金蝶K/3 ERP 基於Citrix Access Gateway 的SSL *** 部署方案
1、背景
金蝶集團與思傑(Citrix )公司長久以來有着良好的產品合作關係,Citrix Presentation ServerTM 作爲金蝶K/3 產品的推薦遠程接入方案已被無數客戶證明是高效、可靠的,K/3 和Presentation Server 的結合,使它們各自發揮出自身的特點和優勢。
Citrix Access GatewayTM 是Citrix 公司推出的通用SSL *** 設備,是目前業界市場份額增長最快、最佳的SSL *** 解決方案之一,能爲企業提供安全、且始終在線的單點接入支持,它和Citrix Presentation ServerTM 都是Citrix Access SuiteTM 的組成部分。
本文即是將思傑公司的Access Gateway 產品推介到金蝶K/3 ERP 的遠程部署方案中去,金蝶公司和思傑公司通過雙方產品不斷的集成,爲企業提供最全面的信息化整體解決方案,提供更優良的客戶遠程接入體驗。
2、Citrix Access Gateway 介紹
最佳SSL *** 解決方案
Citrix Access Gateway ™是一款通用的SSL *** 設備,爲信息資源提供了安全、且始終在線的單點接入支持。它俱備IPSec 和常見SSL *** 的所有優勢,同時擺脫了昂貴且煩瑣的實施與管理缺陷,從而可分別爲用戶、公司和IT 管理員帶來輕鬆的接入、強大的安全性和出色的經濟性。它可用於非Citrix 和Citrix 環境中,能夠與Citrix Presentation Server 實現完美集成。
Citrix Access Gateway 是一款1U 的機架式硬件*** 設備
Access Gateway 4.0 在接入基礎之上,爲公司信息提供了前所未有的嚴密控制。它是市場上唯一一款採用Advanced Access Control 的產品。其中後者是Citrix 的獨有選件,增強了對於網絡和信息資源的保護。Advanced Access Control 使得IT 管理員能夠對應用、文件、Web 內容、電子郵件附件和打印實現全面的控制。該選件能夠根據用戶的角色、位置、設備類型、設備配置和連接,確定可以訪問何種信息資源、以及在授予訪問權限後允許採取哪些措施。此外,受保護網絡還可以實施接入控制政策引擎和執行決策,從而可以實現比常見SSL *** 更強大的安全性。
可解決您的業務與IT 挑戰的寶貴機遇
Access Gateway 融合了IPSec 和SSL *** 的最佳特性,與市場中的其它SSL *** 相比,可帶來最佳的接入體驗。 Access Gateway 可帶來的優勢包括:
|
|
到任意應用或IT 資源的單點安全接入――Access Gateway 可爲以下應用帶來安全
|
|
|
的接入,包括Citrix Presentation Server 託管的任意應用,以及分佈式Windows 和
|
|
|
UNIX 應用、直接接入Web 應用、網絡文件共享、數據和協作服務、甚至採用VoIP
|
|
|
Softphone 的電話服務。事實上,Access Gateway 專門進行了優化,用於爲諸如IP
|
|
|
電話等基於UDP 的應用提供卓越性能。
|
|
|
較低的購買和維護總體成本――Access Gateway 可通過其支持Web 部署的自動更
|
|
|
新客戶端,實現快速、簡單且經濟高效的部署和維護。企業可輕鬆爲其處於任意位
|
|
|
置的遠程和移動用戶,提供類似臺式機的接入,同時免去了在每一設備上安裝、配
|
|
|
置、更新和支持客戶端軟件的成本與複雜性。
|
|
|
始終在線的移動性和無縫臺式機體驗――當用戶變換位置和設備時,Access
|
|
|
Gateway 能夠自動無縫地將其與相關應用和文檔重新建立鏈接,並使位於任意位置
|
|
|
的用戶都能夠獲得與在辦公室進行操作時相同的體驗。例如,用戶可在客戶或合作
|
|
|
夥伴位置建立連接,然後合上筆記本電腦,斷開網絡連接,返回辦公室,之後自動
|
|
|
重新建立連接。所有這一切將可以自動完成,無需任意用戶干預。
|
|
|
增強的數據安全性――Access Gateway 可在企業DMZ 中作爲一款具有強大設計安
|
|
|
全性的設備。內建的端點掃描功能提供了不間斷的實時掃描支持,可確保設備足夠
|
|
|
安全,能夠繼續與網絡保持連接。
|
Citrix Access Gateway 的工作原理
IPSec L2TP 或 PPTP *** 解決方案提供網絡層接入和加密,而 SSL *** 提供應用層接入和加密。Citrix Access Gateway 不僅採用了 IPSec *** 的基礎技術提供網絡層接入,同時也平衡 SSL 技術提供有效負荷加密接入和應用級加密的結合使企業不再需要維護兩個單獨的 *** 基礎架構,僅需一個產品就能享受 IPSec *** 和 SSL *** 的雙重優勢
Citrix Access Gateway 在客戶電腦和部署在 Intranet DMZ 中的 Access Gateway 之間部署了一條虛擬加密隧道。通過簡單存取安全 Web URL 或直接點擊桌面圖標,客戶電腦即可啓動Citrix Secure Access Agent,然後Access Gateway 會利用公司的驗證服務器來驗證身份的真實性,如果驗證信息正確,就完成了與客戶 PC 之間的初始化一旦通過驗證,Secure Access Agent 即被激活在客戶端計算機上,並可通過與 Access Gateway 建立的安全通道來訪問專用網絡。
Access Gateway 主要的安全接入功能和優點
|
功能
|
描述
|
優點
|
|
集成端點掃描
|
融合了初始註冊和連續的端點設備實時掃描。
|
保證了網絡連接時設備的安全性。
|
|
阻止惡意程序***
|
從客戶端工作站隱藏已連接網絡的IP地址。
|
讀取路線圖,減輕惡意程序對網絡的威脅,降低惡意程序***至所有已連接網絡的可能性。
|
|
支持任何應用或網絡資源
|
用戶可接入任何格式的應用,不論是客戶機/服務器應用還是We b應用。另外,Access Gateway 還支持基於UDP協議的應用,如實時語音業務(IP軟電話)。
|
管理員可讓用戶接入IT 資源,且無需自定義開發,或者無需維護SSL和IPSEC ***基礎架構。
|
|
支持任何地方的接入
|
在任何地方或從任何防火牆都能接入公司資源。
|
用戶可保持較高生產率,在任何地方都能開展工作。
|
|
優化UDP 應用支持
|
Access Gateway 運用了特殊技巧來優化用於電子郵件和IP電話技術等應用的UDP 業務的部署。
|
客戶無需繼續維護IPSEC*** 以支持基於UDP 的應用程序,如IP軟電話。
|
|
啓用或禁用分割連通
|
當網絡客戶端激活時,不管是否採用本地網絡,都以組爲基礎進行管理控制。
|
禁止分割加密隧道,減少惡意***的威脅。如果遠程PC直接連接Web ,並同時接入了***,那麼, Web***程序就會***PC 並同時***公司網絡。
|
|
RADIUS認證
|
R ADIUS服務器用戶認證。
|
企業可使用基於開放標準協議的現有驗證目錄。
|
|
LDAP認證
|
外部LDAP服務器用戶認證。
|
企業可使用基於開放標準協議的現有驗證目錄。
|
3、K/3 與Access Gateway 集成部署的意義
對於採用Citrix Presentation Server 訪問金蝶K/3 的用戶
Access Gateway 可以完全代替Presentation Server 中的安全網關(Secure Gateway),不但功能完全不受影響,而且Access Gateway 提供比Presentation Server Secure Gateway 更加全面的安全特性。
Access Gateway 作爲硬件*** 解決方案,性能比純軟件的Secure Gateway 高,單臺Access Gateway 可支持到2000 用戶,同等硬件配置下的Secure Gateway 一般只能支持700~1000 用戶。
Access Gateway 不需像Secure Gateway 那樣購置服務器硬件和操作系統來支持,因而總擁有成本比Secure Gateway 要低。
對於採用Web 界面登錄的Presentation Server 用戶,Access Gateway 可以提供Presentation Server Web 界面登錄代理,用戶可以在SSL *** 通道中通過WEB 界面輕易訪問發佈在Presentation Server 中的金蝶K/3 ERP 應用程序。
對於採用傳統*** 模式部署金蝶K/3 的用戶
IPSec 和其它早期的 ***,包括 PP2P 和 L2TP,給予了金蝶K/3 用戶桌面式遠程接入體驗,但 *** 客戶機的安裝和更新卻導致了管理上的煩惱和極高的支持成本。於防火牆的限制,當用戶身處客戶或合作伙伴的辦公室時常常無法正常接入公司應用和資源。而且最近,這類 *** 已成爲惡意程序***的主要途徑。
有了 Citrix Access Gateway,用戶既可享受昂貴 IPSec *** 所帶來的桌面式遠程接入體驗,也不必爲 IT 升級支付高額支持成本,因爲它配有一個用於URL 分發的客戶端軟件,客戶端可在用戶接入網絡時自動更新,Access Gateway 支持各種應用,不需改動代碼、定製連接,或進行任何研發 IP 協議,能跨越 IP 地址,防止了惡意程序的侵入 Access Gateway 克服了 IPSec *** 和 SSL *** 的侷限性,同時傳承了它們的所有優點。
第 7 頁共 10 頁
4、K/3 在Access Gateway 環境中的部署
對於採用Presentation Server 訪問金蝶K/3 的用戶
如上圖所示1、Citrix Access Gateway 部署在Internet DMZ 中2、Citrix Presentation Server 的Web Interface 也部署在Internet DMZ 中,位於Access Gateway
的後端
3、外部用戶通過Persentation Server 的ICA WEB 客戶端連接Access Gateway
4、Access Gateway 通過Web 代理登錄功能將用戶重定向到Presentation Server 的Web Interface,從而使外部用戶訪問到其發佈的金蝶K/3 客戶端應用程序
5、在外部用戶連接期間Access Gateway 在ICA 客戶端和PS Web Interface 之間構築其一條安全的SSL *** 連接隧道
6、注意:要實現Access Gateway 與Presentation Server 的整合,在此PS 服務器或其所在Farm 中必須有服務器運行STA 和Citrix XML 服務
對於直接採用K/3 GUI 客戶端遠程訪問金蝶K/3 的用戶
如上圖所示1、Citrix Access Gateway 部署在Internet DMZ 中2、遠程用戶通過Access Gateway 客戶端登錄到AG 設備,建立SSL *** 安全連接3、遠程用戶在登錄AG 後可以通過金蝶K/3 客戶端直接與總部局域網內的金蝶K/3 中間層
連接,使用金蝶K/3 ERP 產品
4、這種部署方式要求兩地間的連接帶寬較高,因爲金蝶K/3 客戶端接收的所有數據都從*** 通道里直接走,而不是AG-PS 整合方案裏那樣只走屏幕畫面和人機輸入設備的數據;推薦在總部至少採用兆級的光纖連接,不推薦在總部使用ADSL 等不對稱接入設備
5、在防火牆上,除Access Gateway 建立SSL *** 通道需要開放的443 端口外,還需要開放K/3 客戶端與中間層連接的各服務端口,包括RPC、KdsvrmrgService 、DOM、NetBIOS 這幾個服務的端口,具體請查詢金蝶K/3 系統管理員手冊
對於Persentation Server 負載均衡集羣的支持
Access Gateway 和金蝶K/3 均完全支持Presentation Server 的負載均衡集羣功能,其拓撲結構如上圖。
Access Gateway 設備的負載均衡和故障轉移功能
Citrix Access Gateway 支持負載均衡集羣和故障轉移集羣的部署,這兩種部署均不會影響金蝶K/3 的應用。
Access Gateway 的負載均衡模式,要求在AG 的前端部署一臺支持SSL ID 或Src IP 的負載均衡服務器,示意圖如下:
Access Gateway 的故障轉移模式,因爲AG 的故障轉移採用的是Active/Active 模式,所以你可以爲不同的金蝶K/3 遠程用戶指定故障轉移集羣中任意一臺AG 爲SSL *** 連接設備。示意圖如下:
除此以外,Citrix Access Gateway 還支持雙DMZ(Double-Hop DMZ),即三道防火牆的部署。在這種情況下,金蝶K/3 只能通過Presentation Server 終端模式與Access Gateway 進行聯合部署,因爲在雙DMZ 模式AG 不支持除ICA 以外的客戶端訪問局域網資源,所以通過K/3 客戶端+AG 客戶端直接使用K/3 的模式無法在此情況下實現。
轉載出處:http://community.kingdee.com/pages/langshidi/blog/archive/2007/02/01/186383.aspx