EasyConnect解决方案-2023年.docx

《EasyConnect解决方案-2023年.docx》由会员分享，可在线阅读，更多相关《EasyConnect解决方案-2023年.docx（12页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、远程移动办公正台解决方案深信服科技2023-10-18名目1 需求概述31.1 背景介绍31.2 需求分析31.2.1 跨平台访问31.2.2 快速应用部署31.2.3 数据防泄密41.2.4 终端易用性41.2.5 移动终端兼容平台41.2.6 应用访问速度42 方案设计原则42.1 安全设计原则42.2 高速性原则52.3 易用性原则53 整体设计方案53.1 远程办公正台部署方案63.2 远程办公正台特色83.3 具体功能介绍83.3.1 数据防泄漏83.3.2 终端易用性93.3.3 应用访问速度提升103.3.4 其它功能11深信服科技版权全部第10页，共12页1 需求概述1.1 背

2、景介绍随着企业信息化的快速进展，企业的分支机构与总部之间在应用上必需实现实时连接和数据共享，在异地实时协同、移动办公。企业IT架构从局域网走向互联网已经是必定的趋势。此外，随着各种智能手机、平板电脑以及3G网络的普及，人们的操作习惯和使用偏好正从原来笨拙的台式机、笔记本渐渐迁移到更加便携更加灵敏的智能终端。然而，由于iPhone/iPad/Android智能手机或平板电脑本身的局限性，使得这些使用非Windows操作系统以及其使用的非IE内核的扫瞄器的智能终端无法真正进入人们的工作当中，仅仅成为一种智能玩具。1.2 需求分析企业承受智能终端进展移动办公，现在面临以下问题：1.2.1 跨平台访问

3、现存绝大多数的业务系统以及办公正台都是架设在Windows平台之上 的，而且传统应用如：ERP中的物流、分销、财务等大多承受C/S模式， 很多B/S架构的业务系统也大多以IE作为平台。而iPhone/iPad/Android智能手机或平板电脑本身的局限性，无法安装Windows平台上运行的应用程序，因此，在智能终端上实现跨平台访问需求越来越猛烈。1.2.2 快速应用部署一些C/S程序客户端安全配置关心，或是B/S程序控件多，传统的应用 部署模式占用IT人员大量的精力和时间，后续的维护治理格外简洁。如何将高度分散在每个员工终端上运行的业务系统集中到工作组、部门或者业务单元的应用程序效劳器上，避开

4、由于地理分散的而在终端上屡次安装同类应用程序或控件的麻烦，成为企业关心的问题。1.2.3 数据防泄密客户业务系统通常承受的是较为单一的用户名密码认证方式，安全强度不高，极易遭到窃取、暴力破解造成重要应用系统的越权访问、强行攻破，导致核心数据的泄漏问题。因此必需承受更加强大的用户鉴权机制， 确保接入用身份合法、权限匹配。核心业务系统访问时会保护大量机密数据，通过智能手机、平板电脑或者一般PC访问时，必需要求数据不落地，即使终端丧失不会导致数据泄漏。1.2.4 终端易用性由于移动终端与一般PC使用体验迥异，客户已经适应了PC的使用， 如何在智能终端上可以具备与PC等同的应用程序访问体验，这一点对于

5、提高智能终端办公效率相当重要。1.2.5 移动终端兼容平台目前iPhone、iPad、Android平板和手机占据了移动办公使用终端的大 局部市场，所以应用程序的访问应当可以掩盖以上全部终端。1.2.6 应用访问速度影响用户远程办公的最主要因素就的访问速度问题，拖滞的访问速度将大大影响用户的访问体验及办公效率，网络状况、传输数据量及应用的交互方式等等都将影响着速度质量。2 方案设计原则2.1 安全设计原则智能终端远程办公运行的根底是Internet，全部的数据也必需经过Internet进展交换，而这些数据都是组织机构的私密信息，不允许为无关人员所知。因此必需保证合法用户的非授权访问数据访问，同

6、时杜绝数据拷贝至于智能终端或PC的数据泄密风险。2.2 高速性原则远程办公最大的制约因素就是速度方面的问题，缓慢的访问速度大大拖滞了员工的办公效率。网络速度低下的有很多缘由：高丢包高延时的恶劣网络环境、移动终端的3G无线访问、关键应用在广域网访问时对带宽的大量占用等，所以在设计接入方案的时候必需解决远程办公速度低下的问题。2.3 易用性原则终端用户的IT水平普遍不高，并且已经对PC的使用习惯根深蒂固。将智能终端作为远程办公的媒介，势必会挑战人们的使用习惯，而假设客户端的配置及操作繁杂的话，智能终端上实现办公正台接入不会被用户认 可。因此，远程办公正台的设计必需在智能终端上贴近用户的使用习惯，

7、同时避开繁杂的客户端配置，最大程度的提高用户的办公效率，从而大大降低网络治理人员对整个网络的维护工作量。3 整体设计方案本方案主要以深信服SSL VPN设备的EasyConnect功能和终端效劳器搭建移动办公正台，通过远程公布Windows应用的形式，将办公系统延长到个人PC或智能终端上，通过如个人PC、iPad、iPhone、Android等平板电脑或智能手机实现远程便捷办公，EasyConnect将数据保存在终端效劳器上，只有鼠标键盘点击的少量把握信息和屏幕更经过网络传输， EasyConnect让治理员可以为指定的用户群安排应用访问、打印和存储等权限策略；用户的各种终端通过深信服SSL

8、VPN接入业务数据中心，可以实现跨平台的快速访问，如图1所示。图 1 PC 或智能终端远程办公正台示意图3.1 远程办公正台部署方案整体网络构造可以分为四个局部，从客户到效劳器分别为客户终端、SSL VPN应用公布平台、应用公布效劳器以及企业应用效劳器。在部署智能终端远程办公正台的硬件环境时，需保证SSL VPN设备可以与应用公布效劳器相互通信。部署方式如图2所示：图2 远程办公正台远程应用公布功能通过以下组件来实现，软件架构见图3：1、 远程应用公布模块：内置在SSLVPN 设备中，拥有猎取应用公布效劳器上的资源信息，为终端供给访问，并负责身份认证、传输数据处理等工作，是远程应用公布的核心组

9、件。2、 RemoteApp Agent：深信服效劳端控件，安装在应用公布效劳器上，用来供给远程应用效劳和监控应用公布效劳器状态信息的程序。该程序默认为效劳器开启自动启动。3、 RemoteApp Client：客户端控件，在苹果等移动终端上命名为EasyConnect，供给接入终端效劳器的功能，苹果终端可在APPStore免费下载安装，Android终端可直接在登录界面下载使用，PC终端将自动安装相应客户端控件。4、 应用程序客户端：需要公布给移动终端用户使用的应用程序，需要提前在应用公布效劳器安装，如office、写字板等程序，基于C/S架构的应用系统需要在在应用公布效劳器上安装客户端软件

10、，B/S架构业务系统，需要在应用公布效劳器上安装相应版本的IE扫瞄器。3.2 远程办公正台特色图3 软件架构1、 智能终端与Windows无缝结合，令Windows程序无须修改即可用于智能终端，实现真正的轻量级移动办公；2、 基于RDP协议的图像传输，终端可配置不保存应用的任何数据；3、 支持Windows、iOS和Android操作系统；4、 移动终端完善结合多点触摸操作技术；5、 并发多任务会话支持；6、 丰富的认证技术，其中智能终端认证包括用户名密码、证书认证、动态令牌、短信认证、外部认证、移动终端的硬件特征码认证等；7、 业务数据安全防泄密保障；8、 页面自动调整显示技术；9、 独特鼠

11、标模拟、键盘模拟技术；10、输入法映射技术。3.3 具体功能介绍3.3.1 数据防泄漏11、基于RDP协议的数据传输技术，保证传输于互联网上的数据不但做了严格的加密，并且终端和效劳器交互的额只有终端效劳器的应用程序图像，不包含应用程序本身的任何数据；12、同时，由于应用系统运行在终端效劳器及其应用效劳器上，终端上只是即时显示图像，做到了应用程序数据不落地，即时终端丧失，也不存在终端上的机密数据丧失的可能。13、支持终端效劳器权限细化把握。终端效劳器权限的把握，往往关系到操作系统安全、OA系统安全、用户环境安全等因素，权限把握越细，安全性能和可配置性也越高，深信服EasyConnect对于权限的

12、把握做了深入的细化，包括了如下的权限细化把握：支持用不同的Windows账号登录远程会话，做到操作系统会话层用户隔离，每个用户只能使用自己的会话来使用公布的程序；支持在终端效劳器上进展网络拦截，做到网络安全可控，保护终端效劳器不会恶意地访问危急或未授权的网络；支持在远程会话中只允许某些应用程序使用，做到程序安全可控，制止用户私自运行影响终端效劳器安全的程序；支持在远程会话中禁用客户端映射选项，做到对用户的映射权限可控；在终端效劳器制止访问某些系统进程，做到对系统进程的保护。3.3.2 终端易用性1、 支持智能终端模拟键盘和鼠标，将适用Windows的键盘鼠标模拟到智能终端上，实现Windows

13、下快捷方式的输入、鼠标的灵敏操作等功 能。2、 支持虚拟打印机映射可以通过在终端效劳器选择虚拟打印机，在客户端本地打印机打印文件，终端效劳器无需安装客户端打印机驱动，如以以下图：图5 虚拟打印机支持在客户端查看本次会话中的打印任务状态3、 支持本地输入法映射。支持使用客户端本地输入法在远程应用中输入文字，在使用远程应用的时候可以连续保存本地的输入习惯。记事本-远程应用Sangfor,远程应用本地输入法图6 终端输入法4、 支持远程应用公布资源的单点登录，用户无需再次输入用户名密码，自动为用户登录远程公布的OA系统，为用户使用资源供给了便利性。3.3.3 应用访问速度提升例如OA或金蝶EAS效劳

14、器端和客户端在应用程序访问时会产生大量的数据交互，这在互联网上简洁被带宽以及线路的稳定性所影响。远程办公正台应用集中公布降低了应用对网络和终端硬件的依靠，使其不再成为性能瓶颈。实现了以最低的带宽要求保证了最高的工作效率。3.3.4 其它功能1、 支持远程存储策略。对于集群部署的终端效劳器，当用户登录 时，可能被安排到不同的终端效劳器，会导致用户无法使用上次保存在一台终端效劳器上的文件，由此提出终端效劳器与文件效劳器的部署方式， 功能如下：在远程应用中使用远程私人存储和公共存储，做到安全与灵敏兼备， 示意图如下：图 7 文件效劳器部署方式通过WEB文件共享操作远程存储，便利用户使用终端效劳器上的

15、文件。2、 远程应用程序支持工作名目设置，一些应用软件本身需要读取或写入文件，为远程应用程序设置工作名目，满足了这类应用的应用场景， 支撑了这类应用的部署和推广。3、 支持集群，且可以灵敏的配置负载均衡策略。是否支持集群是终端效劳器效劳负载力气的一个重要功能，具备集群功能使得应用可以成规模扩展，支持更多终端用户使用资源。支持以会话数、CPU、内存、I/O、综合性能，总计5种策略进展负载均衡，为同构或不同构的各种效劳器供给最正确负载选择。在启用了保持会话功能的状况下，默认往上次翻开会话的效劳器上分发，为用户节约重连接的时间，为效劳器节约终端授权。4、 虚拟终端效劳器运行状态监控。对于终端效劳器，不但需要可以公布应用，满足一般用户功能，同时也需要能对其进展便利的治理，观看其状态，以便为企业呈现庚还得投入产出效果。治理员可以在把握台直观查看虚拟终端效劳器的运行状态，以打算是否需要添加终端效劳器。治理员可以在终端效劳器性能缺乏时收到邮件告警，以进展准时处理。5、 支持效劳端插件在有更的时候自动更，为大范围部署的升级节约了大量的重部署时间。