CitrixSSLVPN解决方案.doc

Citrix SystemsApplication Networking GroupCitrix Access Gateway 企业版解决方案V1.0思杰系统信息技术（北京）有限公司 2009 年 4 月目 录1思杰公司简介12安全接入的用户需求23Access Gateway企业版安全接入方案33.1Access Gateway企业版设备概述33.2Access Gateway企业版设备部署33.3Access Gateway企业版功能指标44使用Access Gateway企业版实现策略性访问64.1Access Gateway企业版部署方法64.2Access Gateway企业版实现步骤74.2.1第一步：针对远程接入场景的智能分析74.2.2第二步：基于策略的企业应用资源接入74.3Citrix Access Gateway企业版用户场景体验84.3.1场景一 用户从内部网络登录84.3.2场景二，用户从外部信任网络登录94.3.3场景三，用户从非信任网络登录95第三方评测116产品平台推荐126.1容量需求126.2Citrix Access Gateway企业版 产品系列1221 思杰公司简介Citrix公司（纳斯达克股票代码：CTXS）是全球领先的以及最值得信赖的应用交付解决方案提供商。全球有超过20万家机构依靠思杰产品向身处任何地点的用户交付任何应用，其方案性能好、安全性高、成本低。思杰客户包括100%的财富100强企业，99%的全球财富500强企业，以及成千上万家小企业和个人用户。思杰在100多个国家拥有约6200多渠道商和合作伙伴。 Citrix公司2008年年收入超过16亿美元。 Citrix公司2007年年收入超过14亿美元。主要市场：思杰全球主要市场包括： 政府机构：美国200多家政府机构 教育行业：全美10大大学，200多所美国小学和中学 制造行业：全球前20强汽车厂商、前15大电子厂商、前10大制药公司以及美国前10大高科技制造公司和前15大化工企业 金融服务行业：美国前20大商业银行和全球前50大商业和储蓄银行 医疗行业：全球前5大医疗机构，全美前15大医疗机构 电信行业：全美前10大电信公司，全球前20大电信公司 其它：全球前20大公用事业公司和全美前5大互联网服务和零售公司2 安全接入的用户需求在信息爆炸的今天，如何及时准确地获取公司信息、快速响应客户要求成为商业成功的重要因素。为了确保员工不受时间、空间及网络设备等条件的限制，轻松、安全地连接到总部的应用系统、获取信息数据并调用各种工具，企业需要具有在更复杂的工作环境中为更多用户提供连接多种信息资源的能力。随着技术的不断推陈出新，信息系统变得越来越复杂，加之应用设施、平台、标准及网络架构的多样化，为实现接入企业信息带来了更多困难。另一方面，在企业局域网之外也需要对敏感数据信息进行保护。因此，许多企业不得不配备更多的人力和物力来确保安全。显然，这种方法在现有的资源上增加了更多的配置，不可避免地提高了成本，增加了支出。为此，公司的管理者们需要更为有效的方案来实现更为轻松便捷、安全可靠的信息接入。其中，这些安全访问需求包括：1. 对Internet中传递的数据私密性保护VPN的需求；2. 提供增强的远程接入功能，让企业员工随时随地都能安全地接入企业资源；3. 实现对所有基于IP协议的应用都能够安全接入访问；4. 尽量减少对接入客户端的维护和管理；5. 对远程接入可以实现精确的接入控制功能，针对企业资源不仅是接入，而且需要具有策略的接入；针对远程客户端可以进行安全评估；6. 实现接入的高可靠性。3 Access Gateway企业版安全接入方案3.1 Access Gateway企业版设备概述 相比IPSec和传统SSL VPN，Citrix Access Gateway企业版更具创新性和优越性，提供了安全的、不间断、单点接入，而且部署和维护相当简单，具有更高的性价比。IPSec和其它早期的VPN，包括PP2P和L2TP，给予了用户桌面式远程接入体验，但VPN客户机的安装和更新却导致了管理上的烦恼和极高的支持成本。由于防火墙的限制，当用户身处客户或合作伙伴的办公室时常常无法正常接入公司应用和资源。而且最近，这类VPN已成为恶意程序入侵的主要途径。后来研究开发出SSL VPN来解决IPSec VPN的弊端，它集成了Web代理、端口转发和网络延伸等功能，然而，它不支持所有的应用程序，仍然要求保留小范围的IPSec部署。这一类解决方案，每个都有利有弊，因此企业的负担就更重了，因为他们必须管理多种解决方案以满足目前安全的远程接入所带来的多样化需求。对于这些企业，最理想的情况莫过于采用单一的解决方案为所有用户提供各式各样的安全远程接入。而Citrix Access Gateway企业版就能做到这一点。Citrix Access Gateway企业版不仅采用了IPSec VPN的基础技术提供网络层接入，同时也采用SSL技术提供有效数据加密。网络层接入和应用层加密的结合使企业不再需要维护两个单独的VPN基础架构，仅需一个产品就能享受IPSec VPN和SSL VPN的双重优势。3.2 Access Gateway企业版设备部署Citrix Access Gateway企业版部署在Intranet DMZ中，为远程访问客户端到企业门户创建一条基于SSL虚拟加密隧道。通过简单访问安全的Web URL或直接点击桌面图标，客户电脑即可启动客户端软件，然后Access Gateway企业版会利用公司的验证服务器来检验身份的真实性，一旦通过验证，S客户端软件即被激活在客户端计算机上，并可通过与Access Gateway企业版建立的安全通道来安全访问企业内部各种应用资源，包括基于IP协议的任何应用，甚至是基于IP的语音应用（VoIP等）;另外，同样可以通过Citrix的ICA通道来访问Citrix XenApp上发布的各种应用程序（Citrix XenApp是Citrix的应用虚拟化产品，详细内容请参考Citrix文档或访问/China）。3.3 Access Gateway企业版功能指标 标准机架专用硬件，专用安全操作系统。 Access Gateway企业版最大可以支持10000并发用户。 支持高可用双机热备。 Access Gateway企业版克服了IPSec VPN和传统SSL VPN的局限性，同时传承了它们的所有优点。不需重写代码或定制设备，Access Gateway企业版支持各种基于IP应用Client/Server应用，Web应用，甚至是基于IP的语音应用（VoIP等）。 Access Gateway企业版建立的SSL VPN通道能跨越防火墙，隐藏远程网络IP地址，防止了恶意程序的侵入。另外Access Gateway支持区分（禁止/激活）客户端不同通道（VPN安全通道及访问Internet的不安全通道），最大限度实现了建立VPN后对企业内部资源的安全保护。 支持远程客户端安全扫描，建立的VPN隧道变得更加安全。 独特“Always On”技术，当网络重新恢复后，终端用户不需要任何操作，甚至不需要重新认证，SSL VPN通道自动恢复。 有了Citrix Access Gateway企业版，用户既可享受昂贵IPSec VPN所带来的桌面式远程接入体验，也不必为IT升级支付高额成本。 客户端插件在用户接入网络时自动安装和更新，且不用重新启动计算机，最大限度减少对终端用户设备的支持和维护。 部署方便，管理简单（平均部署时间仅需30分钟）。4 使用Access Gateway企业版实现策略性访问相对于传统的IPSec和SSL VPN，Citrix Access Gateway 企业版更大优势在于整合企业各种资源，并实现基于远程访问用户角色、设备、接入位置和连接的策略控制；针对企业内部应用程序、文档、Web内容、电子邮件附件、打印和缓存等提供业界领先的控制能力安全接入企业，策略接入。4.1 Access Gateway企业版部署方法逻辑上位于客户端和服务器之间的 Access Gateway企业版可以以两种物理模式部署：双臂模式和单臂模式。在正常的双臂模式中，多个网络接口连接到不同的以太网段， Access Gateway企业版放置在客户端和服务器之间。Access Gateway企业版有一个单独的网络接口连接每个客户端网络，一个单独的网络接口连接内部应用网络。在此配置中，Access Gateway企业版和应用服务器可以存在于不同的子网中。这些应用服务器可以在公共网络中，客户端可以通过 NetScaler 直接访问服务器。在单臂部署模式下，Access Gateway企业版通过一条链路（或多条链路捆绑形成的一条聚合链路）连接交换机，其连接位置与后端服务器相同。下图为Access Gateway企业版两种典型的网络拓扑连接模式：4.2 Access Gateway企业版实现步骤通过Citrix Access Gateway 企业版将企业各种资源整合到门户后，从以下实现步骤可以看出，根据不同用户接入时的不同场景，将有相应的接入策略与之对应，并控制用户使用企业资源的过程和操作。4.2.1 第一步：针对远程接入场景的智能分析 接入角色分析 接入设备识别 接入设备配置 网络位置分析 认证方式 其他定制的安全扫描 如图：进行端点扫描和分析4.2.2 第二步：基于策略的企业应用资源接入 Citrix XenApp发布的应用资源 文件和网络共享资源 基于Web的邮件系统 Web站点 基于Web的应用 邮件同步 基于IP的语音应用（VoIP等软电话应用）如图：接入策略控制4.3 Citrix Access Gateway企业版用户场景体验4.3.1 场景一 用户从内部网络登录当用户从企业内部网络来访问企业门户中的各种资源时，如何处理（内部网络通常是可信任网络），事例如图：绿色表示具有完全接入权限；蓝色表示具有部分可以接入权限控制；红色表示接入权限被拒绝。 当Citrix Access Gateway Enterprise监测到该用户访问从信任网络发起（内部网络）后，该用户可以接入的企业资源及可以进行的对资源的操作权限相对较大，这是符合常理的。4.3.2 场景二，用户从外部信任网络登录当用户作为企业移动用户来访问企业门户中的各种资源时，如何处理；事例如图：绿色表示具有完全接入权限；蓝色表示具有部分可以接入权限控制；红色表示接入权限被拒绝。此时，该用户可以接入的企业资源及可以进行的对资源的操作权限是有限的；毕竟，该用户是从外网接入，我们需要对其进行策略控制。4.3.3 场景三，用户从非信任网络登录当用户在网吧里上网来访问企业门户中的各种资源时，如何处理；事例如图：绿色表示具有完全接入权限；蓝色表示具有部分可以接入权限控制；红色表示接入权限被拒绝。用户使用网吧计算机通过极其不安全的公共网络接入的企业资源及进行的对资源的操作权限我们是必须要对其进行严格控制的，此时，该用户会发现很多资源只能浏览而没有更多的控制能力。5 第三方评测Citrix Access Gateway企业版产品近年来多次在权威机构的评测中得到好评，本章选取Gartner Group（全球最具权威的IT研究与顾问咨询公司）对SSL VPN市场的评测，Citrix Access Gateway企业版已经在该评测中连续多年评为业界领导者。图中两个坐标轴的意思分别为： Ability to Execute坐标主要反映目前产品特性，价格以及用户体验等方面，具体评定指标包括，产品和服务，公司生存能力，销售及价格，市场对产品的反应，市场执行能力，客户体验，运营。 Completeness of Vision主要反映公司以及产品发展策略各方面因素，具体评定指标包括，对市场的理解，市场策略，销售策略，产品策略，公司业务模型，行业策略，更新与改进能力，区域策略6 产品平台推荐6.1 容量需求 目前远