citrix Systems, Inc. 0 目录 1. 概述... 1 2. 总体方案... 3 2.1. 方案概述... 3 2.2. 软件部署架构... 4 2.3. 技术原理... 5 2.4. 访问场景... 6 2.5. 典