1、 桌面虛擬化解決方案桌面虛擬化系統解決方案2目 錄第1章概述41.1項目背景和目的4第2章項目需求52.1功能需求52.1.1集中管理52.1.2應用虛擬化52.1.3桌面虛擬化52.1.4存儲隔離52.1.5數據保護52.1.6遠程接入訪問控制52.1.7訪問日志52.2技術需求62.2.1水平擴展62.2.2負載均衡62.3 服務器安全防護6第3章解決方案及對應項目需求的實現73.1總體方案構架73.2應用場景描述73.2.1內部辦公人員：73.2.2內部研發人員：73.3對應功能需求的實現83.3.1集中管理83.3.2應用虛擬化93.3.3桌面虛擬化103.3.4存儲隔離103.3.5

2、數據保護113.3.6遠程接入訪問控制123.3.7訪問日志133.4技術需求的實現143.4.1水平擴展143.4.2負載均衡143.4.3服務器安全防護14第4章系統預算18第1章 概述1.1 項目背景和目的隨著公司內部辦公項規模擴大，辦公環境的管理更加復雜，安全管理的要求也日益提升。利用現有硬件資源，建立一個簡單、易用、安全的統一接入平臺，以有效進行辦公環境的規范管理，支持可控的遠程訪問模式，同時對于研發環境如何保護重要數據與代碼的安全提出了挑戰。（1）每臺使用C/S系統的設備都需要安裝各個模塊的客戶端，部署和維護客戶端需要花費大量的時間和人力（2）如何進行遠程的維護、技術支持以及靈活的

3、擴展與搬遷，這是IT人員希望亟待解決的問題；（3）由于大量的數據在廣域網上傳輸，因此遠程的訪問速度和網絡性能經常得不到保障，數據安全面臨挑戰；（4）隨著軟硬件的頻繁升級與更新，客戶端設備不可避免地要被淘汰，應該如何控制系統追加投資？（5）不同的B/S應用系統需要在用戶的瀏覽器中安裝或升級不同的插件，修改相關安全設置，這就產生了插件版本管理問題、插件維護問題等。（6）遠程低帶寬時訪問效率不理想。第2章 項目需求2.1 功能需求2.1.1 集中管理將辦公環境中的應用軟件進行集中管理，可以根據需要隨時調整辦公環境的應用部署，簡化辦公人員客戶端的辦公環境配置及部署要求。2.1.2 應用虛擬化具有包括各

4、類辦公工具在內的應用軟件發布功能和Web網頁發布功能。2.1.3 桌面虛擬化特定企業用戶可使用集中部署的虛擬桌面進行日常辦公和設計工作，工作數據均保存在后臺服務器。2.1.4 存儲隔離每個用戶能建立各自的文件系統或存儲空間，相互之間不能訪問。但授權用戶可以訪問特定用戶組的存儲空間，可以通過FTP或者其它方式獲取用戶存儲空間的數據。2.1.5 數據保護研發人員所有的代碼及辦公數據只在服務器端傳遞，提高系統數據訪問的安全性。2.1.6 遠程接入訪問控制支持分公司遠程接入的辦公模式，能有效控制用戶的剪貼板、本地硬盤、打印機、端口等操作，做到分公司人員未經授權無法從任何渠道獲取代碼、文檔和辦公數據。對

5、于合作公司的遠程訪問要求能有效控制，包括登錄時間段、登錄用戶的監控。2.1.7 訪問日志用戶登錄及對辦公工具和應用軟件的訪問，應該有日志記錄。2.2 技術需求2.2.1 水平擴展服務器端支持水平擴展，能通過水平增加服務器來適應辦公需求的擴大。2.2.2 負載均衡可根據用戶訪問量和資源使用情況，動態分配到到負載量最低的服務器上。可支持手動負載均衡操作。2.3 服務器安全防護保證服務器對外服務時，系統安全性，確保數據安全。第3章 解決方案及對應項目需求的實現3.1 總體方案構架通過Citrix XenApp集中部署和發布應用客戶端軟件，整個的后臺應用服務器架構沒有變化，客戶端可以通過XenApp來

6、訪問集中發布的各種企業應用和辦公工具。其整體構架如下圖所示：3.2 應用場景描述3.2.1 內部辦公人員：內部辦公人員直接訪問Citrix統一身份驗證平臺，獲取授權的虛擬桌面和虛擬應用程序，開展日常辦公工作，用戶數據集中保存在文件服務器。3.2.2 內部研發人員：研發人員使用沒有硬盤的PC機，通過Citrix Provisioning Server網絡引導，創建無盤工作站環境，操作系統鏡像保存在Citrix Provisioning Server上，軟件更新及系統補丁只需在服務器上進行一次更新即可完成。研發數據均保存在數據中心服務器上，未經允許研發人員無法通過任何途徑獲得相關數據文件。常用辦公

7、軟件（OA，ERP，CRM等）集中安裝在Citrix XenApp上，而所有訪問用戶使用終端設備只需通過IE就可以運行授權的虛擬桌面和應用程序（第一次訪問時會自動提示下載安裝一個幾兆大小的Citrix ICA插件），多用戶同時訪問時，由XenApp管理和運行應用客戶端軟件的多進程訪問，并控制向不同用戶發布的權限。Citrix可整合企業現有的活動目錄中的用戶賬戶來進行用戶身份認證。圖中的文件服務器，提供了用戶的個人數據存儲功能。通過使用Windows的目錄權限控制，及文件夾重定向功能，可以做到用戶數據的安全保存及漫游訪問。對于未來非辦公網段的應用的部署，可以通過在相應的網段部署XenApp服務器

8、來實現。備注：在本建議書中，由于項目初步階段的應用都集中在辦公網段，所以在軟件及硬件配置清單中，只考慮了在辦公網段部署XenApp和Xendesktop服務器。若在其他網段部署額外的XenApp和XenDestktop服務器，由于Citrix的軟件許可是基于并發用戶數，只要并發用戶數不變，可以共用已有的Citrix XenApp和XenDesktop軟件許可，無需另外采購。只需要增加相應的服務器硬件及Windows授權即可。在后端的服務器資源方面，可以采用服務器虛擬化整合之后剩余的服務器。3.3 對應功能需求的實現3.3.1 集中管理Citrix的集中部署模式只將企業應用部署在數據中心，由于客

9、戶端和服務器位于同一局域網內，因而應用性能和安全性得到提升，用戶可以通過任意終端和任意網絡進行訪問數據中心，非常方便；而企業只需對局域網內的數據中心進行管理，實現了管理維護的簡化。應用軟件的安裝及配置變化，均可以在服務器端集中進行，大大簡化了辦公環境的配置和部署。3.3.2 應用虛擬化XenApp為用戶提供了基于服務器的計算模式（Server-based Computing），實現了虛擬化應用發布。其技術核心是ICA協議，ICA協議連接了運行在XENAPP服務器上的應用進程和遠端客戶端設備，通過ICA的32個虛擬通道（包括鼠標、鍵盤、圖像、聲音、端口、打印等等），運行在中心服務器上的應用進程的

10、輸入輸出數據重新定向到遠端客戶端機器的輸入輸出設備上，因此雖然應用客戶端軟件并沒有運行在客戶端設備上，但是用戶使用起來和在客戶端安裝運行客戶端軟件相比，沒有感覺任何操作上的改變。XenApp虛擬化應用發布原理如下圖所示：由于ICA協議是一種高效率的數據交換協議，同時在中心服務器和遠端終端設備之間傳遞的是經過壓縮和加密的屏幕刷新和鼠標鍵盤信息，因此每一個連接只占用十幾K的網絡帶寬。這種模式使得企業應用部署架構上發生變化，從一種分布式部署變成了大集中的應用部署，因而帶來了應用訪問、性能及安全等各個方面的提升。3.3.3 桌面虛擬化Citrix XenDesktop可提供一種端到端的桌面交付解決方案

11、?？蓜討B按需產生虛擬桌面，用戶每次登錄時都能獲得一個干凈的、個性化的全新桌面從而確保性能不會下降。此外，XenDesktop采用的高速交付協議還可在任何網絡條件下提供無與倫比的響應速度。對于IT機構而言，XenDesktop可通過分別交付桌面操作系統、應用和用戶設置，大大簡化桌面生命周期管理并顯著降低擁有成本。Citrix XenDesktop可為任意地點的用戶按需交付桌面，同時顯著簡化生命周期管理。它可提供一種端到端的桌面交付解決方案，為最終用戶加速交付桌面，提供更強大的數據保護和監控，并降低高達40%的擁有成本。采用桌面虛擬化技術可以在數據中心集中化管理桌面，還可輕松實現安全防護及備份。然

12、而，經常出現的同一生命周期管理問題依然存在IT部門仍需對每個虛擬桌面鏡像及其所安裝的應用程序和用戶設置進行管理、維護和更新。另外，桌面虛擬化還會帶來新的挑戰尤其是會使用戶的網絡性能大大降低，使每位用戶的桌面鏡像網絡存儲成本大大增加。3.3.4 存儲隔離通過選擇NTFS文件系統和Windows Server的用戶Profile機制，每個用戶可以有自己的存儲空間。利用NTFS的文件權限的管理機制，用戶在服務器端的私有存儲空間，工作目錄，臨時文件可以被安全的管理和限制?？上拗朴脩舻膶ζ渌脩魯祿慕徊嬖L問。也可給予特定管理員訪問、獲取用戶數據的權限。同時可以通過配置Windows Server 20

13、03的文件夾重定向，將My Documents等目錄集中重定向到集中的文件服務器，從而保證用戶不管登錄到哪臺服務器，都能一致地訪問其用戶數據。3.3.5 數據保護傳統模式應用分布在企業的所有客戶端上，其安全要考慮各個環節：服務器、客戶機和端到端的網絡；其維護和安全管理范圍需要涵蓋企業的每一臺終端設備和跨廣域網段。因為客戶端直接訪問后臺時，之間傳輸的數據是真實的企業應用數據，該數據會被緩存在用戶本地或在傳輸中被截獲，這些都是不安全因素；而用戶訪問XenApp或XenDesktop服務器時，之間傳輸的是屏幕增量變化信息和鼠標鍵盤變化信息，用戶端無任何應用數據緩存在本地，同時中途截獲這些信息然后反推

14、出用戶真正的辦公操作和數據比直接截獲辦公數據困難上千倍。因而可以說數據總是存放在最安全的地方。XenApp和XenDesktop帶來的最大益處是采用應用虛擬化方式阻止數據任何時候離開數據中心。對于遠程用戶從公網訪問內網，XenApp和XenDesktop通過嚴格的用戶認證進行安全權限控制。由于網絡上傳輸的只是客戶端的鍵盤、鼠標動作以及顯示界面的刷新部分，辦公數據和代碼的并不下載到客戶端本地；數據、緩存、Cookie等等全部在中央受限的環境中控制；另外ICA協議還含有多種加密技術，保證顯示界面和用戶操作數據的安全傳輸；客戶端的操作感覺雖然就像在本機操作一樣，但未經權限許可，不得擅自修改、備份、拷

15、盤、打印等。通過應用發布的方式，內部員工和外部合作公司的員工只能使用本崗位的應用程序，而不能打開其他的應用軟件或數據信息。對于研發人員可采用無盤工作站的工作原理，客戶端均為無硬盤的PC機通過Citrix Provisioning Server的無盤啟動為開發人員提供研發環境，所有研發數據均保存在文件服務器，通過設置禁用本地所有端口（例如：USB端口，打印端口等）確保企業核心數據不被泄露。3.3.6 遠程接入訪問控制Citrix 為用戶提供了統一的安全接入手段，一個典型的接入過程如下圖所示：首先用戶需要進行身份認證，XenApp集成了各種身份認證手段，包括雙因素認證等，訪問用戶提供用戶名、口令和

16、passcode：當用戶通過認證后，會通過加密鏈路進入其個人訪問門戶，看到其所能訪問的各個應用軟件：當用戶使用某一軟件，或訪問某一系統，通過Citrix的虛擬化服務器和口令管理，在幾秒內自動完成應用調用和登陸，然后用戶就可以如在本地一樣使用所需軟件和應用。而管理員不僅可以方便地設置每個應用允許哪些用戶的訪問，并且可以詳細地記錄用戶對各應用的使用情況。通過Citrix 應用交付平臺可以嚴格控制用戶對應用的訪問，根據不同用戶接入時的不同場景，將有相應的接入策略與之對應，并控制用戶使用企業資源的過程和操作?？煽刂频牟僮骱唾Y源訪問包括Copy/Paste、打印、保存到本地，端口的訪問等。3.3.7 訪

17、問日志管理員不僅可以方便地設置每個應用允許哪些用戶的訪問，并且可以使用SQL數據庫的方式，詳細地記錄用戶對各應用的使用情況，可以生成各種報表，如用戶登錄時間，運行的應用等。3.4 技術需求的實現3.4.1 水平擴展Citrix 內置實現了群集功能，在Citrix服務器配置中集群稱之為一個Farm， 當用辦公系統規模擴大時，可以方便地通過在Server Farm中添加服務器來進行水平擴展。3.4.2 負載均衡在Citrix的Server Farm中， “Data Collector”負載均衡調度服務器負責收集每一臺服務器里面的一些動態信息，如CPU，內存等使用情況，并與之進行交流；當有應用請求時

18、，自動將請求轉到負載最輕的服務器上運行。Server Farm同時提供了高可用性功能，當單點服務器出現故障時不影響用戶使用，用戶會重新連接到另外一臺負載較輕的服務器上。從而避免了單點故障。3.4.3 服務器安全防護1.Windows部分由于Citrix環境基于Windows身份驗證，因此，用戶權限決定了系統安全性，對于Citrix用戶，建議按照部門在域控制器上建立OU，僅賦予OU中用戶最基本的用戶權限，使用組策略隱藏服務器系統盤符，使用登錄腳本在文件服務器上為Citrix用戶創建可讀寫的個人文件夾，用戶個人數據僅允許保存在該目錄，此文件夾存放于文件服務器。在Citrix XenApp服務器上安裝防病毒軟件，確保服務器不被病毒所感染。2.Citrix部分使用Citrix控制臺為用戶配置訪問策略，是否允許用戶使用本地設備（硬盤，光驅，打印機等），不允許使用本地硬盤的用戶登錄到Citrix使用相關應用的時候，則無法將數據保存到本地