远程应用接入方案（RAS）设计说明书.doc

远程应用接入方案 远程应用接入方案 RAS 设计说明书 设计说明书 1 1 前言前言 2 2 2 开发的理由开发的理由 2 2 1 远程接入的带宽 3 2 2 远程接入的安全 3 2 3 性能 3 2 4 硬件成本 3 2 5 集中管理 3 3 3 技术目标技术目标 3 3 1 模块结构 4 3 2 实现虚拟以太网 4 3 2 1 虚拟网络设备 5 3 2 2 网络桥接 6 3 2 3 点对点通讯 6 3 2 4 IP 过滤 6 3 2 5 移动接入 7 3 2 6 数据压缩 7 3 2 8 防火墙友好 8 3 2 7 特点总结 8 3 3 安全 9 3 3 1 接入认证 9 3 3 1 1 支持证书密码 9 3 3 2 数据加密 10 3 3 2 1 动态加密 10 3 3 2 2 抗重播 10 3 3 2 3 点对点加密 10 3 3 2 4 加密封装 11 3 3 3 支持硬件认证加密 11 3 3 4 特点总结 12 3 4 应用发布 12 3 4 1 集成微软终端服务 12 3 4 2 接入框架 13 3 4 2 1 应用接入 14 3 4 3 应用发布的管理功能 15 3 4 4 保存发布信息 16 4 4 应用情景应用情景 16 5 5 功能总结功能总结 18 1 前言前言 随着网络经济时代的到来 互联网应用得到快速发展 基于互联网的分布式计算正面临来 自多方面的挑战 包括管理成本 部署成本及有限的带宽资源 访问安全性等 使分布式 计算不能很好体现其降低成本 提高效率的好处 复杂的应用使部署困难 某种程度上抵 消了分布式计算所带来的灵活性 面对挑战 WEB 应用程序应运而生 基于浏览器技术的 Web 应用程序 的出现 相当 程度上降低了部署 维护应用程序所需的成本 主要表现在以下方面 降低台式机 工作站的维护成本 降低 减少硬件 升级成本 使用浏览器访问 不需要安装客户端 快速的升级和部署 减少用户支持成本和管理成本 然而 在实践中 WEB 应用依然存在明显的不足 如 WEB 应用程序一般只提供简单的用户操作界面 不能象传统应用程序那样提供丰富的 用户操作界面 复杂应用 依然要求充足的带宽资源 如 ERP 应用 在浏览器中显示一份沉长的报表 需要从服务器传送大量的数据 WEB 应用程序经常不象期望的快速 高效 而功能的减少却经常降低个人工作效率 为解决这些问题 Web 应用程序正试图寻找一些提升应用程序功能的方法 技术 如 Active X XML 并为终端用户提供 丰富 的用户界面 同时控制预算和保持性能水平 面对这些问题 科迈提出 远程应用接入方案 RAS 它所实施的网络互联架构 在提供 网络互联的同时 可以集中发布各种应用程序 包括 Web 应用程序 以及几乎所有部署在 台式机的应用程序 RAS 将使用户可以充分发挥基于互联网的分布式计算的效益 2 2 开发的理由开发的理由 IT 规划人员在进行应用程序部署时将面临以下的挑战 远程接入时带宽 安全 性能 硬件成本 集中化管理 科迈 远程应用接入方案 RAS 使用虚拟网络技术 结合微软的终端服务 TS 技术 提供 了面对这些挑战的一个方法 2 12 1 远程接入的带宽远程接入的带宽 在 RAS 架构下 客户端系统只收发 RDP Remote Desktop Protocol 数据流 包括鼠标的移 动 键盘击键和屏幕的变化 应用系统的数据不需要在客户端与服务器之间传输 从而提 高了带宽的利用率 分析结果显示 维持 RAS 正常使用所需要的带宽相当低 一般大于 20Kbps 即可 RAS 客户端与接入服务器之间的峰值流量仅发生在初始化阶段 以及文件拷贝或打印过程中 2 22 2 远程接入的安全远程接入的安全 RAS 可以提供比 WEB 应用程序更安全的身份认证及数据加密 如 RAS 支持第三方硬件加 密 eKey 可以确保只有经授权的人员才能接入 Login 2 32 3 性能性能 与 WEB 应用程序相比 RAS 提供的远程接入仍然具备优势 在 WEB 应用中 浏览器通 常需要从服务器接收大量的数据以便显示 如 ERP 应用中的一个几千行的列表 并因此要 求较多的带宽资源 用户的应用程序及其应用程序服务器一般都位于内部 LAN 应用程序的性能不会受到互联 网中不确定性因素的影响 在 RAS 架构中 实际的业务处理发生在接入服务器及应用服务器 对客户端的机器性能要 求不高 2 42 4 硬件成本硬件成本 整体拥有成本 TCO 常常被一些公司理解为硬件成本 一个简单的事实是 每个台式机 可能需要花费 5 000 元来 包括系统 应用 但是 通过实施一个 30 000 元的 1U 或 Blade 刀片 RAS 服务器架构 可以将这 30 000 元分摊到 15 30 甚至 40 个用户上 2 52 5 集中管理集中管理 通过 RAS 集中发布应用程序 将应用程序从桌面台式机上剥离出去 可以降低单个成本 提高应用程序发布网络架构的可靠性 安全性 3 3 技术目标技术目标 RAS 采用虚拟网络及微软终端服务 TS 技术 为应用系统的集中接入及集中部署提供一种 有效的解决方案 通过部署 RAS 传统的客户 服务器结构应用程序 可以转变为终端 服 务器结构 为了使虚拟网络更接近一个真实的物理以太网络 Physical Ethernet RAS 采用虚拟网络 设备的方法在数据链路层 Layer 2 实现远程网络互联 所有基于以太网络的第三层协议都 得到了完全的支持 如 IP IPv6 IPX Apple Talk 等 从而为运行微软终端服务 TS 提 供可靠的虚拟网络环境 RAS 提供安全的接入权限管理 包括接入授权和用户权限管理 在 RAS 中 可以使用 eKey 一种硬件密钥 进行接入授权 可以根据 CA 证书包含的用户名称确定其可以访问的 应用程序 RAS 中使用 SSL 安全协议进行接入认证 加密敏感信息 功能及技术方案概述 3 13 1 模块结构模块结构 RAS 可以划分为以下几个模块 虚拟网络 虚拟集线器 虚拟网卡 终端服务 如图 虚拟集线器 操作系统 虚拟网卡 终端服务 OpenSSL 虚拟网卡与虚拟集线器共同组成虚拟以太网环境 微软的终端服务运行于虚拟以太网中 3 23 2 实现虚拟以太网实现虚拟以太网 根据以太网的基本原理 对 Switch 集线器 网卡进行仿真 在计算机操作系统中建立虚拟 的网卡设备 VA 以及构造虚拟的 Switch 集线器 VH 这样用户安装 RAS 相当于在物 理网络设备之外 再安装一套虚拟的网卡与 Switch 集线器设备 建立网络互联 只须把一 端的虚拟网卡与另一端的虚拟集线器相连 简单 易用 原理简图 iMaciMac iMac VH VA Phy Ada VA Phy Ada BridgeBridge iMaciMaciMaciMac VA Phy Ada Bridge iMaciMac TCP Link Ethernet Tunnel P T P UDP Link 图中每个局域网中有一台 Windows XP 2003 主机运行 RAS 软件 利用网络桥接实现各个 局域网间的互联 两个网络间的通讯可以是点对点 P T P 也可以通过虚拟集线器中转 如图中所示 虚拟网络的隧道利用 TCP 和 UDP 链路传输数据 TCP UDP 链路的建立过 程如下 1 VA与VH建立TCP连接 2 VA向VH发送身份认证信息 VH对其进行认证 3 身分认证通过了 则TCP链路可以传输虚拟网络的网络数据包 4 任何两个VA进行第一次发生通讯时 都会尝试建立点对点的UDP通道 利用UDP通 道 可以建立自适应网状结构自适应网状结构网络 虚拟以太网的原理简单 可以完全与真实的网络相融合 结合 SSL 安全规范 科迈 RAS 为为运行微软终端服务 TS 提供安全 简单 可靠虚拟网络环境 概述 优点 参考 ES 技术白皮书 3 2 13 2 1 虚拟网络设备虚拟网络设备 在 RAS 架构中 需要实现虚拟集线器及虚拟网卡 虚拟集线器要求在 WIN32 和 UNIX 平 台中 根据集线器 HUB 的工作原理 以纯软件的方法实现集线器的功能 虚拟网卡则 要求在要求在 WIN32 和 UNIX 平台中仿真物理网卡 以表列出可能的实现方案 平台虚拟网卡 VA 虚拟集线器 VH WIN32编写虚拟网卡设备驱动程序 运行于内核心空TCP 服务程序 模拟集线器 图中 VA 虚拟网卡 Virtual Adapter VH 虚拟集线器 Switch HUB Bridge 表示网桥 Windows XP 2003 自带的 网络桥接功能 Eswan 300 内置网桥功能 Phy Ada 表示物理网卡 间 并提供内核驱动与用户空间的数据交换接 口 的工作方式 UNIX直接采用现成的 TAP 虚拟网卡设备及其数据 交换接口 同 WIN32 3 2 23 2 2 网络桥接网络桥接 RAS 架构中的虚拟网卡 VA 可以和物理网卡建立桥接 UNIX 环境一般都提供桥接功能 WIN32 平台从 Windows XP 开始也提供桥接功能 3 2 33 2 3 点对点通讯点对点通讯 在 RAS 架构中 两点间的通讯方式按优排序如下 点对点 使用 UDP 协议建立两点间的直接通讯 不经任何中转 直接中转 当通讯双方都与同一个虚拟集线器连接时 可以建立直接中转 经虚拟集线器中转 当通讯双方都与不同的虚拟集线器连接时 双方的通讯需要经过 多个虚拟集线器中转 要求 RAS 按优自动尝试建立通讯 最坏的情况下 总是可以通过直接中转或经虚拟集线器 中转实现通讯 RAS 中需要为两边 内网 的情况建立点对点通讯 如图 科迈的内网穿透技术为 RAS 架构中内网点对点通讯提供很好解决方案 利用内网点对点通 讯技术 可以有效避免 中心点瓶颈 形成 提高网络效率 3 2 43 2 4 IPIP 过滤过滤 RAS 架构中 可以设置 IP 过滤规则 以便限制某些 IP 在 RAS 架构中通讯 如对经网络桥网络桥 进入 RAS 架构的 IP 可以根据规则将其拦截 BLOCK 或让其通行 PASS COMEXE VPN Service COMEXE VPN Gateway 192 168 0 2 GW 192 168 0 1 Gate Way Mode o on ne e t tw wo o 192 168 0 5 GW 192 168 0 2 小区宽带接入 192 168 0 1 192 168 0 4 GW 192 168 0 2 192 168 0 3 GW 192 168 0 2 COMEXE VPN Gateway 192 168 1 2 GW 192 168 1 1 Gate Way Mode t tw wo o o on ne e 192 168 1 5 GW 192 168 1 2 小区宽带接入 192 168 1 1 192 168 1 4 GW 192 168 1 2 192 168 1 3 GW 192 168 1 2 Internet GateWay Mode 共享器共享器 10 0 10 0 运营商网络运营商网络 实现方案可以参考科迈 TrueHost 所集成的防火墙 如图 3 2 53 2 5 移动接入移动接入 RAS 架构中 用户接入虚拟网络的配置适用于各种情况 如办公室的 PC 随身的 Notebook 在虚拟网络中安装 DHCP 服务器 可以为移动用户动态分配虚拟 IP 3 2 63 2 6 数据压缩数据压缩 实现 LZO 自适应压缩技术 传输过程中自动对数据包进行抽样分析 根据当前的抽样结果 判断是否应该进行压缩操作 基本方法如下 确定参数 压缩状态 CompState 指示是否处在压缩状态 设定抽样时长 SampSec 设定暂停压缩时长 OffSec 设定抽样时长内处理未压缩的字节数 TotalBytes 设定抽样时长内压缩后的字节数 TotalCompBytes 设定抽样时长内压缩处理的字节数阀值 MinBytes 设定抽样时长内的压缩比 百分数 阀值 SavePercent 判断条件 通过抽样检查 可以避免不必要的数据压缩操作 减少 CPU 占用率 改善数据压缩的表现 3 2 83 2 8 防火墙友好防火墙友好 运行 RAS 的计算机经常位于 NAT Firewall 后面 当与外部的虚拟集线器连接时 要求尽可 能避免修改防火墙设置 以免带来额外安全隐患 RAS 支持以下的网络环境 NAT HTTP connect Socks5 Socks4 HTTP HTTPS 端口 80 或 443 基本可以确保只要允许上网 就可以接入 RAS 虚拟网络 3 2 73 2 7 特点总结特点总结 技术特点好处 模拟真实以太网环境模拟真实以太网环境 使用 LAN 的知识管理 用户无 须重新学习 UDP 点对点通讯有效避免 中心点瓶颈 提高网络效率 内网点对点 如果处于压缩状态 CompState 为 TRUE 如果抽样结束 已经过了 SampSec 秒 如果 TotalBytes 大于 MinBytes 且 TotalBytes TotalCompBytes 小于 SavePercent TotalBytes 则 暂停压缩 CompState FALSE 暂停压缩维持 OffSec 秒 否则开始下一个抽样时间 否则检查暂停压缩是否已经结束 如果是 则开始重新开始尝试压缩 同时开始抽样 穿透技术 避免调整原有的网络结构 LZO 自适应数据压缩提高带宽利用率 支持网络桥接 DHCP 服务动态分配 IP 无须进行网络设置 支持 NAT HTTP Proxy Socks5 Socks4 上网环境 对防火墙友好 避免修改防火墙设置 IP 过滤方便管理 支持科迈动态域名适应各种动态 IP 的应用 移动接入方便移动办公 3 33 3 安全安全 为确保应用在一个安全的虚拟网络中运行 RAS 架构中 安全性应该包含了以下方面 虚拟网络接入安全 数据传输的私密性 应用程序接入安全 其中虚拟网络接入安全和数据传输的私密性基于 SSL 安全协议构建 接入 RAS 要求用户 提供正确的 CA 证书 X 509 RAS 架构中传输的数据使用动态密钥动态密钥 3DES 加密 应用程序接入安全在 应用发布 中说明 3 3 13 3 1 接入认证接入认证 接入认证使用 OpenSSL 构建 包括 维护 CA 证书 建立根 CA root CA 颁发 CA 证书 撤销 CA 证书 使用 CA 证书进行 SSL 认证 CA 证书的维护可以直接使用 OpenSSL 提供的工具 RAS 使用 OpenSSL 提供的 API 集成 基于 CA 证书的 SSL 认证 3 3 1 13 3 1 1 支持证书密码支持证书密码 生成 X 509 CA 证书时 可以为证书设置一个密码 任何人打开证书使用 都会被要求输 入预设的密码 只有输入正确的密码才能把证书解密 正常使用证书 使用证书密码实际上构成了一种双因子 2 Factor 验证 Something you have and something you know 即只有同时拥有证书 包括私人 KEY 以及证书密码才能通过验证 证书密码对 于移动用户可能是很有用的 例如 如果有人在您输入证书密码时偷看到了 他还必须取 得您的证书才能登录您的 RAS 架构中 反过来 如果您不小心遗失了装有证书的 USB Disk 得到该 USB Disk 的人还必须知道证书的密码才能使用 这和生活中银行卡的使用 情况是一样的 即必须同时拥有银行卡和该卡的密码才能从提款机提取现金 3 3 23 3 2 数据加密数据加密 RAS 中使用双加密通道保护敏感信息的私密性 基于 SSL 协议的非对称加密通道 SSL 认证一旦成功 相应的 SSL 连接即成为一条非 对称加密通道 并用作对称加密通道的密钥交换 对称加密通道 使用非对称加密通道可以安全地 定期地安全地 定期地交换对称密钥 RAS 架构中 传输的数据使用对称加密通道加密 以便获得更好的通讯效率 3 3 2 13 3 2 1 动态加密动态加密 RAS 架构中 加密 KEY 随机生成 定时使用非对称加密通道非对称加密通道交换更新 如 10 分钟 60 分钟 更换一次 加密 KEY 轮换使用 可以确保即使某个时刻的加密 KEY 被破解了 接下来的数 据通讯还是安全的 3 3 2 23 3 2 2 抗重播抗重播 通讯双方发送的加密包都标有序列号 可以有效防止 中间人 攻击 3 3 2 33 3 2 3 点对点加密点对点加密 RAS 架构中 通讯双方进行点对点加密 对于通过虚拟集线器 VH 中转的数据包 在中 转过程不进行任何加密 解密操作 点对点加密可以在 RAS 内外 外 internet 内 RAS 组成的虚拟网络 都能有效地保障数据的私密性 3 3 2 43 3 2 4 加密封装加密封装 加密封装的技术方案参考 IPsec IKE 的实现 如图 Exchange SQL Server Internet Other Server WebWebWeb ServerServerServer IPsecIPsecIPsec GatewayGatewayGateway IPsecIPsecIPsec GatewayGatewayGateway Exchange SQL Server OA系统 ISAKMP SA IPsec SA IPsec封装 RAS使用SSL RAS模仿IPsec的封装 3 3 33 3 3 支持硬件认证加密支持硬件认证加密 科迈 RAS 可以使用 windows 证书库中的 PKCS 12 证书进行认证 加密 RAS 可以按下面 方式使用 windows 证书库 把 X 509 导入 windows 证书库 从 windows 证书库选择证书 用作接入认证 支持 eKey 证书 eKey 是一种 USB 接口 存放 PKCS 12 证书 带密码保护功能的硬 件设备 如图 计算机 TCP UDP Application DataESPIPIPAHCOMP IPIP IPSEC 3 3 43 3 4 特点总结特点总结 特点好处 CA 证书认证安全 通用 符合标准 动态加密有效保护传输过程中的数据私密性 点对点加密从内到外保护数据私密性 支持 eKey让移动用户接入安全 简单 便于授权管理 3 43 4 应用发布应用发布 科迈 RAS 基于 Windows 2000 2003 Server 构建 是微软终端服务 TS 的扩展应用 RAS 架 构中 可以集中管理配置多个异地微软终端服务 TS 实现异地应用程序集中管理 部署 RAS 架构为微软终端服务 TS 提供虚拟网络 可以安全 快速 简单地部署应用程序 概述 参考 VAP 计划功能说明书 3 4 13 4 1 集成微软终端服务集成微软终端服务 终端服务是在 Windows 2000 2003 Server 产品系列中提供的一种技术 用以在一个远端 Windows 2000 Server 上执行应用程序或进行相应的管理工作 终端服务具有以下优势 优势优势描述描述 快速 集中的应用部署快速 集中的应用部署终端服务器适于在企业内快速部署基于 Windows 的应用与计算设 备 特别那些是需经常更新 使用频繁或难于管理的应用 当某 应用程序在终端服务器而非每一设备上进行管理时 管理员可以 确保用户使用的是该应用程序的最新版本 低带宽数据访问低带宽数据访问终端服务器在相当程度上降低了远程访问数据需要的网络带宽 使用终端服务器在限制带宽的连接 如拨号或广域网链接共享 上运行某些应用程序对于远程访问和使用大量数据是非常有效的 这是因为仅有数据的屏幕显示被传送 而不是数据本身 终端服务的不足 不足不足描述描述 应用接入安全应用接入安全1 运行终端服务的网络没有安全保护 2 接入认证仅依赖于 Windows 自身的用户 密码 3 没有应用发布功能 网络功能网络功能1 服务器 终端间不能完全共享网络资源 如网络共享 网络 打印 虽然 2003 中 TS 在这方面作了改进 2 不能集中管理异地的终端服务器 3 不能集中部署异地的终端服务器的应用 RAS 集成终端服务功能 并为终端服务提供安全的虚拟网络环境 让服务器 终端可以完 全共享网络资源 实现集中管理异地终端服务器 集中部署异地的应用 3 4 23 4 2 接入框架接入框架 RAS 架构中的所有主机都通过虚拟网络实现互联 如终端服务器 终端之间都可以互相访 问 从而为集中管理多个异地应用程序发布服务器应用程序发布服务器提供了网络条件 终端服务器和终端之间借助虚拟网络 可以实现双向双向的网络文件共享 网络打印 某种程 度上弥补了 windows 2000 TS 的功能不足 2000 TS 不能访问终端的磁盘 如不能把 记事 本 的文件直接保在终端的磁盘 RAS 架构示意图如下 Internet VHUB 接入服务器 应用发布服务器 Server A 应用程序服务器 应用程序服务器 应应用用发发布布管管理理 微软终端服务 应用程序客户端 微软终端服务 应用程序客户端 Server B 应用发布服务器 RAS Frame Demo 图中两台应用发布服务器以及一些移动 PC 都使用 RAS 的虚拟网络建立互联 应用程序服 务器与各自的应用发布服务器同属于一个 LAN 异地的应用程序服务器应用程序服务器不能通过网络相互 访问 可以选择其中一台应用发布服务器应用发布服务器集中管理虚拟网络中的应用程序 如图中的 Server A 发布一个应用程序需要设置如下基本信息 应用名称 TS服务器 IP 域名 TS服务器的用户 密码 不提供则在线提问 应用程序的路径 工作目录 授权用户 列表 说明 3 4 2 13 4 2 1 应用接入应用接入 RAS 所提供的应用接入与 Windows 提供的终端服务相比 更安全 更容易管理 应用接入 过程如下图所示 应应用用发发布布服服务务器器 RAS Client 应用发布管理 VHUB 1 2 3 过程说明 1 登录RAS虚拟网络 提供CA证书进行SSL认证 2 应用发布管理服务器根据CA用户的权限 返回满足条件的应用程序发布信息 其中包 含登录应用程序发布服务器应用程序发布服务器的用户和密码 3 3 RAS client使用终端服务协议 RDP 登录应用程序发布服务器应用程序发布服务器 启动应用程序 安全性和易用性在以下两方面得一提高 只有授权的用户才能登录 RAS 架构的虚拟网络 根据用户权限获得应用程序发布信息 使用 eKey 可以更好管理应用接入授权 应用程序发布服务器应用程序发布服务器的登录用户的密码不需要告诉授权用户 只需要由管理员统一在 应用程序发布服务器应用程序发布服务器设置即可 实现 点击连接 授权用户只需要登录 RAS 架构 点击授权应用 即可以启动应用 程序 开始工作 如图 3 4 33 4 3 应用发布的管理功能应用发布的管理功能 用户管理 RAS 架构中 集成 CA 的管理机制 并在此基础上建立 RAS 的用户管理机制 对应 CA 的管理机制 定义如下用户管理功能 创建用户 相应地颁发一个新的 CA 证书 对于临时用户 可以在 CA 证书中设置有效日期 删除用户 相应撤消一个 CA 证书 用户权限管理 包括 完全控制 可以接入任何应用程序 只能接入授权部分的应用程序 发布程序 使用程序发布功能 组织可以把一个通用的应用程序分派给位于不同地方的用户 实 现应用程序的集中发布 RAS 架构中 多个异地的应用也可以集中管理 发布 远程应用程序可以访问用户本地的机器资源 如磁盘 打印机 打印机管理 用户透过 RAS 架构运行远端的应用程序时 可以象本地应用程序一样使用本地的打印 机 RAS 可以管理三种类型的本地打印机 客户打印机 与运行远端应用程序的机器相连的打印机 本地打印机 与用户设备相连接的打印机 网络打印机 位于本地局域网的打印机 位于远端应用程序所在局域网的打印机 3 4 43 4 4 保存发布信息保存发布信息 RAS 架构中 一个发布管理服务器可以统一发布所有应用程序服务器中的程序 所有应用 程序发布信息以文本方式保存在 INI 文件中 其中敏感信息 如密码将被加密处理 INI 文件中的记录形如 MSRDP DisplayName 记事本程序名称 FullScreen 0 DesktopWidth 1024 DesktopHeight 768 SessionBpp 16 AutoConnect 0 FullAddress 192 168 0 111 Compression 0 KeyboardHook 0 AudioMode 0 RedirectDrives 0 RedirectPrinters 0 RedirectComPorts 0 RedirectSmartCards 0 DisplayConnectionBar 0 AutoreconnectionEnabled 0 UserName user01用户 Password JYoIEBh8BQa密码 经加密处理 Domain AlternateShell c winnt notepad exe应用程序 ShellWorkingDirectory c winnt工作目录 DisableWallpaper 0 DisableFullWindowDrag 1 DisableMenuAnims 1 DisableThemes 0 DisableCursorSetting 0 BitmapCachePersistenable 0 注 其中有些参数只对 windows 2003 的终端服务有效 4 4 应用情景应用情景 情景一 公司总部安装 RAS 架构 下属部门 含远程 的计算机安装 RAS 客户端软件 实现