一、前言
在拥有更多更分散的分支机构的同时,很多企业也在着力开展数据大集中建设。然而应用性能的提升和IT架构的优化等问题仍成为众多企业的苦恼,用户对于数据中心远程接入及安全控制的需求在不断增长。在优化广域网性能的需求下,致力于帮助用户的业务流提升性能与安全性的“应用交付”逐渐成为一种迫切的需求。用户对这项技术的期望主要体现在提高远程和移动用户的网络应用访问速度、通过减少数据传送量降低带宽使用量、通过利用网络应用加速策略降低网络应用的部署及维护成本等方面。
CTBS高级版是国内最大的应用交付基础架构提供商——深圳市沟通科技有限公司推出的又一款应用交付平台。它秉承了沟通科技产品系列一贯的灵活部署、快捷交付、高速访问的特点,同时,在长期的调研实施过程中,采纳了大量新老用户的意见和建议,在安全管理、用户易用性、资源占用优化等方面都做了极大的加强。
二、概况
2.1 产品概况
CTBS高级版是以Web方式实现的远程应用访问平台,用户使用普通的Web浏览器即可远程访问服务器上任何形式的应用程序。
CTBS高级版具备高度的易用性,客户端无须安装和维护软件,应用系统无须任何变动,降低远程访问的部署和管理费用。
CTBS高级版整合了数据加密、身份认证、数字证书、访问控制等安全技术,提供了一个安全、高效和可靠的应用访问网关。
CTBS高级版超越了传统的VPN远程解决方案,用户由此具备了在任何地点通过任何接入方式安全访问任何应用程序的能力。
2.2 基本功能
■ 通过安全连接从任何地点访问应用;
■ 客户端无须安装任何额外软件;
■ 将远程打印和磁盘映射到本地;
■ 统一的用户身份认证和单点登录;
■ 确保用户只访问授权使用的应用;
■ 方便的服务器安全访问策略设置;
■ 集中管理用户、服务器和应用;
■ 对用户和应用使用情况详细审计;
■ 高效直观的应用发布和更新。
三、产品功能
3.1 基本功能
通过本产品,将非B/S模式的应用程序“Web化”,用户能够使用Web浏览器来访问这些应用程序。
如下图,应用系统(包括C/S的客户端程序和服务器端程序)只需要部署在企业数据中心,CTBS高级版服务器将其以Web方式呈现给远程用户端。
图表 CTBS高级版部署示意图
3.11 远程用户端
■ 仅使用IE浏览器或安装很小的CTBS登录器,无须安装额外业务应用程序,无须对IE进行设置。
■ 以统一的身份认证方式登录系统。
■ 用户登录进系统后,只看到经授权使用的应用程序。
■ 用户可以在IE中运行部署在企业数据中心的应用程序。
■ 支持远程和本地剪贴板共享。
■ 使用客户端本地输入法。
■ 运行时只可以看到和使用本地打印机。
■ 运行时可以看到和使用本地/网络映射磁盘。
3.1.2 CTBS服务器
■ 仅需要安装待发布应用软件的客户端和CTBS服务器软件。
■ 具备强大的程序发布及安全管理功能。
■ 支持多种身份验证方式。
3.13 网络传输
■ 使用HTTPS或SSL 128位安全传输协议。
■ 完全支持NAT(网络地址转换)、防火墙等。
3.2 系统管理
管理员可以通过CTBS控制台管理配置和监视系统运行。
3.2.1 用户管理
■ 创建访问CTBS平台的用户及用户组,管理员信息修改。
■ 创建、修改和删除用户策略,配置用户登陆方式及对服务器端资源的访问权限。
■ 动态密码卡的管理配置。
3.2.2 应用程序管理
■ 发布、修改和撤除应用程序、文件、文件夹等需要客户端访问的资料。
■ 创建、修改和删除应用策略,配置应用程序访问时间段,配置所发布文件加的访问权限,对所发布应用绑定访问帐号。
3.2.3 会话管理
■ 查看及注销当前连接的会话;
3.2.4 服务器管理
■ 对应用服务器、负载均衡服务器、网关服务器、许可证服务器各项参数进行详细设置。
3.2.5 系统管理
■ 基本设置:对服务器运行环境(工作组或域)、图形验证码状态、会话重连及单点登陆状态进行设置。
■ 许可证管理:查看当前许可证状态、获取许可证申请码及导入许可证文件。
■ 日志管理:查看详细配置及访问日志。
四、产品特点
4.1 概述
CTBS高级版采用最新和最适用的SBC和虚拟化技术开发,采纳了大量用户的意见和建议,在开发过程中不仅吸取了国外同类产品的优点,更注重从中国国情出发,适应国内信息系统的管理现状和惯例,使得产品在安装、运行和管理中更加友好易用,充分显现本地化研发优势。
4.2 功能特点
● 配置、操作更加人性化
管理控制台完全采用WEB界面,管理员完全可以在权限允许的远端进行配置,内置配置向导模块,管理员只需要按照下一步的提示就可以完成整个配置流程;本地CTBS客户端为仿MSN风格的界面,并且支持图标拖曳功能,用户使用时,同在本机实际安装的应用操作起来没有任何区别。
● 多种应用发布
沟通科技CTBS可以对包括应用程序、程序组、文件夹、文件、WEB链接和桌面的多种格式进行发布,充分满足客户需求;
● 用户权限设置
管理员可以指定详细的用户策略和应用策略,沟通科技CTBS完全基于策略运行,可以对用户、应用设定详细的个性配置;
● 单一端口开放
内置安全网关模块,不再对外网开放WEB及通讯端口,仅开放网关端口,所有通讯全部通过网关服务转发,避免黑客攻击,保障企业网络的安全;
● 支持发布其他服务器上的应用
沟通科技CTBS产品可以发布其他服务器上的应用程序(待发布程序所在机器需要安装沟通Agent模块),此项功能适用于用户需要发布多个应用程序,且应用程序互相之间有冲突,不能同时安装或运行的情况;可以配合虚拟化技术使用,在同台服务器上运行多个系统,节省硬件投入;
● 负载均衡模块
沟通科技CTBS产品自带负载均衡服务,按照Round Robin机制在沟通CTBS服务器集群里面为用户自动分配服务器,如果其中一台服务器出现问题,会自动从集群中断开,保证了企业业务工作的连贯性;可以配合虚拟化技术使用,在同台服务器上运行多个系统,节省硬件投入;
● SSO模块
沟通CTBS产品提供SSO(单点登陆)功能,允许此项功能后,用户仅需要登陆沟通CTBS平台系统,再使用任何其它内部系统如:ERP,OA,Email等应用时,都无需再输入用户/密码认证,简化用户操作;
● 打印管理服务
提供防串打机制,客户端选择打印时,只能看到自己的打印机;
● 本地输入法
集成本地输入法模块,直接调用远程客户端本地输入法,无需在服务器端安装;
● 即时通讯模块
管理员可以为用户设定即时通讯权限,允许此功能时,两客户端之间可以即时聊天,方便用户之间交流;
● 多层身份验证
沟通科技CTBS支持诸如帐号/口令、Ukey、指纹锁、动态密码卡等多种客户端登录方式,并且可以绑定客户端网卡MAC、设订访问时间段,充分保证用户身份的合法性;
● 日志管理功能
提供详细操作日志,可扩展支持报表功能,便于管理员查询分析;
● 多种语言显示
沟通科技CTBS支持英文及简、繁体中文界面;
● 提供域环境支持
沟通科技CTBS可以对使用域环境的用户进行程序发布;
● 支持LDAP
支持LDAP协议,控制台可直接读取组织单元,并可设置详细查询条件;
● 提供公告功能
服务器管理员可以在CTBS控制台对所有用户发布公告通知;
● 备份还原功能
管理员可以随时备份控制台配置信息,若以后系统出现故障,可直接还原所有配置。
● 提供SDK工具包
对于某些特定终端设备,例如读卡器、抄表机、地磅等,提供SDK工具包并可做扩展性针对开发(只面向合作伙伴)
五、安全性
5.1 背景
本产品的技术在基础安全结构诸方面,如信息传输安全、身份鉴别、安全设计、安全编码、安全测试、系统安全接口等方面达到了先进水平。
5.2 自身安全
CTBS高级版服务器内置安全网关模块,不再对外网开放WEB及通讯端口,仅开放单一网关端口,所有通讯全部通过网关服务转发,避免黑客攻击,充分保障企业网络的安全。
5.3 内部网络安全
CTBS高级版服务器安装在企业网络中Internet接入的路由器或防火墙后,对于外部网络是唯一可见的服务器。这种堡垒式的主机性能提供了独特的安全优势:从Internet到企业数据中心没有直接的和物理上的路经,远程用户无法访问企业内部资源。
因此系统管理员无须因远程访问需求而对内部网机器作额外的安全考虑。
5.4 传输安全
CTBS高级版使用工业标准的128位高强度SSL安全协议传输数据,保证数据在Internet上的机密性和完整性。
CTBS高级版安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全。无论在内部网络还是在Internet上数据都不是透明的,客户对资源的每一次操作都需要经过安全的身份验证和加密。
5.5 数据安全
对于分支机构、移动用户和家庭办公用户来说,其计算机的安全防护级别往往达不到总部的防护标准,例如:操作系统没有及时打上补丁,容易受到病毒、木马的袭击,甚至计算机可能整体失窃。如果此时计算机硬盘中存有业务数据,将是非常危险的。
CTBS高级版工作时,远程用户接收到的并不是真实的业务数据,而是经压缩和加密后的屏幕变化数据,远程用户计算机的内存和硬盘中从来没有驻留过任何业务数据,因此也就没有这方面的后顾之忧。
5.6 用户身份认证
CTBS高级版支持多种用户认证方式:它内嵌基于CTBS系统的用户名/口令和域用户的认证方式(登录帐号),同时也支持Ukey、生物识别及动态密码卡等认证方式。各种认证方式,用户可以根据安全级别需求、预期费用和方便程度自行选择或组合使用。
CTBS高级版特意加强了针对登录帐号的网卡物理地址绑定和登录时间段限制功能。
六、产品规格
6.1 客户端
■ 操作系统: Microsoft Windows 2000 / XP / 2003/VISTA。
■ 浏览器:Microsoft Internet Explorer 5.0以上或其他采取IE内核的浏览器。
■ 硬件:无特别要求。
6.2 服务器
■ 操作系统:Microsoft 2003(不建议安装SP1补丁)。
■ 系统环境:IIS、Microsoft终端服务。
■ 硬件要求:视运行的应用软件系统和支持的并发用户数而定。
■ 应用程序:任何应用程序(须在终端服务器上运行正常)。
■ 开放端口:5000(网关模式)/36988(直连模式)。
6.3 网络
■ 协议:TCP/IP。
■ 端口:5000。
■ 接入方式:拨号、DSL、Cable Modem、LAN、GPRS、Wi-Fi、卫星。
■ 最低带宽:28.8K bps。
七、产品应用
7.1 远程访问方面的应用
7.1.1 C/S系统远程访问需求
信息系统在企业和政府中的应用已经越来越深入,各个区域间的信息的传递以及应用处理的速度和响应时间的要求也在不断提高。人们期望在任何时候和任何地点都能访问应用程序,以获得及时的信息和采取迅捷的反应。
Internet的快速发展和无处不在为满足这种需求提供了必要条件,但它只有和Web技术结合起来才能充分发挥它的作用:数据必须以Web形式呈现,应用必须基于浏览器/Web服务器(B/S)模式。可以说,Web方式才是Internet上的天然通行证。
但目前的实际情况是,许多领域的大部分应用系统采用的是客户/服务器(C/S)模式(如大量使用Dephi、PB、VC、VB、CBuilder编写的应用程序),它们的设计目标和开发工具决定了程序是以局域网作为应用环境,如果直接在Internet上部署和运行这些程序将导致:
■ 服务器暴露
关键的应用服务器直接暴露在极不安全的因特网上,危机重重。
■ 客户端管理
每个用户的每台机器上都要安装每个应用系统的客户端,管理负担巨大。
■ 连接带宽
传统的C/S程序交换的数据量巨大,在低带宽条件下无法使用。
■ 任何接入方式
在公共接入Internet点接入点,应用程序所需的网络通信端口往往被屏蔽。
■ 传输安全
重要的业务数据在公网中传输,数据的机密性和完整性得不到保障。
7.1.2 传统的解决方案
传统的解决方案是采用IPSec VPN方式,它在因特网上虚拟出一个局域网出来,使C/S应用的两端能够虚拟连通。IPSec VPN并没有解决服务器暴露、客户端管理和传输带宽问题,而且其自身还存在着部署和管理复杂、网络兼容性差以及额外的安全问题。
另一种解决方案是用B/S模式程序全部替代C/S模式程序。且不说所有的C/S程序重新改写为B/S模式带来的巨大工作量和风险,更为重要的是,许多有着灵活的人机交互界面和流程的C/S应用根本无法通过B/S模式来实现。
7.1.3 使用CTBS高级版
使用CTBS高级版能够非常方便地实现远程应用访问。
图表 远程访问方面的应用
通过在企业总部网关上部署CTBS高级版服务器,用户可以以Web方式远程访问C/S应用程序,将C/S程序部署到Internet上的所有问题迎刃而解:
■ 服务器暴露
所有C/S机器都部署在企业局域网内,在因特网上只开放单一安全网关端口。
■ 客户端管理
客户端使用操作系统自带的浏览器,无须额外安装和维护任何业务软件。
■ 连接带宽
仅需要28.8Kbps的拨号网络带宽,网络上只传输鼠标、键盘和屏幕上变化的信息。
■ 任何接入方式
任何Internet接入方式,都允许使用Web方式访问Internet资源。
■ 传输安全
传输数据支持使用工业标准的SSL协议,支持多种用户身份认证方式。
7.1.4 典型应用场景
企业在总部部署了CTBS高级版后,无须对应用系统、网络结构、安全设置、客户端机器作任何修改,就可以实现:
■ 机构互联:例如制造企业位于工业区的工厂(生产系统)与位于市区的办公楼(进销存系统)之间的信息系统连接;
■ 分支机构:快速在异地开设办事处,直接访问总部的C/S应用系统(如ERP、财务、销售等各种业务系统);
■ 上下游厂商:与供货商的连接(SCM系统),与经销商的连接(销售管理系统);
■ 移动办公:企业领导在旅行时候可以随时随地能够查看企业经营数据;
■ 家庭办公:员工在工作时间以外或特别时期可以访问公司的业务系统。
所有这一切,远程用户只需要一个浏览器和一个Internet连接。它适用于制造业、媒体、贸易、政府、银行、证券、电力、电信、交通、物流、教育、卫生、连锁销售等领域。
具体的行业应用方案请咨询我公司销售人员。
7.2 集中管理方面的应用
当今社会,几乎所有企业都在内部使用计算机网络系统,由于计算机硬件更新换代周期短,企业为了让最新的操作系统和应用软件能够顺利运行,面临着不断进行硬件升级甚至整机淘汰的压力。在软件方面,应用软件本身也需要进行日常维护、升级和扩充,这些日常管理工作需要企业配备越来越多的IT管理人员。这一切,都需要企业进行持续的资金和人员投入,以至于很多企业管理者视IT其为无底洞。
为解决这种软硬件循环升级、总体维护成本越来越高的问题,我们可以采用集中管理技术来突破信息化发展瓶颈,来提升信息化管理水平。
在企业的内部管理服务器上部署CTBS高级版就可以帮助我们实现这一点。把原来分散安装在员工电脑上的数据和软件驻留在管理服务器上,员工电脑中仅保留浏览器(IE)。系统的维护、管理、安装、调度、扩容、升级等工作都在管理服务器端一次性地集中完成。
老电脑不必装越来越多的应用软件客户端,运行加快,仿佛获得了全新的性能。对于新增电脑也同样有利,只要购买“瘦身”电脑,即配置简单的电脑就能胜任工作。
让我们想象一下使用了CTBS高级版之后的情景:机器性能差?没关系,只要能跑IE就行了;要安装新软件?没关系,管理员只要装在机房的一台机器上就行了;市场部的机器坏了?没关系,丢不了数据,只要重装Windows就行了。
沪B2-20060176