深信服VSP解决方案
深信服科技有限公司
2011年10月28日
第1章需求概述
1.1背景介绍
企业往往注重网络边缘的安全防护,认为外部安全了,内部自然就平安无事。因此,在制定安全机制或策略时,往往是针对外部威胁而设定的。许多企业对核心数据和信息的保护几乎是零,既没有身份认证的授权要求,也没有等级的访问权限,更没有进行适当的数据加密处理,企业机密几乎被置于真空当中。
1.2需求分析
安全接入面临的挑战
(1)核心业务系统重点防护
内网中存在多业务系统且安全等级要求不同,怎样提供差异化安全防护解决方案;业务系统内网员工或第三方人员接入数据如何防泄密。
(2)业务交互
员工通过网络与总部联系,他们不可避免要存储的关键业务数据,这样可以在本地机器上拷贝和打印文件,企业商业机密很容易从内部泄密,第三方运维人员也不可避免要存储的关键业务数据,都是保存在本地相互独立的PC上。
(3)统一平台
越来越多的中小企业迫切地需要一个平台以实现其电子邮件、移动办公、文件共享等统一应用。
(4)移动终端
随着iPhone/iPad/Android等智能手机的普及,使得移动办公正成为一种时尚,不修改原有办公系统前提下,快速实现移动办公应用得诉求越来越强烈,然而各种智能终端的操作系统和应用的复杂性和享受移动办公便利同时带来的安全威胁严重阻碍着移动办公方案的开展。
(5)应用部署及维护
单点集中管理,总部IT工程师能够单点控制系统,以最快速度和最低成本部署系统,同时系统要具有良好的可扩展性,网络系统中增加新客户时,能够在最短时间内开展工作。
安全传输面临的挑战:
随着全球信息化的浪潮及宽带网络建设的飞速发展,具有跨区域远程办公及内部信息平台远程共享的企业也是越来越多,并且这种企业运营模式也逐渐成为现代企业的“需要”和“必要”。这样,企业总部和各地的分公司、办事处以及出差的员工需要实时的进行信息传输、资源共享等,企业之间的业务来往也越来越多的依赖于网络,但是由于互联网的开放性和通信协议原始设计的局限性,所有信息采用明文传输,从而导致互联网的安全性问题日益严重,非法访问、网络攻击、信息窃取等频频发生,给公司的正常运行带来安全隐患甚至不可估量的损失。
安全访问面临的挑战:
随着信息化迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet的业务系统,如各类网上申报系统、网上审批系统、OA系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施;而系统涌现,在与已有系统集成或融合上,特别是相同的用户群带来以下问题:
(1)如果每个系统都开发各自的身份认证系统将造成资源浪费;
(2)多个身份认证会增加整个系统的管理工作成本;
(3)用户需要记忆多个账户和口令,使用极为不便,同时如果用户口令遗忘,技术支持费用更高涨。
(4)无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在不同系统内进行配置
(5)传统身份认证只是用一种条件判断用户身份,因此用户身份很容易假冒,稍具规模的企业由于历史问题,很多的应用系统都只利用用户名、密码来保证系统的安全性,认证强度不够大,存在访问安全漏洞,加上这些系统都已经成型已久,绝大部分的系统都不可能再利用第二次开发来提升应用系统的安全性。
通常系统中的数据资源只能被有权限的用户访问,一旦访问者身份被伪造,未授权用户访问数据,信息资源安全受到威胁。
第2章整体方案
深信服VSP设备是为企业用户设计的具有前瞻性的虚拟化安全平台,它以契合用户的业
务流程为设计出发点,通过单一设备的强认证、主从绑定、权限划分等功能来实现整个业务流程中各个环节的用户访问控制,再借助安全桌面来实现核心业务系统和本机计算机、外设、以及其他网络之间的完全隔离,不影响用户办公操作,具有更高的性价比和业务可行性。通过安全接入、安全传输、安全访问多维度考虑,为用户提供了端到端的安全交付方案。
2.1安全接入应对
VSP部署说明如下:
1、VSP部署于重要的系统服务器前面,对所有的重要的业务系统起到保护作用;
2、网络配置完成之后,直接由VSP设备自动下发至受控终端,终端访问核心业务系统必须先登录VSP,经过认证之后在安全桌面中访问业务系统;安全桌面中的业务信息无法外泄;
3、所有的业务系统信息访问放于安全桌面中,信息安全由VSP的沙盒技术做到防止泄密,可以设定所有流程中的人员,有防泄密必要都必须先通过VSP认证,可以让VSP的防泄密措施智能地运行到每一个业务系统流程环节。
整体部署情况对于现有的网络部署、现有的业务系统使用习惯无需做任何大的改变,就能实现彻底的防泄密效果。
实现步骤:
1、限制:
在虚拟安全桌面被推送到终端之前,计算机终端无法访问指定的业务系统;
2、认证:
虚拟安全桌面被推送到终端之后,用户需要进行访问认证。认证的方式可以选用包括用
户名/密码、USB-KEY硬件身份证书、数子文件证书、动态令牌、短信验证码、硬件特征码码等多种认证方式;
3、启用安全桌面:
认证结束之后,在计算机终端自动开启一个虚拟的办公环境,对于终端客户来说是呈现出一个新的桌面,称之为安全桌面。在这个安全桌面内,操作性和原本的默认桌面是一致的,所以用户可以在安全桌面内保持其原有的操作习惯。在安全桌面中访问业务系统,并且其他相关的办公软件,如Office、CAD等办公软件都可以正常使用。
4、数据防范泄密:
重要的工作数据只能放在安全桌面中进行编辑、查看等操作、无法把各种业务数据拷贝到默认桌面,无法使用各种外设进行拷贝泄密,安全桌面中与互联网隔离,在安全桌面中也无法通过截屏、录屏等方式获取业务系统中的资料。
5、VSP的访问记录:
在安全桌面内进行的VSP访问在严格的管理和监控之下,独立的数据中心记录用户访问VSP的时间、访问资源等信息;
6、安全桌面退出,自动清除所有遗留文件:
业务系统访问完毕之后,退出安全桌面,安全桌面内遗留的业务文件,将会被自动清除,留在原有硬盘文件中的机密信息,也会被自动清除。
7、安全桌面异常情况处理:
当终端突然断电、计算机系统崩溃、安全桌面程序被意外终止等特殊异常情况发生时,安全桌面内临时未清除的修改和文件仍然处于重定向和加密隔离状态下,不会发生泄密,在安全桌面再一次启用之后,VSP自动对每一个终端中的安全桌面进行自检,把原有的异常状态进行清除。
如图所示,实现业务办公系统在虚拟安全桌面中使用,保障数据的安全:
VSP可帮助企业快速、安全地向任何地点、使用任何设备的用户交付桌面访问。即使用户、承包商和合作伙伴处于移动状态,或位于分公司、电话亭、工厂、项目现场以及其他远程地点,仍可以实时开展基本的业务活动和过程。此外,它们还可以提供全方位保护,使管理员可以全面控制敏感数据和应用,有效避免关键信息离开数据中心。数据的保护和控制仅仅是个开始,通过VSP桌面虚拟化功能,企业可以大幅降低IT运营成本,快速响应不断变化的业务,提高业务部署和访问的灵活性。
2.2安全传输应对
VSP可以提供SSL VPN功能,这套SSL VPN采用标准SSL协议加密建立安全的专用加密通道。VSP可启用VPN专线特性,杜绝黑客通过远程控制用户电脑然后进入VPN隧道从而潜入企业内网;客户端安全准入检测,使得操作系统没有及时打补丁,没有安装指定杀毒软件等存在安全威胁的客户端不能和企业内网建立VPN连接;
VSP不仅在传输安全方面考虑,更是采用多种技术实现数据的快速交互。采用的LZO流压缩技术大大提高了数据传输效率,Web Push专利技术通过对Web页面的整合发布,减少了大量的TCP响应次数,当用户通过VSP访问B/S架构的服务时,其加速效果非常明显,同时还针对3G、WiMax、Wi-Fi等未来的主流无线网络接入技术进行了分析优化,逐渐将广域网加速技术、无线网络优化技术加入到了VSP中,为用户提供了超出想象的高速访问体验。
深信服VSP中的SSL VPN功能提供对IT应用的全面支持,支持所有基于TCP/UDP/ICMP 的应用,甚至支持VoIP,视频等,让用户的IP电话和视频会议轻松扩展到VPN网络上;凭
借SSLVPN的天生优势,用户不管采用windows,linux,apple电脑,还是PDA,掌上电脑,智能手机,只要是具有标准浏览器(IE,Mozilla,Firefox,Netsca这e等)的终端,都可以用来接入企业内网;
2.3安全访问应对
VSP为企业B/S和C/S业务系统提供高性能的安全认证、应用集成、访问控制、安全管理等功能。身份认证和访问控制的综合应用,可广泛满足用户的多种需求,快速部署和应用。
安全认证整合现有网络系统的多种认证方式,如:用户名/口令、CA证书、动态令牌、短信认证、硬件特征码认证等,可根据实际需要,对多种认证方式进行“与”“或”组合,为不同用户采用差异化的认证方式。针对不同用户赋予不同的访问权限,同时通过对身份认证的统一管理,实现用户访问系统资源时的单点登录。
VSP具有完善的单点登录体系,可安全地在应用系统之间传递或共享用户身份认证凭证,用户不必重复输入凭证来确定身份。不仅带来了更好的用户体验,更重要的是降低了安全的风险和管理的消耗。同时VSP的主从帐号绑定功能,可限制登录用户对于某些指定应用只能使用属于其的账号进行验证,防止因账号盗用而导致越权访问、数据泄漏的情况发生。
访问控制结合认证服务,可对用户组与应用系统或资源的关联关系,角色与应用系统或
资源地关联关系进行创建和维护,在应用层控制用户能够访问哪些应用及资源。
安全管理方面VSP提供对LDAP、AD等认证服务器的支持,直接将认证的数据转向认证服务器,让它进行判断。如果有一些特殊的需要,也可以将认证服务其中的用户导入到设备中,可以根据您的需要定时进行用户信息同步,节省了用户投入,实现了资源利用最大化。
VSP身份认证功能可以主要应用于两个方面,第一,应用版作为企业用户管理、应用系统管理、统一认证和权限管理中心,以企业用户、B/S和C/S系统为整合目标,实现统一认证、统一授权和访问控制;第二,无线认证版,为用户的WLAN接入提供安全、方便、灵活的身份认证功能和访问控制的综合解决方案。
第3章安全桌面相关技术
3.1安全桌面内的安全特性
在虚拟安全桌面内,原有的软件系统可以继续访问,但是原有的文件系统都会在安全桌面中进行虚拟化重定向,因此无论是用户本身,还是互联网的恶意软件,对文件、系统等的操作都会被进行重定向,因此进行的更改都不是对源文件进行更改,在安全桌面退出之后就会被自动清除掉。
例如:在安全桌面内对一个Word.Doc文件进行修改,在退出安全桌面之后该操作就会被还原。
重定向的目标包括了所有在安全桌面中被运行过的文件或者被访问过的数据。因此网络上的木马想要对本机的任何软件进行挂马、注入,还是对注册表进行恶意修改,所有的影响都只能被限制在安全桌面中,保持在本机中的硬盘文件,也是会被重定向到指定临时区域,而在安全桌面退出之后,这些病毒的危险也都会被清除。
同样,由于对通讯进程管道的严格控制,安全桌面内对于其他局域网内的目标,包括本机和局域网的其他计算机、服务器,也进行了严格管理。互联网的恶意进程只能访问到本机的虚拟桌面,而通过本机作为中转进行感染局域网内的其他计算机或者服务器的行为,是不可能的。
综上所述,安全桌面内能实现的管理内容有:
(1)禁止与本计算机通讯:禁止安全桌面与默认桌面通信
(2)禁止与本地网络通讯:安全桌面内禁止与内网内其他计算机通信。
(3)禁止与外网通讯:安全桌面内禁止使用网络应用或将数据通过网络通信泄漏
通过以上机制,能保证互联网的影响性被强制限制在虚拟的安全桌面内,从而实现了高安全的网络隔离效果。
3.2安全桌面内的加密特性
在安全桌面中,经过运行过的或者访问过的文件都将被进行重定向,除此之外还将被自动进行加密。加密的方式可以有最简单的字典加密、对称加密、非对称加密等各种方式,甚至可以实现用户所指定特有的加密方式。
在虚拟化环境中,自动加密的对象包括了任何在虚拟环境中新加的文件或者信息,比如从互联网上下载一个文件,虽然用户在安全桌面中可以正常打开这个文件,但是这个文件其实是进行加密的,它将在其他环境中,比如默认桌面内,或者被传输到其他存储介质中,都将不能正常打开。
通过加密机制,文件结构也随之发生了良性改变:文件在虚拟环境中可以正常使用,但是无法被传递到其他环境中。一些恶意的潜伏病毒,通过这种方式也对其的恶意运行机制进行破坏,提前预防了潜伏的恶意攻击,也杜绝了病毒其他可能的传染途径,如U盘、移动硬盘等移动传输介质介质。
3.3安全桌面内的文件传输机制
内网中的业务人员需要进行互联网查阅,有时候需要保留一些从互联网上获得的资料,而在安全桌面中是默认无法保留任何文件的,因此也会产生不便,为了能让业务人员更好开展工作,安全桌面可以进行配置通行策略,设定一个文件传输隧道。
利用该文件传输隧道,终端用户可以把安全桌面中的指定文件,通过手工的方式从虚拟环境中导出到真实的默认桌面,从而可以不受限制地应用在本地的计算机中。通过这样的限制方式,病毒和木马不可能知道虚拟桌面的通行隧道,因此无法利用这个隧道把相关危险传播到真实计算机桌面中。
通过制定通行隧道的方式,在保证业务的便利性,同样也能禁止病毒和木马文件扩散,保证内网安全。
3.4安全桌面内的文件保存机制
安全桌面中,如果有一定量的工作,无法一次性完成,而需要在重启安全桌面后能够继
续上一次的操作,VSP可以配置一个临时文件存放区域,在该目录下的文件将在退出安全桌面后不被清除,下一次登录安全桌面后可以继续进行工作。
放在该临时目录的文件,只能在安全桌面内打开。在退出安全桌面后,虽然文件不会被删除,但是经过了高安全的加密的,因此无法再普通默认桌面下打开,就算拷贝到其他计算机也无法获取文件信息。要想打开文件,就必须再次进入安全桌面中。而且因为安全桌面进行加密的密钥是绑定用户的,因此该文件在其他用户的安全桌面内也是无法打开的。
应用举例:某业务人员A,在安全桌面中编写Word文档,工作未完成时下班了,这个时候他可以把该文档存放在特定的目录下(甚至可以指定为U盘中),退出安全桌面,该文件继续存在,但是无法再打开了。在下个工作日,他可以再次进入安全桌面,打开该文档继续工作。该文档即使是被其他人拷贝了,也无法被打开,不会发生泄密。
3.5工作组中共享虚拟环境
在企业中,可能存在一定的工作小组,在该小组内,由于小组配合完成某一项工作,因此信息或者相关业务资料需要进行共享。
VSP可以为同一任务的小组成员设置为工作组,从而实现工作组内用户可以共享信息和处理同一事项。
在共享虚拟环境的工作组中,用户可以在虚拟环境下访问其他的小组成员,并且完成的加密文件在同一小组内是可以共用的,而小组成员以外的人,则无法查看到该内容。
应用举例:在业务人员A、B、C三人组成一个业务小组,那么A、B、C三个人的计算机的虚拟环境是可以突破限制实现互相通讯,而且三个人中虚拟环境中的加密密钥是一致的,实现了文档可以相互共享。比如保存下来的业务文件,在小组中的虚拟环境中可以被解开,而小组以外的人员则无法使用这些文件。
3.6异常情况保证
因为客观下的各种情况,网络和计算机终端都可能存在异常,完全100%稳定的网络和计算机是不可能存在的,关键在于出现异常情况下,需要保证相关的安全机制和管理手段依然有效。
在本方案中,需要考虑的异常情况包括:
(1)网络出现问题:网络设备断电、网络物理线路断开、甚至是网络设备遇到强电流电源烧毁等异常情况,导致VSP设备无法连通终端计算机,无法继续进行管理终端;
(2)计算机出现问题:终端计算机系统崩溃,包括蓝屏、宕机等导致终端计算机非正常退出安全桌面;
(3)终端用户使用问题:包括用户临时离开计算机、认证KEY被突然拔开、非正常关闭安全桌面系统等;
针对第一种情况:终端的安全桌面和VSP设备是进行实时关联的,一旦出现网络问题导致连接终端,安全桌面即会开始进行自动退出,自动退出就将情况所有安全桌面中的临时数据,保证安全性;
第二种情况:从前面的方案描述中,已经明确了在安全桌面中的所有文件都是进行了即时的重定向和即时加密,所以一旦计算机终端崩溃,导致临时数据无法及时清除,因为是进行了重定向和加密处理的,所以就算是再恶劣的病毒文件也无法运行或者发挥其他任何作用;而一旦再次重启安全桌面,VSP系统会自动检测上一次的异常情况,并把上次系统崩溃产生的文件进行清除;
第三种情况:由于人为的误操作,如果导致系统非正常关闭,则情况处理如同第二种情况;如果是用户长时间未使用虚拟桌面,可以设置自动超时断线时间(由管理员统一配置),超过指定时间没有进行操作,就会自动退出,而当认证凭证,如KEY被拔出这些导致认证失败的情况,也会导致安全桌面自动退出。
第4章方案价值
4.1卓越的用户体验
安全桌面启用简单,用户经过认证,就可以在安全桌面下访问核心业务系统,不改变用户使用习惯;同时可在默认桌面下访问办公网和互联网,相对于物理隔离,有效提升业务效率。
4.2优异的网络适应
部署安全桌面时无需对原有的网络进行大规模的硬件重组和网络架构改动,易于部署、节省上线时间;无论何种终端、何种操作系统均可通过安全桌面实现无缝接入。
4.3完整的用户鉴别
针对外访问人员或内部员工支持多达八种认证方式,多重密码保证安全。
4.4便捷的维护与升级
维护只需要针对虚拟安全网关;后续升级只需要增加接入授权和认证工具;当业务发展较快设备性能不足以支撑时,也只需要增加虚拟安全网关设备进行集群部署即可。
4.5完整的数据安全
由于XenDesktop只是将运行的图像更新通过网络传输,显示在远程设备的显示设备上,数据与文件保存在数据中心不会通过网络进行传输,既满足了用户随时访问数据的需求,又可以防止用户随意拷贝和带走数据,导致信息泄密。
标准的SSL加密传输技术将虚拟桌面推送给远程用户
4.6简化的用户管理
虚拟桌面摆脱了操作系统、用户数据和硬件之间的依存关系,不需要在最终用户设备上安装或管理桌面环境。管理员可以在数据中心进行对所有桌面和应用进行统一配置和管理。例如系统升级、应用安装,等等。尤其对于大规模的,频繁更换操作系统的应用场景,非常适合。
第5章深信服科技介绍
深信服科技是中国规模最大、创新能力最强的前沿网络设备供应商,致力于通过创新、高品质的产品及卓越的服务,帮助用户提升互联网带宽的价值。通过专业、创新、高性价比的产品,围绕商业用户Internet带宽资源,帮助用户降低成本(VPN实现网间互联、替代专线)、提高效率(广域网加速让应用更快捷)、产生效益(SSL VPN实现无处不在的移动办公)、防范风险(AC上网行为管理网关保证内、外网安全)、优化资源(BM流量控制实现带宽合理管控)、提高访问体验(AD应用交付实现链路及服务器双负载均衡),提供全面的网络优化解决方案!
深信服科技现有AC上网行为管理、IPSec VPN、SSL VPN、广域网加速、BM流量控制、AD应用交付等全系列产品线。丰富的产品系列给客户更大的选择空间。不同层次、不同需
求的客户都可以在深信服科技找到适合自己的网络连通、管理、优化产品。
截止到2010年2月,已有超过16,000家用户选择了同深信服合作并取得了显著收益。这些用户包括中国移动、通用电气、壳牌石油、丰田汽车等世界500强企业,也包括中国人民银行、国资委、中国人寿、招商银行、南方航空、中国人民大学等中国知名用户。在中国入选世界500强的企业中,超过一半的企业都是深信服的用户。
目前,深信服科技总人数已达900人,直属分支机构36个,销售网络遍布全国,并在香港、新加坡、阿联酋、泰国、印度等国家和地区设有直属办事机构。从2000年底成立至今,公司以每年销售收入增长2-3倍、人员增长1倍的速度高速发展。2005年-2009年,深信服连续5次获得德勤“中国高科技高成长50强”、“亚太地区高科技高成长500强”,并于2008年获得渣打银行授予的“最具成长性新锐企业”中型企业金奖。2009年,深信服荣获《财富》杂志“卓越雇主奖”。
深信服科技坚信技术创新是保证产品优秀品质不可或缺的条件,每年将销售收入的15%投入产品研发,始终保持着技术的时时领先,目前拥有近30项网络及安全领域发明专利。我们以深厚的技术实力、丰富卓越的产品、细致完善的服务为您提供最佳整体网络优化方案,提升您的带宽价值!
深信服获得的荣誉
2005年、2006年、2007年、2008年、2009年,连续五年获德勤“中国高科技高成长50强”,“亚太高科技高成长500强”
国家商用密码产品生产定点生产单位
国家IPSec VPN、SSL VPN标准制定者
2009年深信服全线产品均入围中央政府协议采购名单
2009年深信服VPN率先通过国家虚拟专用网安全技术要求第三级检测
2008年,深信服产品获得国家涉密产品资质
30余项相关领域发明专利
(2009-12-23)一种VPN认证方法
(2009-12-16)一种网络数据流识别方法
(2008-09-10)一种网络插件的安全检查方法、系统及安全检测设备
(2008-07-28)一种加速DCOM系统的方法
(2008-07-28)动态数据压缩技术
(2008-07-28)通过流缓存实现网间数据传输加速的方法
(2007-05-18)通过自组域简化部署VPN网络的方法(2007-01-22)基于网关、网桥防范网络钓鱼网站的方法(2006-09-19)一种应用代理实现网间应用加速的方法……
深信服,解决方案 篇一:深信服移动安全业务解决方案 深信服移动业务解决方案 应用背景 移动互联网的的繁荣推动了办公的移动化发展,3A办公模式已成为一种新的趋势。移动办公意味着办公人员可以在任何时间(Anytime)、任何地点(Anywhere)处理与业务相关的任何事情(Anything)。这种全新的办公模式,可以摆脱时间和空间对办公人员的束缚,从而提高工作效率及远程协作能力,尤其是可轻松处理常规办公模式下难以解决的紧急事务。 OA系统在IOS/Android终端上的出色表现,吊足了大家的胃口,人们已经无法满足于简单的移动办公,更多重要业务系统延伸至智能终端的诉求愈演愈烈。以企业的销售自动化系统为例,成功部署于智能终端后,可以为销售人员提供客户管理功能,包括信用额度、应收帐款等信息,并能够方便的查询库存信息、客户的定单状态、发货情况、退货记录等信息;可以将销售人员从烦琐、重复的查询劳作中解脱出来,不仅提高了工作效率,同时销售人员还可以有更多的时间和精力用于市场开拓。 移动业务面临的挑战 移动业务已成为未来网络发展的重要趋势,众多IT厂
商纷纷推出移动业务解决方案。用户的需求已经迫在眉睫,但IT厂商推动时面临的问题和困难也不容忽视: 1、无法快速迁移:当前传统信息化应用由于各种技术限制,无法直接迁移到智能终端上,无论是B/S还是C/S 模式的应用,由于平台化的不同,在传统PC和智能终端上的使用都会存在较大差异。 2、部署代价高:一旦部署移动业务,要针对原有应用系统进行重新开发,需要较长的开发周期;同时,后台的数据结构还需要进行重新调整。这些都将会极大地增加项目的复杂度和风险,需要部署的应用系统越多,部署成本便越高。 3、安全风险:一旦敞开了大门,通过移动终端接入企业内网后,核心业务系统的数据存在各种泄密风险,也给企业带了更大的经济损失的风险。 面对移动业务未来的广阔市场以及实现移动办公存在的种种问题、挑战,我们该如何选择?是否存在更加安全、高效、低成本、贴合用户需求的方案,帮助用户快速实现跨平台的业务访问? 深信服解决方案 总述:针对不同的业务场景,企事业单位未开发业务系统的APP客户端及已有APP客户端的不同情况,深信服提供相应的移动业务解决方案:
XXXX 桌面云解决方案建议书 201X年X月 深信服科技有限公司
目录 第1章项目概述 (1) 1.1项目背景 (1) 1.2需求分析 (1) 1.2.1高昂的运维和支持成本 (1) 1.2.2数据丢失和泄密风险大 (2) 1.2.3阻碍企业移动业务战略 (2) 1.3革新的桌面交付模式 (2) 1.3.1桌面云概念定义 (2) 1.3.2桌面云带来的变化 (3) 1.4设计原则 (3) 第2章深信服aDesk桌面云方案介绍 (4) 2.1一站式方案概述 (4) 2.2主要功能列表 (5) 2.3多种桌面交付类型 (8) 2.4方案价值总结 (9) 2.5方案优势介绍 (10) 第3章XXXX桌面云整体架构设计 (11) 3.1深信服桌面云整体架构 (11) 3.2组件及模块介绍 (11) 3.2.1AD/DHCP服务器 (11) 3.2.2桌面服务器和磁盘阵列(VMS) (12) 3.2.3虚拟桌面控制VDC (12) 3.2.4终端设备 (12) 3.3服务器群集设计思路 (13) 3.4深信服SRAP协议技术详解 (13) 第4章桌面云方案软硬件需求 (16) 4.1服务器存储选型依据 (16) 4.2容量估计及性能分析 (18)
4.3aDesk桌面云方案配置参数 (18) 4.3.1容量规划 (18) 4.3.2软硬件列表 (19) 第5章产品精彩亮点解析 (20) 5.1良好用户体验 (20) 5.1.1高清视频体验 (20) 5.1.2高效SRAP协议 (20) 5.1.3单点登录技术 (21) 5.1.4自动化桌面部署 (21) 5.2最优的灵活性 (22) 5.2.1广泛终端支持 (22) 5.2.2丰富的桌面类型 (22) 5.2.3外设的总线映射技术 (23) 5.2.4智能开关机 (24) 5.3端到端安全设计 (24) 5.3.1终端安全 (24) 5.3.2传输安全 (25) 5.3.3平台安全 (25) 5.4最低的IT总体成本 (26) 5.4.1高效率、低能耗瘦终端 (26) 5.4.2内存页合并技术 (27) 5.4.3镜像分离和IO加速 (27) 5.4.4桌面服务器群集设计 (28)
深信服上网行为管理解决方案篇一:深信服上网行为管理部署方式及功能实现配置说明 深信服上网行为管理部署方式及功能实现配置说明(标化院) 设备出厂的默认IP见下表: AC支持安全的HTTPS登录,使用的是HTTPS协议的标准端口登录。如果初始登录从LAN口登录,那么登录的URL为:,默认情况下的用户名和密码均为admin。 设备正常工作时POWER灯常亮,WAN口和LAN口LINK 灯长亮,ACT灯在有数据流量时会不停闪烁。ALARM红色指示灯只在设备启动时因系统加载会长亮(约一分钟),正常工作时熄灭。如果在安装时此红灯长亮,请将设备掉电重启,重启之后若红灯一直长亮不能熄灭,请与我们联系。 『部署模式』用于设置设备的工作模式,可设定为路由模式、网桥模式或旁路模式。选择一个合适的部署模式,是顺利将设备架到网络中并且使其能正常使用的基础。 路由模式:设备做为一个路由设备使用,对网络改动最大,但可以实现设备的所有的功能; 网桥模式:可以把设备视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用,平滑架到网络中,可以实现设备的大部分功能;
旁路模式:设备连接在内网交换机的镜像口或HUB上,镜像内网用户的上网数据,通过镜像的数据实现对内网上网数据的监控和控制,可以完全不需改变用户的网络环境,并且 可以避免设备对用户网络造成中断的风险,但这种模式下设备的控制能力较差,部分功能实现不了。 选择【导航菜单】中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面, 、『网桥模式』、『旁路模式』的选项,选择想要配置的网关模式。 路由模式:是把设备作为一个路由设备使用,一般是把设备放在内网网关出口的位置,代理局域网上网;或者把设备放在路由器后面,再代理局域网上网。 配置方法: 第一步:先配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP是/24,在电脑上配置一个此网段的IP地址,通过https://登录设备,默认登录用户名/密码是:admin/admin。 第二步:在【导航菜单】页面中的『网络配置』→『部署模式』 ,右边进入【部署模式】 第三步:定义LAN区网口和WAN
深信服上网行为管理 解决方案 深信服科技有限公司 20XX年XX月XX日
目录 第1章需求概述...................................................................... 错误!未定义书签。 背景介绍...................................................................... 错误!未定义书签。 需求分析...................................................................... 错误!未定义书签。 带宽效率风险.................................................... 错误!未定义书签。 工作效率风险.................................................... 错误!未定义书签。 泄密风险............................................................ 错误!未定义书签。 法律风险............................................................ 错误!未定义书签。 安全风险............................................................ 错误!未定义书签。 客户具体需求分析...................................................... 错误!未定义书签。 客户网络现状分析...................................................... 错误!未定义书签。第2章上网行为管理标准...................................................... 错误!未定义书签。第3章上网行为管理AC功能介绍....................................... 错误!未定义书签。 身份认证...................................................................... 错误!未定义书签。 多种认证方式.................................................... 错误!未定义书签。 单点登录技术.................................................... 错误!未定义书签。 用户批量导入.................................................... 错误!未定义书签。 跨三层绑定IP/MAC ......................................... 错误!未定义书签。 新用户认证........................................................ 错误!未定义书签。 访问控制...................................................................... 错误!未定义书签。 网页过滤............................................................ 错误!未定义书签。 搜索关键字过滤................................................ 错误!未定义书签。 发帖关键字过滤................................................ 错误!未定义书签。 文件类型过滤.................................................... 错误!未定义书签。 应用控制............................................................ 错误!未定义书签。 SSL加密应用管理-反钓鱼网站功能 .............. 错误!未定义书签。 P2P管理 ............................................................ 错误!未定义书签。
深信服电子科技 整体解决方案 深信服科技(SANGFOR Technologies Co., Ltd,)版权所有 (2015) 文档中的全部内容属深信服科技所有, 未经允许,不可全部或部分发表、复制、使用于任何目的。
目录 1 项目背景 (7) 1.1 项目产生背景 (7) 2 现状说明 (8) 2.1 网络现状说明 (8) 2.2 业务现状说明 (8) 3 需求分析 (9) 3.1 边界安全需求 (9) 3.2 业务稳定的需求 (10) 3.3 流量监控与管理的需求 (10) 3.4 终端安全防护的需求 (11) 3.5 移动用户安全接入的需求 (11) 3.6 分支机构安全接入的需求 (12) 3.7 无线局域网的需求 (13) 3.8 漏洞扫描的需求 (13) 3.9 网络安全审计的需求 (13) 3.10 服务器虚拟化的需求 (14)
3.11 安全监控与告警的需求 (14) 4 总体方案设计 (16) 4.1 方案设计原则 (16) 4.2 总体网络拓扑图 (18) 4.3 安全区域划分 (19) 4.3.1 安全域划分的依据 (19) 4.3.2 安全域划分与说明 (20) 5 详细解决方案 (21) 5.1 边界防护 (21) 边界防护设计方案 (21) 边界安全设备选型 (22) 5.2 负载均衡 (22) 负载均衡设计方案 (22) 负载均衡设备选型 (23) 5.3 流量监控和管理 (24) 流量监控和管理设计方案 (24) 流量监控和管理设备选型 (26) 5.4 终端虚拟化 (28) 终端虚拟化设计方案 (28) 终端虚拟化产品选型 (30) 5.5 移动用户安全接入 (31) 移动用户安全接入设计方案 (31)
白鸽学吧 深信服超融合方案产品概要
深信服超融合架构解决方案落地的配置主要有两种方式:超融合一体机和超融合操作系统。 超融合一体机:主要用在新建或者扩容业务系统、需要购买新的服务器做业务支撑的场景下,超融合一体机可以发挥最大的优势:性能最佳、价格最优、上线最 快。深信服超融合一体机硬件一共有3大系列7个型号,主要以硬盘槽位来区分: 4槽位(1款),8槽位(3款),12槽位(3款),选择完一体机硬件后再选 择超融合操作系统来构建整个资源池。 超融合操作系统:主要用在改造或者迁移业务系统、有闲置或者富余的服务器场景下,超融合操作系统的优势在于:充分的保护现有投资、平滑的进行业务迁移、 高效的实现系统升级。深信服超融合操作系统组件为3个:aSV(服务器虚拟 化)、aNET(网络虚拟化)和aSAN(存储虚拟化),aSV为整个操作系统的 内核,是必选项,aNET和aSAN可以根据具体的需求二选一或者全选,所以超 融合操作系统的配置方式为:aSV+aNET,aSV+aSAN或者aSV+aNET+aSAN。 网络功能虚拟化NFV:目前超融合架构中可以选择vAF和vAD两个组件,实现4-7层的安全防御和应用交付的功能。vAF和vAD按照性能进行划分,每个组件 拥有4个不同的款型可选,分别占用1颗vCPU,2颗vCPU,4颗vCPU,8颗 vCPU。可以根据具体的需求按需部署,在License够用的情况下能够实现vAF 和vAD的资源动态扩展。 超融合服务体系:超融合的服务体系分为3个部分,硬件质保、软件升级和安装调试服务,还有一些性价比很高的组合包服务,根据实际情况酌情选择 1.1 深信服超融合一体机硬件配置清单
深信服EasyAPP解决方案
目录 1前言 (4) 2挑战 (4) 2.1安全 (4) 2.2快速的业务发布 (5) 2.3体验 (5) 3深信服EASYAPP方案介绍 (5) 3.1简介 (5) 3.2快速迭代 (5) 3.3功能 (8) 3.3.1身份认证 (8) 3.3.2数据隔离与防泄密 (9) 3.3.3链路加密 (9) 3.3.4单边加速 (10) 3.3.5威胁防护 (11) 3.3.6权限控制 (12) 3.3.7访问审计 (12) 3.3.8管理安全 (12) 4方案价值 (13) 4.1安全的业务发布 (13) 4.2良好的用户体验 (13) 4.3快速开发迭代 (13) 5典型案例 (14)
5.2深圳国税在线发票打印系统提升企业发票打印事务效率 (14)
1前言 随着移动互联浪潮的高速发展,越来越多的移动设备开始进入企业IT环境中。一方面,在全球化趋势下,企业的地理分布越来越广,员工移动性越来越高,内部联系越来越紧密,带来了跨地域和移动协同诉求;另一方面,也对企业在客户维护的质量和市场营销的效果提出更高的要求。企业信息移动化建设迫在眉睫,而企业级应用是企业信息移动化的重要承载体,企业级移动应用市场是一片广阔的蓝海。 2挑战 以上趋势反应了一个令人振奋、日益凸显的现实。然而,对数据安全的质疑,快速的业务发布,以及关于员工隐私和自由的讨论,和员工使用体验的担忧,都使得企业决策者在移动化面前举棋不定。 2.1 安全 手机、平板电脑是公认的企业安全链中最薄弱的环节,从在过去的12个月,移动数据遭受的威胁上升了250%以上: ●移动设备的遗失或被冒用 ●用户主动或无意识的信息泄露 ●病毒、间谍软件或其他黑客攻击 ●企业应用本身、防病毒软件及终端管理软件自身的漏洞或威胁 ●网络中传输的数据被窃听或被篡改 ●企业应用服务器直接暴露于互联网中的安全威胁 企业移动的价值体现在通过提高员工的工作效率进而实现更大的企业盈利。但企业面临的安全风险不仅祸及本地数据、应用程序,还会危及到企业数据资产,给企业带来实际损失。因此,数据安全是抑制企业移动发展的关键因素之一。
超融合解决方案交流技巧
话题引入: 随着信息技术的发展,各类云计算、云数据中心、私有云、公有云、混合云等概念和方案层出不穷,我今天过来,就是想给您汇报下目前这些技术到底是什么,如何实现私有云的快速落地。 业界的数据中心发展最早为传统烟囱式数据中心,后来发展到了服务器虚拟化的数据中心,这比以往的传统结构有了新的突破,可以大幅提升服务器资源利用率,大幅提升业务上线效率,但是在网络管理、业务编排、自动运维等方面仍然无计可施,之后业界逐渐提出了SDN(软件定义网络)和SDDC(软件定义数据中心)的概念,我今天给您带来的方案称之为“超融合”。他隶属于SDDC的范畴,是深信服提出的基于SDDC建设私有云整体方案的一套基本架构。 这套架构是靠通用的硬件交换机组成一个大的二层网络,在大量X86服务器上,用软件虚拟化的技术方式,将所有服务器、存储、数据中心网络结构、软件应用系统等进行统一融合,并按照我们的业务要求,进行重新编排的解决方案。 其实早在5年前,超融合的整体架构就已经在国外大规模实施了,只不过当时业内没有提出“超融合”这样的概念;而近几年,这种超融合的方案在国内也开始了大规模部署,比如阿里、亚马逊等大型公有云服务商采用的就是这种架构,其他如国家卫计委、国家行政学院、国家信息安全中心,在广东,如广东省统计局、番禺区地税局、佛山市三水区信息中心、海印集团、广东理工职业学院、佛山市人民防空办公室、广东烟草阳江市有限责任公司、广州市地税局的企业税收管理局、河源市和平县人民法院、中山市技师学院、中山中粤马口铁工业有限公司;这套超融合的基础架构可以非常简单的扩展至未来私有云,所以,本方案具备极强的开放性与前瞻性,在很多单位都以创新项目得到了审批。 为什么越来越多的单位开始采用超融合的架构去搭建数据中心呢,在业界来看,传统数据中心有以下几个问题: 1、建设成本高。传统数据中心,从硬件上来看,每个系统单独占用一台物理服务器,根据我们大量统计来看,这种模式服务器资源利用率极低,十多个系统对应十多台服务器,将造成了大量资源的浪费,而后期各类系统上线的建设成本也将很高; 2、系统稳定性无法保障。一旦物理服务器出现故障,所承载的应用系统将无法提供服务,造成业务的长期中断,需要管理员手动调整进行业务恢复;如果发生不可修复性故障,将直接造成数据的丢失,对单位造成重大损失,如果存储设备单机部署且发生故障,将带来
企业级云标准解决方案 一、全行业变革 移动互联网已经处于稳健的发展期,各个行业都在围绕业务发展进行创新和变革。在政府行业,政务信息公开化,大量的政务内网应用正在对互联网开放,提供丰富的便民化服务;在教育行业,为了提升教学质量以及提供更灵活的学习平台,移动校园网、智慧校园、三通两平台等建设也越来越普遍;制造业企业,持续关注工业4.0,希望通过智能制造等方式提升制造效率、降低制造成本;而零售企业则采用O2O的方式打开更广泛的销售通路,并且利用大数据分析,并实现精细化营销。 二、传统IT遇到的挑战 企业级IT业务发展分为3个主要趋势,即:移动化、互联网化和数据价值化,而企业/机构在做IT战略时都在考虑如何将其自身的业务和这3个趋势相结合,从而实现业务的转型、创新和增长,这些变化需要新的IT基础架构和建设模式,需要以信息化部门的革新作为支撑。但是很多行业客户的信息化建设,目前仍依托于传统IT建设模式,无法响应业务变革的需求,成为了业务转型的绊脚石。 在传统IT环境下,应用和资源是紧耦合的,使得底层架构缺乏弹性,业务转型带来业务数量增加、用户数量快速递增,IT资源无法快速灵活的随之增长; 业务部署缓慢,传统数据中心整体架构复杂、设备种类多,新业务从方案设计、集成部署到最终的运营上线,需要长则数月的时间;运维管理困难也是一直存在的挑战,数据中心设备繁杂、品牌不一,使得IT部门很难对基础设施执行统一监控和管理。 同时当前的资源利用率普遍较低,多数设备利用率不足20%,除部分数据中心应用了计算虚拟化,存储、网络、安全仍采用物理设备部署,导致业务建设的成本高昂; 最重要的是,IT部门将大部分精力投入到基础架构的维护中,而无法过多的关注信息化和业务结合的创新,失去了在业务转型过程中的核心价值。 三、深信服的企业级云方案 为实现企业的业务变革,企业IT需要进行全数据化转型,而IT云化是实现全数字化转型的一种非常便捷和高效的途径,通过计算、存储、网络的全资源池化,IT架构的简化以及基础架构的统一运维,达成业务转型的目标。 到底要建设什么样的云来促进业务目标的实现?这取决于企业级IT云化的真实需求,深信服为此做了深入的探索。一方面,在大量的用户云项目实践中积累了丰富的技术经验;另一方面,我们联合罗兰贝格做的一个咨询项目进行了大量市场调研和客户需求研究。通过
深信服Sinfor AC 上网行为管理解决方案
目录 目录 一、上网行为管理与企业竞争力 (3) 二、互联网管理的好帮手——深信服SINFOR AC上网行为管理系统 (3) 三、滨江远望公司网络现状及深信服解决方案 (4) 深信服解决方案 (4) 网络拓扑图1: (5) 网络拓扑图2: (6) 四、深信服AC上网行为管理功能介绍 (7) 1,细致的访问控制功能,有效管理用户上网 (7) 2,完善的内容过虑和访问审计功能,防止机密信息泄漏 (7) 3,强大的数据报表中心,提供直观的上网数据统计 (7) 4,强大的QOS及流量分析功能 (8) 5,集成丰富的外网安全功能:包括防火墙、VPN、IPS、网关杀毒及防垃圾邮件等 (8) 五、SINFOR AC安全网关主要技术优势 (8) 1,深度的内容检测技术及在线网关监控技术——及时封堵P2P、IM软件 (8) 2,邮件的延迟审计(专利技术) (9) 3,独有的网络访问准入规则(专利技术) (9) 4,WEB认证技术 (9) 5,高度集成,部署灵活 (9) 6,模块化设计,性能强大 (9) 六、成功典型案例 (10) 附1:深信服上网行为管理功能一览表 (11)
一、上网行为管理与企业竞争力 随着Internet的接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。在IDC对全世界企业网络使用情况的调查中发现,在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加,令网络管理者头疼不已。据IDC的数据统计,企业中员工30%至40%的上网活动与工作无关;而来自色情网站访问统计的分析表明:70%的色情网站访问量发生在工作时间。这些员工随意使用网络将导致三个问题:(1)工作效率低下、(2)网络性能恶化、(3)网络违法行为。 企业网作为一个开放的网络系统,运行状况愈来愈复杂。企业的IT管理者如何及时了解网络运行基本状况,并对网络整体状况作出基本的分析,发现可能存在的问题(如病毒、木马造成的网络异常),并进行快速的故障定位,这一切都是对企业网信息安全管理的挑战,这些问题包括: ●IT管理员如何对企业网络效能行为进行统计、分析和评估? ●IT管理员如何限制一些非工作上网行为和非正常上网行为(如色情网站),如何监控、控制和 引导员工正确使用网络? ●IT管理员如何杜绝员工通过电子邮件、MSN等途径泄漏企业内部机密资料? ●IT管理员如何在万一发生问题时有一个证据或依据? 二、互联网管理的好帮手——深信服SINFOR AC上网行为管理系统 网络作为信息时代企业的生产工具,同样面临着适当监控、合理使用的问题。在美国和欧洲,有80%的企业对员工的互联网活动进行监视,而且这一举措得到了法律条文上的支持。随着中国加入WTO,经济领域的国际竞争进一步加剧,国内的企业也需要认真考虑合理使用网络资源,充分提高企业竞争力的问题。 尤其值得注意的是,中国员工比其它地区的员工每周多花7.6小时的时间来使用IM、玩游戏、P2P软件或流动媒体。互联网滥用,给中国企业带来了巨大的损失。 因此,如何有效地解决这些问题,以便提高员工的工作效率,降低企业的安全风险,减少企业的损失,已经成为中国企业迫在眉睫的紧要任务。当前内网安全管理也随之提升到一个新的高度,在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时,从内到外诸如审计、监控、访问控制、访问跟踪、流量限制等问题也日益凸现。越来越多的企事业单位需要对内网进行统一管理以调整网络资源的合理利用。 针对内网安全上的这些问题,Sinfor M5*000-AC系列UTM安全网关是一个非常好的解决方案。在内部安全的上网行为管理(网络安全审计)上,为保证企业合理使用Internet资源,防止企业信息资产泄漏,SINFOR AC安全网关提供了完善的访问控制功能。通过合理设置访问权限,能够杜绝对不良网站和危险资源的访问,防止P2P软件对企业网络带来的安全风险。通过带宽管理和访问跟踪技术,能有效防止对Internet资源的滥用。Sinfor AC安全网关独特的敏感内容拦截和安全审计功能更为防止保密信息泄漏提供了最有效的保证。 此外,作为一个UTM整合式设备,SINFOR AC安全网关还提供了丰富的外部安全保障措施。除了强大的VPN模块和防火墙模块之外,SINFOR AC安全网关还集成了来自欧洲的领先病毒厂商F-PROT的杀毒引擎,对内网用户接收的邮件和下载的文件进行病毒过滤,降低了内网用户感染病毒的风险。另外,强大的垃圾邮件过滤功能将大量垃圾邮件拒之门外,也大大提高了员工使用Internet的办公效率。同时SINFOR AC安全网关还提供了高效的IPS(入侵防御系统)功能,能有效识别和抵御3000多种攻击,更大范围的保护了企业连接到Internet的安全。
企业云解决方案介绍 一、全行业变革 移动互联网已经处于稳健的发展期,各个行业都在围绕业务发展进行创新和变革。在政府行业,政务信息公开化,大量的政务内网应用正在对互联网开放,提供丰富的便民化服务;在教育行业,为了提升教学质量以及提供更灵活的学习平台,移动校园网、智慧校园、三通两平台等建设也越来越普遍;制造业企业,持续关注工业4.0,希望通过智能制造等方式提升制造效率、降低制造成本;而零售企业则采用O2O的方式打开更广泛的销售通路,并且利用大数据分析,并实现精细化营销。 二、传统IT遇到的挑战 企业级IT业务发展分为3个主要趋势,即:移动化、互联网化和数据价值化,而企业/机构在做IT战略时都在考虑如何将其自身的业务和这3个趋势相结合,从而实现业务的转型、创新和增长,这些变化需要新的IT基础架构和建设模式,需要以信息化部门的革新作为支撑。但是很多行业客户的信息化建设,目前仍依托于传统IT建设模式,无法响应业务变革的需求,成为了业务转型的绊脚石。 在传统IT环境下,应用和资源是紧耦合的,使得底层架构缺乏弹性,业务转型带来业务数量增加、用户数量快速递增,IT资源无法快速灵活的随之增长; 业务部署缓慢,传统数据中心整体架构复杂、设备种类多,新业务从方案设计、集成部署到最终的运营上线,需要长则数月的时间;运维管理困难也是一直存在的挑战,数据中心设备繁杂、品牌不一,使得IT部门很难对基础设施执行统一监控和管理。 同时当前的资源利用率普遍较低,多数设备利用率不足20%,除部分数据中心应用了计算虚拟化,存储、网络、安全仍采用物理设备部署,导致业务建设的成本高昂; 最重要的是,IT部门将大部分精力投入到基础架构的维护中,而无法过多的关注信息化和业务结合的创新,失去了在业务转型过程中的核心价值。 三、深信服的企业级云方案 为实现企业的业务变革,企业IT需要进行全数据化转型,而IT云化是实现全数字化转型的一种非常便捷和高效的途径,通过计算、存储、网络的全资源池化,IT架构的简化以及基础架构的统一运维,达成业务转型的目标。 到底要建设什么样的云来促进业务目标的实现?这取决于企业级IT云化的真实需求,深信服为此做了深入的探索。一方面,在大量的用户云项目实践中积累了丰富的技术经验;另一方面,我们联合罗兰贝格做的一个咨询项目进行了大量市场调研和客户需求研究。通过
深信服超融合方案产品概要
深信服超融合架构解决方案落地的配置主要有两种方式:超融合一体机和超融合操作系统。 超融合一体机:主要用在新建或者扩容业务系统、需要购买新的服务器做业务支撑的场景下,超融合一体机可以发挥最大的优势:性能最佳、价格最优、上线最 快。深信服超融合一体机硬件一共有3大系列7个型号,主要以硬盘槽位来区分: 4槽位(1款),8槽位(3款),12槽位(3款),选择完一体机硬件后再选 择超融合操作系统来构建整个资源池。 超融合操作系统:主要用在改造或者迁移业务系统、有闲置或者富余的服务器场景下,超融合操作系统的优势在于:充分的保护现有投资、平滑的进行业务迁移、 高效的实现系统升级。深信服超融合操作系统组件为3个:aSV(服务器虚拟 化)、aNET(网络虚拟化)和aSAN(存储虚拟化),aSV为整个操作系统的 内核,是必选项,aNET和aSAN可以根据具体的需求二选一或者全选,所以超 融合操作系统的配置方式为:aSV+aNET,aSV+aSAN或者aSV+aNET+aSAN。 网络功能虚拟化NFV:目前超融合架构中可以选择vAF和vAD两个组件,实现4-7层的安全防御和应用交付的功能。vAF和vAD按照性能进行划分,每个组件 拥有4个不同的款型可选,分别占用1颗vCPU,2颗vCPU,4颗vCPU,8颗 vCPU。可以根据具体的需求按需部署,在License够用的情况下能够实现vAF 和vAD的资源动态扩展。 超融合服务体系:超融合的服务体系分为3个部分,硬件质保、软件升级和安装调试服务,还有一些性价比很高的组合包服务,根据实际情况酌情选择 1.1 深信服超融合一体机硬件配置清单
中山市技师学院桌面云平台方案
目录 1.项目概述 (3) 需求分析 (3) 需求确认 (5) 需求清单 (5) 2.桌面云整体设计 (6) 设计原则 (6) 整体设计拓扑图 (7) 整体设计概述 (7) 体系架构概述 (8) 方案组件产品 (9) 硬件平台 (9) 软件平台 (13) 其他组件 (15) 3.方案优势 (18) 整体优势 (18) 桌面集中管理的优势 (19) 分布式计算的优势 (20) 4.项目实施监控 (21) 质量保证 (21) 风险管理 (22) 变更管理 (23) 5.测试管理方案 (24) 集成测试 (24) 系统测试 (24) 用户验收测试 (24) 6.施工组织管理方案 (25) 项目日常管理沟通 (25) 特殊问题升级沟通 (26) 施工组织计划 (26) 人力资源配置计划 (26) 施工组织结构 (26) 工程实施 (26) 质量管理及措施 (27) 安全文明施工措施 (27) 7.培训及售后服务 (28) 培训目的 (28) 培训方式 (28) 售后服务 (28) 8.项目验收 (29)
1.项目概述 项目背景概述:学校教室和办公室没有教学用电脑和办公电脑。学校于2016年起开始部署云桌面建设,并具体应用于教室和老师办公场景中,合计约40点位的云桌面点位;为保证系统可兼容性、以及方便统一管理和统一售后维护,本项目采用的桌面云终端、服务器、虚拟化模块、虚拟化VDI必须与学院现有桌面云系统做到无缝联接,所采用的设备均为同一系统平台;显示器采用寸,最佳分辨率:1920dpi x 1080dpi,60 Hz与桌面云终端外观颜色一致,含壁挂孔支持挂装桌面云终端,开孔需与桌面云终端支架完全匹配。 1.1需求分析 硬件要求: ARM架构,CPU≥四核、内存≥1G、存储≥4G、USB≥6个、1个VGA、1个以太网口、1对音频口。 本项目要求至少配备1块64G 固态硬盘(用于安装桌面云软件系统)、2块240G 固态硬盘(用于缓存热点数据)和6块1T的串口接口硬盘。 桌面虚拟机的标准配置要求 每个桌面均采用Full Clone的模式,配置要求如下:
超融合解决方案交 流技巧
超融合解决方案交流技巧
话题引入: 随着信息技术的发展,各类云计算、云数据中心、私有云、公有云、混合云等概念和方案层出不穷,我今天过来,就是想给您汇报下当前这些技术到底是什么,如何实现私有云的快速落地。 业界的数据中心发展最早为传统烟囱式数据中心,后来发展到了服务器虚拟化的数据中心,这比以往的传统结构有了新的突破,能够大幅提升服务器资源利用率,大幅提升业务上线效率,可是在网络管理、业务编排、自动运维等方面依然无计可施,之后业界逐渐提出了SDN(软件定义网络)和SDDC(软件定义数据中心)的概念,我今天给您带来的方案称之为“超融合”。她隶属于SDDC的范畴,是深信服提出的基于SDDC建设私有云整体方案的一套基本架构。 这套架构是靠通用的硬件交换机组成一个大的二层网络,在大量X86服务器上,用软件虚拟化的技术方式,将所有服务器、存储、数据中心网络结构、软件应用系统等进行统一融合,并按照我们的业务要求,进行重新编排的解决方案。 其实早在5年前,超融合的整体架构就已经在国外大规模实施了,只不过当时业内没有提出“超融合”这样的概念;而近几年,这种超融合的方案在国内也开始了大规模部署,比如阿里、亚马逊等大型公有云服务商采用的就是这种架构,其它如国家卫
计委、国家行政学院、国家信息安全中心,在广东,如广东省统计局、番禺区地税局、佛山市三水区信息中心、海印集团、广东理工职业学院、佛山市人民防空办公室、广东烟草阳江市有限责任公司、广州市地税局的企业税收管理局、河源市和平县人民法院、中山市技师学院、中山中粤马口铁工业有限公司;这套超融合的基础架构能够非常简单的扩展至未来私有云,因此,本方案具备极强的开放性与前瞻性,在很多单位都以创新项目得到了审批。 为什么越来越多的单位开始采用超融合的架构去搭建数据中心呢,在业界来看,传统数据中心有以下几个问题: 1、建设成本高。传统数据中心,从硬件上来看,每个系统单独占用一台物理服务器,根据我们大量统计来看,这种模式服务器资源利用率极低,十多个系统对应十多台服务器,将造成了大量资源的浪费,而后期各类系统上线的建设成本也将很高; 2、系统稳定性无法保障。一旦物理服务器出现故障,所承载的应用系统将无法提供服务,造成业务的长期中断,需要管理员手动调整进行业务恢复;如果发生不可修复性故障,将直接造成数据的丢失,对单位造成重大损失,如果存储设备单机部署且发生故障,将带来灾难性事故; 3、运维管理复杂。传统数据中心模式,管理员对于系统升级和补丁修复是十分谨慎的,一旦出现补丁兼容性问题,或者升级后造成部分业务不可用,就需要进行大量的调试和回退才能恢
深信服超融合平台 测试方案
目录 第1章测试概述 (2) 1.1概述 (2) 1.2测试环境准备 (2) 1.3超融合系统安装 (3) 第2章测试内容 (3) 2.1架构环境的快速部署 (3) 2.2业务高可用场景测试 (5) 2.3虚拟网络通信场景测试 (10) 2.4安全防护场景 (14) 2.5运维管理场景测试 (22) 2.6性能测试 (26) 3. 测试方案特点 (28)
第1章测试概述 1.1概述 深信服超融合架构将X86服务器通过深信服超融合软件定义的方式,提供虚拟化的计算资源,网络资源,存储资源,安全资源。 通过将服务器物理资源转化为一组可统一管理、分配和调度的逻辑资源,并基于这些逻辑资源在单个物理服务器上构建多个同时运行、相互隔离的虚拟机执行环境,同时配合软件定义的网络和网络功能软件化方式,最大限度的提高了资源的利用率,同时满足应用更加灵活的资源动态分配需求,譬如提供热迁移、HA等高可用特性、业务的网络逻辑快速部署,实现更低的运营成本、更高的灵活性和更快速的业务响应速度。1.2测试环境准备
1.3超融合系统安装 超融合系统安装.d o c 特点: 1.安装简单、快速,并且过程中采用中文提示操作 2.无需安装管理中心,部署完成虚拟化系统后,即可实现虚拟机的部署和管理 第2章测试内容 2.1架构环境的快速部署 2.1.1业务系统的迁移-P2V迁移测试
选择要迁移的目的一体机,输入目的主机的admin账户密码进行 配置迁移目的虚拟机的名称、存储位置为目的共享存储, 为目的自动选择,资源消耗为保持和物理服务器一致 4.安装成功后,选择【关闭物理机,启动虚拟机, 重启设备
基于超融合架构的数据中心改造解决方案 建设需求分析 传统数据中心改造需求来自两类 、 资源利用率低,实现整合 资源面临瓶颈,需要扩容 利用服务器虚拟化技术解决空间限制、电力能耗、IT 资源扩展困难、服务器多管理复杂等问题。 采购大量的硬件服务器、网络及安全硬件设备、存储设备等来解决数据中心平台容量和性能不足问题。
传统改造方案面临的问题及挑战 数据中心理想的改造效果 深信 服超 融合 架构解决方案 问题 挑战 大量时间花费在完成联 调工作上,平台改造周 期长、对业务运行影响 严重,同时也延长了新 业务上线时间 不仅需要管理服务器虚 拟化平台,还需要维护大 量的基础网络设备,网络 安全、存储硬件 通过淘汰现有的IT硬 件,同时采购新的硬件设 备,比如购买高性能和大 容量的存储设备 云化演进 实现分步改造,保持架 构先进性,支持平滑向 云架构演进 后续平台的扩容,会陷入 投入成本高、业务运行受 影响大、运维工作复杂的 循环建设模式投入成本高业务运行影响大运维工作量大平台扩展复杂 更低TCO 减少新硬件采购,最大 化利旧现有的IT设备 极简运维管理 实现集中化、可视化、 自动化的IT资源管理 弹性IT架构 按需投入、模块化横向 扩展,现有基础架构无 需调整和变更
什么是超融合 基于超融合架构的方案设计 改造的实现效果 深信服超融合架构是通过虚拟化技术,将计算、存储、网络和网络功能(安全及优化)深度融合到一台标准X86服务器中,形成标准化的超融合单元,多个超融合单元通过网络方式汇聚成数据中心整体IT 基础架构,并通过统一的WEB 管理平台实现可视化集中运维管理,帮助用户打造极简、随需应变、平滑演进IT 新架构 安装 超融合软件 编排资源 业务迁移 中央运维 弹性扩展 利旧现有服务器和采购少量深信服超融合一体机 “所画即所得”构建业务所需资源和业务逻辑拓扑 将物理主机或者第三方虚拟机迁移至超融合平台 统一管理所有的IT 资源,可视化故障排除和定位 模块化方式按当前容量需求添加超融合一体机
深信服超融合架构技术方案
缩写和约定
目录 深信服超融合架构技术方案 1前言 (3) 1.1IT时代的变革 (3) 1.2白皮书总览 (4) 2深信服超融合技术架构 (6) 2.1超融合架构概述 (6) 2.1.1超融合架构的定义 (6) 2.2深信服超融合架构组成模块 (6) 2.2.1系统总体架构 (6) 2.3aSV计算虚拟化平台 (7) 2.3.1概述 (7) 2.3.2aSV技术原理 (8) 2.3.3aSV的技术特性 (19) 2.3.4aSV的特色技术 (24) 2.4aSAN存储虚拟化 (28) 2.4.1存储虚拟化概述 (28) 2.4.2aSAN技术原理 (29) 2.4.3aSAN存储数据可靠性保障 (41) 2.4.4深信服aSAN功能特性 (48) 2.5aNet网络虚拟化 (49) 2.5.1网络虚拟化概述 (49) 2.5.2aNET网络虚拟化技术原理 (50) 2.5.3aNet功能特性 (56) 2.5.4深信服aNet的特色技术 (58)
3深信服超融合架构产品介绍 (60) 3.1产品概述 (60) 3.2产品定位 (60) 4深信服超融合架构带来的核心价值 (62) 4.1可靠性 (62) 4.2安全性 (62) 4.3灵活弹性 (62) 4.4易操作性 (62) 5超融合架构最佳实践 (64)
1.1 IT时代的变革 20 世纪 90 年代,随着 Windows 的广泛使用及 Linux 服务器操作系统的出现奠定了 x86服务器的行业标准地位,然而 x86 服务器部署的增长带来了新的 IT 基础架构和运作难题,包括:基础架构利用率低、物理基础架构成本日益攀升、IT 管理成本不断提高以及对关键应用故障和灾难保护不足等问题。随着X86 服务器性能的提升,通过将 x86 系统转变成通用的共享硬件基础架构,充分挖掘硬件的潜力,提高硬件的利用效率,有效的降低硬件和运营成本,并且简化运维降低管理成本,最终帮助用户把更多的时间和成本转移到对业务的投入上。 随着云计算和虚拟化技术向构建新一代数据中心方向发展,关键以虚拟化为基础,实现管理以及业务的集中,对数据中心资源进行动态调整和分配,重点满足企业关键应用向X86 系统迁移对于资源高性能、高可靠、安全性和高可适应性上的要求,同时提高基础架构的自动化管理水平,确保满足基础设施快速适应业务的商业诉求,支持企业应用云化部署。 云计算其实并不是一种新的技术,而是在一个新理念的驱动下产生的技术组合。在云计算之前,企业部署一套服务,需要经历组网规划,容量规划,设备选型,下单,付款,发货,运输,安装,部署,调试的整个完整过程。这个周期在大型项目中需要以周甚至月来计算。在引入云计算后,这整个周期缩短到以分钟来计算。 IT 业有一条摩尔定律,芯片速度容量每 18 个月提升一倍。同时, IT 行业
深信服分支云(BBC&aBos)解决方案---分支零IT、总部管理更敏捷
目录 第1 章概述—需求分析 (1) 第2 章解决方案 (1) 2.1解决方案介绍 (1) 2.2整体方案设计 (1) 2.3方案亮点功能 (2) 2.3.1BBC 集中管理 (2) 2.3.2安全快速VPN组网 (2) 2.3.3广域网优化 (3) 2.3.4下一代防火墙 (3) 2.3.5上网行为管理 (3) 2.3.6核心业务高可用 (4) 第3 章方案价值 (1) 3.1实现分支零IT (1) 3.1.1分支零IT、设备即插即用 (1) 3.1.2灵活部署、按需扩容 (1) 3.1.3简化分支IT 基础架构 (2) 3.2实现总部管理更敏捷 (2) 3.2.1集中管理、简化运维 (2) 3.2.2分支智能监控 (3) 3.2.3分支智能告警 (3) 3.2.4智能报表分析 (3) 3.3降低分支建设成本 (4) 3.4降低分支运维成本 (4) 第4 章客户案例介绍 (1) 4.1完美集团 (1) 4.2申万期货 (1)
第1章概述—需求分析 XX企业在全球(全国)部署众多分公司、办事处、营业网点等分支机构,随着云计算业务发展和用户对网络访问的迫切要求,将所有分支机构的上网流量通过总部统一出口接入Internet的方式已经越来越少,逐步走向“hybrid-WAN”方式。即,分支机构各自拥有独立的Internet出口,同时通过专线或者VPN访问总部业务,WAN 的网络结构越来越复杂。与此同时,不少企业分支机构仍保留本地业务,如何保证业务可靠性运行? “分布上网”改善了分支机构员工上网的速度和上网体验,但随之而来安全、集中管理、运维要求也变得迫切起来。 由于不受控的互联网访问行为给组织带来了诸多问题,所以越来越多务实的管理者考虑在Internet出口处部署上网行为管理设备。但对于“分布上网”的分支机构而言,如何解决分支架构复杂、分支建设成本高昂、无法统一运维才是IT建设的重中之重。分支机构IT 新建或者改造存在几个主要矛盾,主要包括如下: 深信服科技针对大型组织机构在目前网络中出现的问题,提出全网部署aBos一体机网关设备来改变客户的网络现状,另外提供了BBC(Branch BusinessCenter)分支业务中心,即集中管理平台解决方案。它通过集成多方位的管理和运维手段,彻底解决了大型组织机构面临的部署、管理、监控、升级以及日志报表方面的问题。