制造行业数据中心资源整合及桌面虚拟化解决方案
目录
1前言............................................................................................... - 1 -2虚拟化交付中心的概念................................................................ - 1 -
2.1 虚拟化提高系统高可用性 (4)
2.2 应用优化提高客户体验 (6)
2.3 应用安全降低系统风险 (8)
3EASTED制造行业解决方案一览................................................. - 10 -
3.1 SAP集中部署解决方案 (10)
3.1.1 需求分析......................................................................................................... - 10 -
3.1.2 项目目标......................................................................................................... - 12 -
3.1.3 技术方案......................................................................................................... - 12 -
3.1.4 项目收益......................................................................................................... - 13 -
3.2 企业分支机构快速扩张和部署解决方案 (15)
3.2.1 背景................................................................................................................. - 15 -
3.2.2 需求................................................................................................................. - 15 -
3.2.3 问题分析......................................................................................................... - 16 -
3.3 企业集中开发管理平台解决方案 (19)
3.3.1 功能需求......................................................................................................... - 19 -
3.3.2 技术需求......................................................................................................... - 20 -
3.3.3 解决方案及对应项目需求的实现................................................................. - 20 -
3.4 企业文档和源代码集中管理以及桌面虚拟化解决方案 (26)
3.4.1 企业的文档管理平台..................................................................................... - 27 -
3.4.2 集中部署的虚拟化应用,实现安全、集中的应用和文档访问 ................. - 27 -
3.4.3 Easted安全的,集中部署的虚拟桌面架构解决方案 ................................. - 27 -
3.4.4 开发中心虚拟桌面解决方案......................................................................... - 27 -
3.4.5 可靠的桌面访问管理..................................................................................... - 30 -
3.4.6 广泛的桌面交付生态系统............................................................................. - 30 -
3.4.7 业务系统的发布............................................................................................. - 31 -
3.4.8 桌面和应用集中发布平台的优势................................................................. - 31 -
3.5 图纸安全控制解决方案 (33)
3.5.1 应用虚拟化..................................................................................................... - 33 -
3.5.2 标准桌面虚拟化............................................................................................. - 34 -
3.5.3 总结................................................................................................................. - 34 -
3.6 企业办公网统一对外访问解决方案 (34)
3.6.1 需求分析......................................................................................................... - 34 -
3.6.2 Easted解决方案 ............................................................................................. - 35 -
3.7 企业应用统一发布管理平台方案 (36)
3.7.1 需求分析......................................................................................................... - 36 -
3.8 企业安全远程访问内网解决方案 (38)
3.8.1 用户现状及面临的挑战................................................................................. - 38 -
3.8.2 Easted解决方案 ............................................................................................. - 38 -
3.8.3 主要效益......................................................................................................... - 39 - 4EASTED解决方案目标 ................................................................ - 40 -
4.1 低带宽下的远程应用软件访问 (40)
4.2 彻底解决基于互联网的远程应用安全问题 (40)
4.3 服务器集群及负载均衡能力 (41)
4.4 易操作性 (41)
4.5 稳定性 (41)
4.6 服务器与客户机资源共享 (41)
4.7 优秀的打印功能 (41)
4.8 减少软件投资成本 (41)
4.9 快速部署实施,集中管理和维护 (42)
5EASTED解决方案优势 ................................................................ - 42 -
5.1 提高可管理性 (42)
5.2 简化部署 (42)
5.3 更高的灵活性 (42)
5.4 提高数据保护能力 (43)
5.5 提高资源利用率 (43)
5.6 降低成本 (43)
5.7 安全性 (43)
5.7.1 技术层面......................................................................................................... - 43 -
5.7.2 管理层面......................................................................................................... - 43 -
5.7.3 易管理性......................................................................................................... - 44 -
5.7.4 提升运维效率................................................................................................. - 44 -
5.7.5 改善服务等级................................................................................................. - 44 -
5.8 灵活扩展 (44)
5.9 节约成本 (45)
5.9.1 硬件成本......................................................................................................... - 45 -
5.9.2 运行成本......................................................................................................... - 45 -
5.9.3 知识成本......................................................................................................... - 45 - 6EASTED产品解决方案价值和收益............................................. - 45 -
6.1 决策层 (46)
6.2 IT运维管理部门 (47)
7EASTED竞争优势 ........................................................................ - 47 -8EASTED技术服务体系 ................................................................ - 48 -
8.2 技术服务概览 (48)
8.3 技术服务总则 (49)
8.3.1 电话服务......................................................................................................... - 49 -
8.3.2 在线服务......................................................................................................... - 49 -
8.3.3 标准服务包括................................................................................................. - 49 -
8.3.4 特殊技术服务包括......................................................................................... - 49 -
8.3.5 培训服务包括................................................................................................. - 49 -
8.3.6 服务意见与投诉包括..................................................................................... - 49 -
8.4 技术服务详细内容、流程及要求说明 (50)
8.4.1 电话服务......................................................................................................... - 50 -
8.4.2 在线服务......................................................................................................... - 51 -
8.4.3 标准服务......................................................................................................... - 51 -
8.5 特殊技术服务 (52)
8.5.1 现场紧急故障救援服务................................................................................. - 52 -
8.5.2 EASTED标准技术服务 ................................................................................... - 52 -
8.5.3 专题技术方案交流......................................................................................... - 52 -
8.5.4 维护经验技术交流......................................................................................... - 52 -
8.5.5 培训服务......................................................................................................... - 52 -
8.5.6 服务意见与投诉服务..................................................................................... - 53 - 9EASTED公司简介 ........................................................................ - 54 -10EASTED产品简介 ........................................................................ - 55 -
10.1 云计算简介 (55)
10.1.1 基础架构虚拟化............................................................................................. - 57 -
10.1.2 桌面虚拟化..................................................................................................... - 59 -
10.2 EASTED V S ERVER虚拟数据中心系统 (60)
10.2.1 系统结构图..................................................................................................... - 60 -
10.2.2 产品简介......................................................................................................... - 60 -
10.2.3 产品功能简介................................................................................................. - 61 -
10.3 EASTED EC ENTER S ERVER云数据中心管理系统 (67)
10.3.1 产品简介......................................................................................................... - 67 -
10.3.2 功能和优势..................................................................................................... - 67 -
10.4 EASTED V IEW桌面虚拟化系统 (68)
10.4.1 产品简介......................................................................................................... - 69 -
10.4.2 功能和优势..................................................................................................... - 69 -
10.4.3 高清视频播放................................................................................................. - 69 -
1前言
制造业在我国国民经济中处于主体地位。
目前几乎所有的制造业企业都已经或正在把企业信息化作为企业发展的战略之一。企业信息化规划则是实施这一战略的蓝图。信息化规划以整个企业的发展目标,发展战略,和各部门的目标与功能为基础,结合行业信息化方面的实践和对信息技术发展趋势的掌握,提出企业的信息化远景,目标,和战略,全面系统地指导企业信息化的进程,协调发展地进行信息技术的应用,及时地满足企业发展的需要,以及有效充分地利用企业的资源。
不断提升并完善企业信息化的价值是一项复杂的系统工程,它既需要软件和硬件设备的大量投资,又需要人力、物力、智力的投入。近年来,很多制造企业都加快了信息化建设的步伐,通过互联网及企业内部网(专网),宣传企业或开展电子商务;使用办公OA 系统、ERP、CRM 等信息管理系统;建立自己的门户网站等,以此提高企业核心竞争力。
因此,在网络信息技术高速发展的今天,企业信息系统网络是否高效、畅通、安全在很大程度上影响企业的生产、销售、管理等各个环节。对于现代化的制造企业来说,及时了解客户的需求和市场动态非常重要,建立一个高效、可靠、灵活的企业信息网络架构就显得尤为迫切。
借助Easted公司多年的制造行业合作经验,结合Easted公司为制造行业提供的优秀高科技产品,能够共同帮助中国制造行业实现成长企业战略,使得企业就能够在变化降临的各个阶段快速实现业务决策,化被动为主动。使得企业随市场而变,随用户而动,而企业核心业务系统随企业而动;帮助中国制造业的创新模式就能够随时随地转化为满足用户需求的竞争力、满足市场变化的竞争力。使得业务系统不断创新,永续成长,成为企业的卓越典范。
2虚拟化交付中心的概念
虚拟化交付中心,首先的一个问题就是应用的发布问题。下面我们从一个典型的应用发布流程中间所经历的环节进行分析:
任何应用系统都离不开物理的数据存放。数据最终都是以二进制编码方式存放在物理设备上,通常,这些都是存放在存储设备上,比如常见的硬盘、磁盘阵列等存储系统上。通过服务器操作系统,可以将这些数据按照应用系统所要求的格式进行读取和写入。 服务器在这中间起到了一个桥梁性作用,一方面,服务器从物理存储设备上读取和写入数据,另一方面,服务器对外提供网络的接口,通过网络将数据进行发布。 应用系统则是安装在服务器上的软件应用,对数据进行进一步处理,应用系统包括常见的数据库系统、中间件系统等。应用系统主要完成商务逻辑运算、数据加工整理等功能。 最后,通过门户系统对外呈现一个统一的界面和接口,如Apache 、IIS 等Web 服务器,对数据进行进一步格式化,转变成用户端可见的界面,并提供服务端口,供用户端进行访问。 所有的存储、服务器、应用系统和门户系统都部署在数据中心里。ISP 则是连接用户端和数据中心的桥梁。最终用户通过ISP 提供的链路资源访问到数据中心,并最终通过门户系统、应用系统和服务器系统来读取和写入应用数据。这样,就完成了整个应用的发布过程。 交付中心中所有中间环节就是让最终用户可以输入和使用位于数据中心的数据。应用则通过不同的展现手段,提供给终端用户不同的内容。
在应用发布的整个过程中,直接性的,信息主管面临以下问题:
? 应用整合 随着企业自身的发展,对IT 信息化建提出了更高的要求,因此应用系统的整合度越来越高,所以对服务器的性能、高可用性方面的要求也随之提高。
? 服务器整合 在应用整合后,服务器的整合随即变得非常的重要,如何使位于数据中心的服务器资源得到合理的共享、动态调配,降低能源消耗,已经现实的将问题摆在了信息主管的面前。
? 安全攻击 从DDOS 到SQL Injection ,各种类型不同的攻击手段,都在影响着交付中心的顺畅,轻则导致应用变慢、不顺畅,重则导致业务中断、系统瘫痪。
?用户分散加剧目前大部分企业的业务系统都从最初仅面向一个分支机构或者一个小范围的客户群体,发展到面向全国甚至全球的使用者。用户分散加剧也导致了交付中心的环境变得越来越恶劣。
?SOA建设企业业务的复杂性,需要SOA架构来进行多应用,多协议的整合,信息主管需要有完善的架构设计理念和实施部署方案,实现这些不同种类的应用的最佳部署结构。
针对交付中心的各个环节中的薄弱点,Easted 交付中心方案提供了端到端的解决方案。
应用整合:通过对应用系统的深层次识别和各种应用加速技术,提高应用系统的访问效率和响应速度。
服务器整合:通过使用本地负载均衡、应用优化设备,实现服务器的高可用性、高安全性和可扩充性。
安全攻击:通过网络层安全防护、应用层安全防护和传输通道加密技术,提高系统的整体安全性。
用户分散加剧:通过将数据,应用和桌面完全集中放到数据中心,然后通过高效显示传输协议交付给最终用户,最大程度地减少传统应用的客户端管理和本地操作系统依赖,真正实现应用发布的客户端独立性。另外一个层面,通过广域网用户引导、多链路用户引导等技术,引导用户选择最佳的数据中心,通过最佳的链路到达应用服务器。
SOA建设:通过多协议、多平台的支持,对应用中的各种协议流量进行分析,实现精确引导和应用发布。
传统的数据网络主要关注的是网络的互连互通,而各种新兴繁杂的网络应用,关注的则
是业务逻辑和功能。应用虚拟化交付中心(Delivery Center )的理念则将重点放在了这两者之间的地带,在现有架构的基础上,实现应用交付的快速、安全和高可用。
Easted通过对网络和应用之间存在的问题进行分析,提出了以持续,高效,安全、快速为核心的应用虚拟化交付中心概念,通过集中式管理模式,并从虚拟化、及应用加速优化,应用安全等几个方面入手,帮助企业构架交付中心,提高系统的高可用性、利用率和客户体验,并降低应用安全风险
2.1虚拟化提高系统高可用性
企业现有应用系统中常用的OA系统,Mail系统,ERP,CRM等众多的应用已成为企业日常运作的重要组成部分,任何一个系统的访问失败都会影响企业运营的进行。目前的企业数据中心内都包含上千个内部/外部的业务应用系统,其关系错综复杂。
然而,用户在通过网络访问到企业所发布的应用所经过的处理环节中,造成应用访问失败的原因有很多,比如:单一的Internet或专线接入链路出现的单点故障,各网络设备或安全网关类设备的异常中断,后台服务器软硬件系统的失效或日常维护时的停机重启等操作,都无法有效保证企业关键应用系统可以7*24小时不间断运行。
处于业务系统的部署需求和成本管理控制,没有任何一个企业可以采用单一的操作系统和单一厂商硬件设备来构建整个的数据中心,用户接入端的种类越来越丰富,对交付中心需求的时间要求越来越高,也带来了对系统高可用性越来越高的要求。
虚拟化技术(Virtualization)可以有效的提高系统的整体高可用性。虚拟化技术实际上在业界已经存在很长的时间,只是目前在开始逐渐清晰,并将其作为一个主流的技术进行展现。按照不同的用户接入和应用服务层面,虚拟化可以分为很多个层次。
服务器虚拟化在目前主流的服务器硬件设备和操作系统级别上,均提供了不同程度的虚拟化功能。包括基于CPU的硬件虚拟化功能的系统如Easted的EastedVServer,Windows Hyper-V等技术,也包含了基于软件的服务器虚拟化系统如VMware。在主流的CPU如Intel、AMD、PowerPC和SPARC等CPU上,也实现了硬件的虚拟化技术,使单台服务器可以被切分为多台服务器系统。从而使操作系统认为其使用的是一个完整的硬件平台。然后在后台进行资源的统一调度和管理。
应用虚拟化应用虚拟化可以简单描述为“以IT应用客户端集中部署平台为核心,以对最终用户透明的方式完全使用户的应用和数据在平台上统一计算和运行,并最终让用户获得与本地访问应用同样的应用感受和计算结果。”
虚拟化背后的主要推动力是基础设施各方面的猛烈增长,同时伴随着IT硬件和应用的大量增加。而且,IT系统正在变得越来越大,分布越来越广,并且更加复杂,因而难以管理,但要求加强IT控制的业务和监管压力却在继续增大。而应用虚拟化正在帮助解决当今机构所面临的很多推动力方面的问题——提高业务效率、增强员工移动性、遵守安全与监管规定、向新兴市场拓展、业务外包、以及业务连续性等等。
桌面虚拟化桌面虚拟化是使用软件从用户的PC中抽象操作系统、应用程序和相关的数据。桌面须拟化使管理用户PC、配置新的桌面、使用补丁和强制执行安全政策更加方便。根据软件和硬件的选择,桌面虚拟化能够减少拥有总成本。一般说来,桌面虚拟化产品有两种类型:本地桌面虚拟化和托管的桌面虚拟化。前者在用户PC上的一个受保护的隔离环境中运行整个桌面环境。后者将用户的桌面存储在数据中心的服务器或者刀片式PC上,要求用户通过网络连接访问自己的桌面镜像。
只有通过虚拟化、共享的系统建设,并通过完善的系统资源监控和自动化的调配体系,才能实现真正的系统高可用性。为此,在考虑新一代的企业信息系统建设时,还必须考虑以下几个方面:
系统的监控除了传统的数据收集类的监控体系外,新的系统监控体系还必须加入快速反应系统。在事件发生的时候,监控系统还可以根据预先设置的条件进行快速反应,对资源进行动态调配,将可能发生的问题消于无形。
系统的智能化在数据中心中,存在有各个厂家、各个层面上的网络设备、服务器、存储等,智能化的系统可以与其他的厂商相关联产品进行紧密配合,相互了解资源使用状况。
并通过开放的应用开发接口,可以灵活的定制动态资源调配策略。
虚拟化对应用系统的影响在实现虚拟化以后,必然会涉及到应用运行环境的改变,严重的时候甚至将导致系统不能运行。通过两种手段可以化解这个问题:一是选用灵活度最大的产品,以增强相互之间的适应性;二是制订规范化的部署方案、开发方案,使开发和部署能无缝的在虚拟化环境中进行。
在一个完善的虚拟化应用系统中,所有的应用系统均要求有最大的通用性、跨平台性和各厂商的协作性。通过与相关厂商的紧密合作,实现不同系统之间的相互监控和相互操作,实现资源的动态调配从而实现真正的应用系统高可用性。
2.2应用优化提高客户体验
随着技术的进步、产品标准化的加速推进,整个社会正在走向产品无差异时代,特别是在主流市场上,核心产品创新的难度越来越大,很多行业实际上成了加工或组装业,大家所使用的零部件大同小异.甚至完全一样。在这种情况下,一些优秀的企业开始把目光转到另外一个地方,并深入研究、实施相关策略,即全面客户体验,也即消费者得到产品(或服务)的全过程。也就是说,一个基本事实是消费者在整个消费过程中所体验到的一切会使他得出某些结论,从而喜欢或不喜欢某个品牌,喜欢或不喜欢某个企业,而产品本身却成了次要的选择因素。这个趋势终将成为未来几年主流市场上企业之间竞争的焦点。
对于制造业而言,除了产品创新外,完善、优化的IT架构也成为提高客户体验的一个最重要的环节。
作为企业的客户,可能通过各个渠道使用业务,在这些系统的后台,都是由企业的IT 架构在进行支撑。IT系统建设的状态直接影响到前台的渠道客户体验。
业务大集中后,所有关键应用都将以数据中心为中心,各分支机构、合作伙伴和客户通过Internet或专线访问的方式进行发布,然而:
数据中心Internet/Intranet链路接入的带宽不断扩大,但访问速度仍然很慢
?大量非关键应用的流量在网络进行传播,使得无限扩充的链路带宽始终无法得到有效利用。
?企业内部用户访问Internet资源时,或外部用户访问企业发布外部站点时,会受到ISP提供商网间互通的瓶颈,造成访问快慢不一的现像。例如:如果采用的ISP是通过网通
接入的,在访问处于电信的资源时,会由于不同ISP之间互连互通的问题造成访问变慢,而访问网通资源时,就不会存在问题。
如何向遍布在全国范围的服务网络提供相同的快速访问途径
各分支机构或合作伙伴采用的网络接入方式,带宽的接入质量存在差异性,造成了访问企业总部应用时的快慢不一。大数量的应用数据传输时出现的延时或丢包等现象,严重影响了企业的关键信息数据发布或收集。
如何加快WEB应用的访问速度
当前,许多企业在实施了价值数百万、千万的Web应用部署之后,却发现与原有的客户端服务器应用相比,新部署的性能不能让用户感到满意。同时,企业出于监管和数据安全性要求需要将服务器集中管理,而Web应用的用户却作为远程分支办事处和移动用户而分布得更加分散。
与此同时,不幸的是,广域网延迟、错误和其它问题使得Web应用无法快速交付。在门户应用、CRM 应用、协作应用及其它企业应用情形中,Web应用架构师和管理员发现其交付性能难以满足用户的期望。
通过交付中心建设,可以通过多种技术手段对应用进行优化,提高客户体验。在实际应用中,通常使用的优化手段有:
TCP优化:对TCP堆栈进行优化处理,提高TCP传输效率
负载均衡:通过将用户请求分配到多台服务器,降低单台服务器的压力,提高服务器的响应速度
连接复用:将大量的用户端短连接进行聚合,变成长连接与服务器进行交互,减小服务器由于频繁建立和关闭TCP连接带来的消耗
SSL卸载:通过硬件处理SSL加解密流量,减轻服务器端压力
内存Cache:将大量的静态内容缓存在交付中心设备的内存里,减小服务器端压力
HTTP压缩:对HTTP传输中的可压缩内容进行压缩传输,减小广域网带宽占用,提高客户端打开页面的速度
动态静态分离:通过技术手段,将页面中的动态内容和静态内容进行分离,使变化不大的静态内容尽量留在客户端浏览器,以减少广域网数据传输量
应用优化技术与高可用性技术进行配合,就可以极大的提高客户体验,使企业得以留住
并吸引更多的优质客户群体,提高自身的竞争力。
2.3应用安全降低系统风险
变化多样的网络攻击及蠕虫病毒在企业的网络中大量泛滥,促使企业不得不想尽一切办法来提升“木桶”的高度,以此来抵挡各种类型的攻击。提到网络安全,以前人们想到的是防火墙、入侵检测、加密、认证、VPN等等一系列产品的名字。在现有的企业数据中心里,对传统的网络安全都进行了非常严密的部署,比如通过防火墙分割安全区域,使各个分区之间的相互访问都要通过防火墙进行,在防火墙上设置非常细化的安全策略,限定源和目的地IP和端口等。另外,在同一条数据通路的不同区域中,采用不同品牌,不同形式的防火墙进行安全防护。在对外的公共通路上,再部署IDS、IPS等进行进一步的安全审计和防护。以期望获得最大的安全性。对于传统的网络安全概念,这些措施有效防地防范了基于网络层面的攻击,但基本上在现在企业的安全体系中,都忽略了一个重点,就是应用层面的安全。
企业帐号,电子定单,财务数据等关键的应用数据通过基于WEB应用的方式进行传输时,默认都采用HTTP明文方式进行传输。现在的企业系统中存在越来越多的开放运行环境的系统,因此,数据的安全传输是一个非常重要的问题。尤其当应用部署在内网时,传输的安全问题是最容易被忽略的一个环节。一旦被非法人员获取,将使企业或合作伙伴造成重大的经济损失。
另外,据一个国外的安全组织调查分析结果,目前网络中的攻击手段,有85%都是在应用层面上的攻击手段。也就是说,在所有的攻击手段中,只有15%属于传统的网络层面攻击手段,比如常见的拒绝服务、碎片等攻击手段。余下85%均发生在应用层,如SQL Injection、跨站攻击、CC攻击等手段。
目前企业的安全系统构建,基本上都是基于网络安全层面进行构建,实际上可以防护的攻击手段只占所有攻击手段的15%,可以说,现有大部分企业的开放运行环境系统是非常脆弱的。这还不包括基本没有防火墙防护的封闭运行环境中的系统。
为什么会造成这种情况,我们可以从目前产品的安全技术特色上进行分析,目前企业数据中心内主要有以下三类安全产品部署:
1、基础防火墙类,主要是可实现基本包过滤策略的防火墙,这类是有硬件处理、软件处理等,其主要功能实现是限制对IP:port的访问。基本上的实现都是默认情况下关闭所有
的通过型访问,只开放允许访问的策略。
2、IDS类,此类产品基本上以旁路为主,特点是不阻断任何网络访问,主要以提供报告和事后监督为主,少量的类似产品还提供TCP阻断等功能,但少有使用。
3、IPS类,解决了IDS无法阻断的问题,基本上以在线模式为主,系统提供多个端口,以透明模式工作。在一些传统防火墙的新产品中也提供了类似功能,其特点是可以分析到数据包的内容,解决传统防火墙只能工作在4层以下的问题。和IDS一样,IPS也要像防病毒系统定义N种已知的攻击模式,并主要通过模式匹配去阻断非法访问。
在这几类产品中,通过如何定制控制策略,就可以分辨出什么是主动安全,什么是被动安全。从安全的最基本概念来说,首先是关闭所有的通路,然后再开放允许的访问。因此,传统防火墙可以说是主动安全的概念,因为默认情况下防火墙是关闭所有的访问,然后再通过定制策略去开放允许开放的访问。但由于其设计结构和特点,不能检测到数据包的内容级别,因此,当攻击手段到达应用层面的时候,传统的防火墙都是无能为力的。IDS的特点是不能阻断攻击流量,只能是一个事后监督机制,因此在其后出现的IPS,基本上所有的IPS 系统都号称能检查到数据包的内容,但犯了一个致命的错误,就是把安全的原则反过来了,变成默认开放所有的访问,只有自己认识的访问,才进行阻断。从另外一个方面,由于在线式造成的性能问题,也不能像杀毒软件一样进行全面而细致的安全审计。因此大多数的IPS 在实际运行环境中都形同虚设,通常只是当作一个防DDOS的设备存在。IPS尤其对于未知的,不在其安全知识库内的攻击手段,则无法进行有效的识别并进行阻断。并且,由于在线式造成的性能问题,在大多数的IPS部署方案中,很难对全部的流量开启所有的模式分析,因此,当企业面临真正的应用层攻击时,这些安全手段都无能为力了。
在交付中心中,通过应用层主动安全体系来解决现有的问题。在主动安全的体系中,彻底改变了IPS 的致命安全错误。其工作在协议层上,通过对协议的彻底分析和Proxy代理工作模式,同时,结合对应用的访问流程进行分析,只通过自己识别的访问,而对于不识别的访问,则全部进行阻断。比如在页面上的一个留言板,正常的用户登录都是填入一些留言,提问等,但黑客则可能填入一段代码,如果服务器端的页面存在漏洞,则当另外一个用户查看留言板的时候,则会在用户完全不知道的情况下执行这段代码,这叫做跨站攻击。当这段代码被执行后,用户的本地任何信息都有可能被发送到黑客的指定地址上。如果采用防火墙或者IPS,对此类攻击根本没有任何处理办法,因为攻击的手段、代码每次都在变化,没有
特征而言。而在采用主动安全的系统中,则可以严格的限制在留言板中输入的内容,由此来防范此类跨站攻击。又如常见的认证漏洞,可能造成某些页面在没有进行用户登录的情况下可以直接访问,这些内容在防火墙或者IPS系统中更加无法处理了。因为他们的请求和正常的请求完全一样,只是没有经过登录流程而已,因此不能进行防护,在主动安全体系里,可以对用户的访问进行流程限定,比如访问一些内容必须是在先通过了安全认证之后才能访问,并且必须按照一定的顺序才能执行。因此,工作在流程和代理层面的主动安全设备可以进一步实现应用系统的真正安全。
3Easted制造行业解决方案一览
3.1SAP集中部署解决方案
某是中国最大的一体化能源化工公司之一,主要从事石油与天然气勘探开发、开采、管道运输、销售;石油炼制、石油化工、化纤、化肥及其它化工生产与产品销售、储运;石油、天然气、石油产品、石油化工及其它化工产品和其它商品、技术的进出口、代理进出口业务;技术、信息的研究、开发、应用。是中国最大的石油产品和主要石化产品生产商和供应商。
在实施ERP项目过程中采取了分步推进的战略部署,并且于2006年时进行ERP服务器逻辑集中的试点工作,ERP项目的集中化管理能够实现:
? 建立统一的数据平台,并且有效地支撑各级管理层尤其是总部相关领导的科学决策;
? 为了总部统一的业务和管理要求在各个企业得到有效贯彻,利用先进的信息系统提高各企业管理水平;
? 提高整体管理效率、降低对ERP系统的运维支撑水平和IT总持有成本,
3.1.1需求分析
由于前期ERP项目的集中化管理,主要是停留在“数据集中”或称“服务器集中”的模式上,SAP客户端GUI还部署在每一个员工的电脑上,这就相当于把应用逻辑和数据分布在了企业的各个角落,这样虽然服务器集中了,但是应用依然是分散的,同时数据在各个PC 机上都会传递和缓存驻留,这无论给使用、管理还是安全上都带来麻烦。
根据对前期ERP上线的销售企业的日常维护检查、后评估和项目验收检查,发现已上线
的销售企业ERP系统应用中,SAP GUI分散部署导致的各类问题包括:
? 项目实施时部分终端用户的IT环境需要改造:SAP GUI对PC机配置和网络均有一定要求,目前大部分销售企业的部署模式是将SAP GUI安装在用户自己的PC机
上,这种模式对于达不到要求的用户,如果不进行改造升级,则不能顺利进行SAP
实施,这从项目实施的角度来看,不仅增加了用户投入的整体成本,而且使得项目
的实施周期被迫延长。
? 应用效率有待提高。目前IT环境越来越复杂,业务对IT系统依赖性越来越高,IT系统对员工的要求也越来越高,随着SAP GUI的传统部署,这一现状进一步加剧,
系统复杂性使得应用效率降低,员工与其PC机逐渐绑定在一起而失去了灵活性。
应用效率不仅包括因计算机性能和网络速度影响的发生一笔业务的时间,还包括业
务人员为适应IT系统而完成业务操作的综合时间和人力成本。以及IT系统是否足
够灵活,能否有效避免系统故障带来的业务中断等等。例如当企业需要完成一笔
SAP业务时,业务人员由于PC故障却无法执行业务操作,或由于出差,远程网络
差等无法访问SAP系统等等,这些都会大大降低应用效率,制约了SAP系统实施
效果。
? 安全性问题。在SAP实施初期,为了系统顺利运行,往往忽视并牺牲了一定的安全性,但是随着SAP系统的运行,SAP系统中企业敏感数据越来越多,安全性问题
应提到重要位置。目前的部署模式,企业内部分散了成千上万的SAP GUI软件,难
于管理SAPA GUI模块的授权安装和使用;同时SAP GUI和后台服务器要交互大量
的数据,这些企业数据会在全省范围内大面积的传输,增加了数据被截获和窃取的
风险;并且在用户PC机和笔记本上缓存的数据,增加了PC机笔记本丢失等原因
的数据泄漏的风险;最后,大量的PC机增加了病毒感染的风险,会直接破坏企业
系统运行。
? 维护管理工作量加大。目前在SAP实施中,实施部门已经运用了各种方法去降低维护工作量,如将SAP GUI通过FTP下载到每一台PC机上,执行安装和升级,但
是由于维护和管理的对象面太广(整个用户群的PC),缺少有效地集中管理手段,还是无法从根本上降低总体的管理维护工作量。而这会在业务人员对SAP的使用要
求越来越高的同时,技术支持响应速度却完全滞后,无法使SAP使用效果得到满意
保障。
? 网络带宽的投入,目前的部署模式需要用户访问SAP时有一定的带宽保证,才可以顺畅地使用SAP系统,随着SAP的实施和推广,在网络带宽上的投入会越来越
大。而远程访问受网络的影响,依然无法有效解决。
? 培训和远程支持,培训是SAP成功实施的重要保证,对于目前省公司大量的客户和分散的地域,缺少远程培训和支持技术,给SAP实施带来了极大的不便,同时也
会影响使用效果。
因此结合ERP项目的集中化管理,只有实施ERP客户端集中部署模式,才能有效地解决分散IT系统架构的弊病,体现集中管理的优势
3.1.2项目目标
在SAP GUI集中部署项目中,项目目标包括:
? 实现SAP GUI的快速部署, 每台使用R/3系统的设备无需安装SAP GUI客户端;
? 简化SAP客户端维护,避免由于对客户端的维护导致影响数据及时录入,提升数据的时效性;
? 降低SAP对终端PC的配置要求;
? 高效利用网络带宽,解决远程低带宽移动客户访问SAP系统的低效率问题;
? 快速实现从C/S到B/S的访问方式转变;
? 提高密码安全性,利用单一密码访问所有被授权使用的应用;
? 保障生产业务连续性,保证客户对SAP的不间断访问。
于2012年初采用Easted接入平台进行了ERP客户端集中部署的试点成功后,于9月份开始实施5省销售公司的ERP客户端集中项目,在北京总部数据中心实施总计近5000用户的SAP GUI集中部署。Easted平台于11月10日和SAP ERP系统一起正式上线,投入运行。
3.1.3技术方案
SAP系统的总体架构不变,后台SAP服务器也没有改变,只是在原来的用户客户端和SAP 服务器之间增加了Easted服务器集群,原先需要安装在用户客户端的SAP GUI软件现在安装在Easted服务器上,多用户同时访问时,SAP GUI以多进程方式在Easted服务器集群上运行。
总体架构如下图所示:
图:总体架构图
通过这样的部署结构,最终用户对SAP的访问依赖于服务器计算能力和数据中心内部网络,不再依赖于广域网和终端设备,因此通过配置高性能的中心服务器,可以使得远程用户像在局域网内一样使用SAP系统。
Easted服务器集群通过负载均衡技术实现了7X24小时的业务连续性,无论用户客户端或者服务器出现单点故障,均不影响用户对SAP系统的访问。并且对用户端的网络依赖性降低,每个用户只需要10K~20K的带宽就可以享受到局域网内使用SAP的性能。
3.1.4项目收益
通过ERP客户端集中部署项目,获得了如下收益包括:
系统安全性
通过Easted平台,可以方便地实现应用接入的安全控制。隐藏业务应用服务器及数据库主机。应用的安装、升级和维护只发生在后台服务器上,用户不能接触、修改应用配置,也不知道服务器在什么位置,但可以正常使用,可以有效保证主机的安全。用户可以基于权限控制要求接触不同的应用。不同的用户根据工作需要和控制要求,配置使用不同的应用。避免出现应用安装软件随处可见,随便安装和使用。
应用连续性
客户端网络有时会出现临时中断,原来的客户端方式会引发SAP系统交易锁定,这时需要后台管理员解锁,即使得最终用户感觉不便,又增加了支持中心的压力。采用Easted平台访问后,网络中断只是会话暂停,不再影响交易,用户只需等待网络恢复即可继续交易。
另外如果用户本地客户端故障,用户可以马上登陆备用机或其他人的机器继续工作,而不用担心业务中断或数据泄露等问题。
维护方便性
通过Easted平台,各种应用部署、配置和升级体现出了快速化和准确性。传统解决方案及其带来的麻烦:
(一)通过邮寄安装光盘或者网络传输安装软件,直接或间接到达所有远近终端上,进行安装。让管理人员在每个终端上都安装客户程序会耗费大量的时间和精力,或占用有限的网络带宽。而更加复杂的配置将需要IT人员的支持,甚至到现场处理,由此将发生高昂的差旅开销。
(二)手工、或者自动升级客户端软件。出现令人头疼的却又难以避免的升级失败和事后处理,以及得不到有效控制的升级遗漏,致使旧软件的继续使用。
Easted解决方案带来的便捷高效:
(一)在中心服务器安装部署应用,发布给用户使用。IT技术人员只要在后台进行应用的安装、配置和测试。一经测试通过即可发布给用户使用。部署花费少,时间以小时计,无需复杂的部署安排和时间控制。只要网络畅通,一个通知,各地用户就可以使用。对于SAP,只要在后端进行SAPGUI的安装配置和发布。
(二)应用软件的升级和维护。应用的升级和维护也只发生在后台服务器上,用户甚至无所察觉。并且可以确保无一遗漏,用户使用软件版本决无差异。
(三)所有的客户端都可以实现免维护。最多就是本地系统网络配置和ICA的客户端安装。
更短的时间,同一个版本,同时生效。只需传统方式几十分之一的时间即可快速、准确地完成200个用户的应用部署。考虑实际情况,耗时比率会更低。而后新增用户的应用部署将花费更少时间。
降低成本
Easted平台延长了现有终端设备使用期限。保护已有投资。企业经过多年的建设,存在有各种档次的硬件设备,功能和性能各不相同。在经过实际测试,一台2001年的奔腾机器(PIII-750,128M内存)一样可以很好地完成思杰部署的业务应用。延长设备更新周期。通过使用思杰接入系统,在延长现有设备使用期限的情况下,使得设备采购间隔得以延长。设
备的更新关注在那些故障频发老化设备上。减少设备更新花费。
3.2企业分支机构快速扩张和部署解决方案
3.2.1背景
目前,很多商业企业正致力于跨区域发展。这些企业积极推进管理创新和金融技术创新,努力打造公司企业、零售公司、个人企业、信用卡、金融市场五大利润中心,实现利润来源多元化。随着企业网点的快速扩张,及各项业务的开展,业务需求对IT应用和IT基础构架的要求也越来越高。不但要求IT系统的各应用能够快速满足各种新业务的要求,对于网络安全、管理等基础构架也带来了更高的要求和更大的压力。而且,由于企业的快速扩张,IT 部门的人手也严重不足,进一步加剧了矛盾。
所以需要有一个系统的解决方案,帮助这些企业的IT部门来应对这一系列挑战。
3.2.2需求
为了应对这些挑战,企业的IT构架需要解决以下几个关键的问题:
支持分支机构快速扩张的基础构架因为短期内分支机构的快速扩张,需要有一套IT 构架,能够适应这样速度的扩张。能够在最短时间内,快速建立新的分支机构的IT环境的部署。同时系统要能够有良好的可扩展性来支持日益增长的系统容量。
解决终端和应用的管理和安全问题由于存在大量的分支机构,终端网点的客户端的安全和管理问题的矛盾也越来越突出。由于网点终端分散于各个网点,加上网点的IT管理力量薄弱,对于这些终端的维护和管理的挑战性十分大。采用传统的PC+本地安装客户端模式,初始安装和配置需要大量的工作量。日后的应用升级、维护,往往需要IT管理人员访问现场,其速度和成本也非常高。同时,如何保证这些分散的客户端的安全也是需要重点考虑的问题。在生产网络中,任何一台受到病毒或木马感染的客户端,都可能直接影响到整个网点,乃至整个生产网络的正常生产。同时,如何保护重要应用中的敏感信息的保密,也是需要着重考虑的问题。
跨安全分区访问业务应用由于企业网络安全要求的特殊性,其网络往往划分为多个相互隔离的安全分区,如办公网,开发网,生产网等。多个安全分区之间用防火墙互相隔离。但是由于不少业务应用,需要跨安全分区进行访问,这就需要在防火墙上打开相应的端口。由于应用对通信和端口的要求千变万化,而且随着应用的构架变化和版本升级,往往防火墙
规则也需要做相应修改。这样不但增加了管理负担,而且也带来了一定的安全隐患。
分支机构访问应用的速度问题对于分支机构,不但存在终端和应用的管理问题,应用的访问速度也是用户十分关注的指标。由于企业的应用绝大部分采用集中的后端,及越来越多使用B/S构架,其操作响应速度往往不够理想。这就要求新的解决方案能够很好地优化分支机构的用户对各种应用的访问和响应速度。
安全的开发环境企业的开发部门由于企业的业务特殊性,对开发环境和文档管理环境的安全性要求较高。而由于企业业务的飞速拓展,企业开发项目中,往往还会牵涉到很多第三方公司和外包项目。这对开发系统的安全构成了极大的挑战。需要有一套环境,能够让开发项目的员工及外包员工,能够在受控环境下,进行相关应用的开发和调试,同时能有效保护应用代码及企业数据的安全。
要应对以上的这些挑战,采用传统的PC机加管理软件的方式,不能完全有效地解决这些矛盾。通过Easted应用交付中心的解决方案,是客户端系统和应用管理方式的变革,能从另一种思路来解决这些安全和管理的问题,达到传统方式无法达到的理想效果。以此使企业的客户端和应用管理水平迈上一个新的台阶,能适应企业业务快速拓展的需要。
3.2.3问题分析
企业终端和应用的安全和管理的挑战是使用传统计算模式情况下,非常普遍的问题。由于PC的特点,PC终端的安全和管理一直是业界困扰的问题。
3.2.3.1传统模式的弊端
下图是传统的计算模式构架图:
从传统构架来看,有这样几个特点:
1. 客户端需要在终端部署,初期安装以及后期维护工作量巨大。维护成本高。