金蝶K/3 ERP 基于Citrix Access Gateway 的SSL ××× 部署方案
1、背景
金蝶集团与思杰(Citrix )公司长久以来有着良好的产品合作关系,Citrix Presentation ServerTM 作为金蝶K/3 产品的推荐远程接入方案已被无数客户证明是高效、可靠的,K/3 和Presentation Server 的结合,使它们各自发挥出自身的特点和优势。
Citrix Access GatewayTM 是Citrix 公司推出的通用SSL ××× 设备,是目前业界市场份额增长最快、最佳的SSL ××× 解决方案之一,能为企业提供安全、且始终在线的单点接入支持,它和Citrix Presentation ServerTM 都是Citrix Access SuiteTM 的组成部分。
本文即是将思杰公司的Access Gateway 产品推介到金蝶K/3 ERP 的远程部署方案中去,金蝶公司和思杰公司通过双方产品不断的集成,为企业提供最全面的信息化整体解决方案,提供更优良的客户远程接入体验。
2、Citrix Access Gateway 介绍
最佳SSL ××× 解决方案
Citrix Access Gateway ™是一款通用的SSL ××× 设备,为信息资源提供了安全、且始终在线的单点接入支持。它俱备IPSec 和常见SSL ××× 的所有优势,同时摆脱了昂贵且烦琐的实施与管理缺陷,从而可分别为用户、公司和IT 管理员带来轻松的接入、强大的安全性和出色的经济性。它可用于非Citrix 和Citrix 环境中,能够与Citrix Presentation Server 实现完美集成。
Citrix Access Gateway 是一款1U 的机架式硬件××× 设备
Access Gateway 4.0 在接入基础之上,为公司信息提供了前所未有的严密控制。它是市场上唯一一款采用Advanced Access Control 的产品。其中后者是Citrix 的独有选件,增强了对于网络和信息资源的保护。Advanced Access Control 使得IT 管理员能够对应用、文件、Web 内容、电子邮件附件和打印实现全面的控制。该选件能够根据用户的角色、位置、设备类型、设备配置和连接,确定可以访问何种信息资源、以及在授予访问权限后允许采取哪些措施。此外,受保护网络还可以实施接入控制政策引擎和执行决策,从而可以实现比常见SSL ××× 更强大的安全性。
可解决您的业务与IT 挑战的宝贵机遇
Access Gateway 融合了IPSec 和SSL ××× 的最佳特性,与市场中的其它SSL ××× 相比,可带来最佳的接入体验。 Access Gateway 可带来的优势包括:
|
|
到任意应用或IT 资源的单点安全接入――Access Gateway 可为以下应用带来安全
|
|
|
的接入,包括Citrix Presentation Server 托管的任意应用,以及分布式Windows 和
|
|
|
UNIX 应用、直接接入Web 应用、网络文件共享、数据和协作服务、甚至采用VoIP
|
|
|
Softphone 的电话服务。事实上,Access Gateway 专门进行了优化,用于为诸如IP
|
|
|
电话等基于UDP 的应用提供卓越性能。
|
|
|
较低的购买和维护总体成本――Access Gateway 可通过其支持Web 部署的自动更
|
|
|
新客户端,实现快速、简单且经济高效的部署和维护。企业可轻松为其处于任意位
|
|
|
置的远程和移动用户,提供类似台式机的接入,同时免去了在每一设备上安装、配
|
|
|
置、更新和支持客户端软件的成本与复杂性。
|
|
|
始终在线的移动性和无缝台式机体验――当用户变换位置和设备时,Access
|
|
|
Gateway 能够自动无缝地将其与相关应用和文档重新建立链接,并使位于任意位置
|
|
|
的用户都能够获得与在办公室进行操作时相同的体验。例如,用户可在客户或合作
|
|
|
伙伴位置建立连接,然后合上笔记本电脑,断开网络连接,返回办公室,之后自动
|
|
|
重新建立连接。所有这一切将可以自动完成,无需任意用户干预。
|
|
|
增强的数据安全性――Access Gateway 可在企业DMZ 中作为一款具有强大设计安
|
|
|
全性的设备。内建的端点扫描功能提供了不间断的实时扫描支持,可确保设备足够
|
|
|
安全,能够继续与网络保持连接。
|
Citrix Access Gateway 的工作原理
IPSec L2TP 或 PPTP ××× 解决方案提供网络层接入和加密,而 SSL ××× 提供应用层接入和加密。Citrix Access Gateway 不仅采用了 IPSec ××× 的基础技术提供网络层接入,同时也平衡 SSL 技术提供有效负荷加密接入和应用级加密的结合使企业不再需要维护两个单独的 ××× 基础架构,仅需一个产品就能享受 IPSec ××× 和 SSL ××× 的双重优势
Citrix Access Gateway 在客户电脑和部署在 Intranet DMZ 中的 Access Gateway 之间部署了一条虚拟加密隧道。通过简单存取安全 Web URL 或直接点击桌面图标,客户电脑即可启动Citrix Secure Access Agent,然后Access Gateway 会利用公司的验证服务器来验证身份的真实性,如果验证信息正确,就完成了与客户 PC 之间的初始化一旦通过验证,Secure Access Agent 即被激活在客户端计算机上,并可通过与 Access Gateway 建立的安全通道来访问专用网络。
Access Gateway 主要的安全接入功能和优点
|
功能
|
描述
|
优点
|
|
集成端点扫描
|
融合了初始注册和连续的端点设备实时扫描。
|
保证了网络连接时设备的安全性。
|
|
阻止恶意程序入侵
|
从客户端工作站隐藏已连接网络的IP地址。
|
读取路线图,减轻恶意程序对网络的威胁,降低恶意程序入侵至所有已连接网络的可能性。
|
|
支持任何应用或网络资源
|
用户可接入任何格式的应用,不论是客户机/服务器应用还是We b应用。另外,Access Gateway 还支持基于UDP协议的应用,如实时语音业务(IP软电话)。
|
管理员可让用户接入IT 资源,且无需自定义开发,或者无需维护SSL和IPSEC ×××基础架构。
|
|
支持任何地方的接入
|
在任何地方或从任何防火墙都能接入公司资源。
|
用户可保持较高生产率,在任何地方都能开展工作。
|
|
优化UDP 应用支持
|
Access Gateway 运用了特殊技巧来优化用于电子邮件和IP电话技术等应用的UDP 业务的部署。
|
客户无需继续维护IPSEC××× 以支持基于UDP 的应用程序,如IP软电话。
|
|
启用或禁用分割连通
|
当网络客户端激活时,不管是否采用本地网络,都以组为基础进行管理控制。
|
禁止分割加密隧道,减少恶意攻击的威胁。如果远程PC直接连接Web ,并同时接入了×××,那么, Web攻击程序就会入侵PC 并同时入侵公司网络。
|
|
RADIUS认证
|
R ADIUS服务器用户认证。
|
企业可使用基于开放标准协议的现有验证目录。
|
|
LDAP认证
|
外部LDAP服务器用户认证。
|
企业可使用基于开放标准协议的现有验证目录。
|
3、K/3 与Access Gateway 集成部署的意义
对于采用Citrix Presentation Server 访问金蝶K/3 的用户
Access Gateway 可以完全代替Presentation Server 中的安全网关(Secure Gateway),不但功能完全不受影响,而且Access Gateway 提供比Presentation Server Secure Gateway 更加全面的安全特性。
Access Gateway 作为硬件××× 解决方案,性能比纯软件的Secure Gateway 高,单台Access Gateway 可支持到2000 用户,同等硬件配置下的Secure Gateway 一般只能支持700~1000 用户。
Access Gateway 不需像Secure Gateway 那样购置服务器硬件和操作系统来支持,因而总拥有成本比Secure Gateway 要低。
对于采用Web 界面登录的Presentation Server 用户,Access Gateway 可以提供Presentation Server Web 界面登录代理,用户可以在SSL ××× 通道中通过WEB 界面轻易访问发布在Presentation Server 中的金蝶K/3 ERP 应用程序。
对于采用传统××× 模式部署金蝶K/3 的用户
IPSec 和其它早期的 ×××,包括 PP2P 和 L2TP,给予了金蝶K/3 用户桌面式远程接入体验,但 ××× 客户机的安装和更新却导致了管理上的烦恼和极高的支持成本。于防火墙的限制,当用户身处客户或合作伙伴的办公室时常常无法正常接入公司应用和资源。而且最近,这类 ××× 已成为恶意程序入侵的主要途径。
有了 Citrix Access Gateway,用户既可享受昂贵 IPSec ××× 所带来的桌面式远程接入体验,也不必为 IT 升级支付高额支持成本,因为它配有一个用于URL 分发的客户端软件,客户端可在用户接入网络时自动更新,Access Gateway 支持各种应用,不需改动代码、定制连接,或进行任何研发 IP 协议,能跨越 IP 地址,防止了恶意程序的侵入 Access Gateway 克服了 IPSec ××× 和 SSL ××× 的局限性,同时传承了它们的所有优点。
第 7 页共 10 页
4、K/3 在Access Gateway 环境中的部署
对于采用Presentation Server 访问金蝶K/3 的用户
如上图所示1、Citrix Access Gateway 部署在Internet DMZ 中2、Citrix Presentation Server 的Web Interface 也部署在Internet DMZ 中,位于Access Gateway
的后端
3、外部用户通过Persentation Server 的ICA WEB 客户端连接Access Gateway
4、Access Gateway 通过Web 代理登录功能将用户重定向到Presentation Server 的Web Interface,从而使外部用户访问到其发布的金蝶K/3 客户端应用程序
5、在外部用户连接期间Access Gateway 在ICA 客户端和PS Web Interface 之间构筑其一条安全的SSL ××× 连接隧道
6、注意:要实现Access Gateway 与Presentation Server 的整合,在此PS 服务器或其所在Farm 中必须有服务器运行STA 和Citrix XML 服务
对于直接采用K/3 GUI 客户端远程访问金蝶K/3 的用户
如上图所示1、Citrix Access Gateway 部署在Internet DMZ 中2、远程用户通过Access Gateway 客户端登录到AG 设备,建立SSL ××× 安全连接3、远程用户在登录AG 后可以通过金蝶K/3 客户端直接与总部局域网内的金蝶K/3 中间层
连接,使用金蝶K/3 ERP 产品
4、这种部署方式要求两地间的连接带宽较高,因为金蝶K/3 客户端接收的所有数据都从××× 通道里直接走,而不是AG-PS 整合方案里那样只走屏幕画面和人机输入设备的数据;推荐在总部至少采用兆级的光纤连接,不推荐在总部使用ADSL 等不对称接入设备
5、在防火墙上,除Access Gateway 建立SSL ××× 通道需要开放的443 端口外,还需要开放K/3 客户端与中间层连接的各服务端口,包括RPC、KdsvrmrgService 、DOM、NetBIOS 这几个服务的端口,具体请查询金蝶K/3 系统管理员手册
对于Persentation Server 负载均衡集群的支持
Access Gateway 和金蝶K/3 均完全支持Presentation Server 的负载均衡集群功能,其拓扑结构如上图。
Access Gateway 设备的负载均衡和故障转移功能
Citrix Access Gateway 支持负载均衡集群和故障转移集群的部署,这两种部署均不会影响金蝶K/3 的应用。
Access Gateway 的负载均衡模式,要求在AG 的前端部署一台支持SSL ID 或Src IP 的负载均衡服务器,示意图如下:
Access Gateway 的故障转移模式,因为AG 的故障转移采用的是Active/Active 模式,所以你可以为不同的金蝶K/3 远程用户指定故障转移集群中任意一台AG 为SSL ××× 连接设备。示意图如下:
除此以外,Citrix Access Gateway 还支持双DMZ(Double-Hop DMZ),即三道防火墙的部署。在这种情况下,金蝶K/3 只能通过Presentation Server 终端模式与Access Gateway 进行联合部署,因为在双DMZ 模式AG 不支持除ICA 以外的客户端访问局域网资源,所以通过K/3 客户端+AG 客户端直接使用K/3 的模式无法在此情况下实现。
转载出处:http:///pages/langshidi/blog/archive/2007/02/01/186383.aspx
