Citrix-SSL-VPN解决方案

CitrixAccessGateway企业版解决方案V1.0思杰系统信息技术（北京）有限公司2009年4月CitrixSystemsApplicationNetworkingGroup2目录1思杰公司简介.......................................................................................................12安全接入的用户需求...........................................................................................23AccessGateway企业版安全接入方案...............................................................33.1AccessGateway企业版设备概述.................................................................................33.2AccessGateway企业版设备部署.................................................................................33.3AccessGateway企业版功能指标.................................................................................44使用AccessGateway企业版实现策略性访问..................................................64.1AccessGateway企业版部署方法.................................................................................64.2AccessGateway企业版实现步骤.................................................................................74.2.1第一步：针对远程接入场景的智能分析................................................................74.2.2第二步：基于策略的企业应用资源接入................................................................74.3CitrixAccessGateway企业版用户场景体验...............................................................84.3.1场景一用户从内部网络登录..................................................................................84.3.2场景二，用户从外部信任网络登录........................................................................94.3.3场景三，用户从非信任网络登录............................................................................95第三方评测.........................................................................................................116产品平台推荐.....................................................................................................126.1容量需求......................................................................................................................126.2CitrixAccessGateway企业版产品系列....................................................................1211思杰公司简介Citrix公司（纳斯达克股票代码：CTXS）是全球领先的以及最值得信赖的应用交付解决方案提供商。全球有超过20万家机构依靠思杰产品向身处任何地点的用户交付任何应用，其方案性能好、安全性高、成本低。思杰客户包括100%的财富100强企业，99%的全球财富500强企业，以及成千上万家小企业和个人用户。思杰在100多个国家拥有约6200多渠道商和合作伙伴。Citrix公司2008年年收入超过16亿美元。Citrix公司2007年年收入超过14亿美元。主要市场：思杰全球主要市场包括：政府机构：美国200多家政府机构教育行业：全美10大大学，200多所美国小学和中学制造行业：全球前20强汽车厂商、前15大电子厂商、前10大制药公司以及美国前10大高科技制造公司和前15大化工企业金融服务行业：美国前20大商业银行和全球前50大商业和储蓄银行医疗行业：全球前5大医疗机构，全美前15大医疗机构电信行业：全美前10大电信公司，全球前20大电信公司其它：全球前20大公用事业公司和全美前5大互联网服务和零售公司22安全接入的用户需求在信息爆炸的今天，如何及时准确地获取公司信息、快速响应客户要求成为商业成功的重要因素。为了确保员工不受时间、空间及网络设备等条件的限制，轻松、安全地连接到总部的应用系统、获取信息数据并调用各种工具，企业需要具有在更复杂的工作环境中为更多用户提供连接多种信息资源的能力。随着技术的不断推陈出新，信息系统变得越来越复杂，加之应用设施、平台、标准及网络架构的多样化，为实现接入企业信息带来了更多困难。另一方面，在企业局域网之外也需要对敏感数据信息进行保护。因此，许多企业不得不配备更多的人力和物力来确保安全。显然，这种方法在现有的资源上增加了更多的配置，不可避免地提高了成本，增加了支出。为此，公司的管理者们需要更为有效的方案来实现更为轻松便捷、安全可靠的信息接入。其中，这些安全访问需求包括：1.对Internet中传递的数据私密性保护—VPN的需求；2.提供增强的远程接入功能，让企业员工随时随地都能安全地接入企业资源；3.实现对所有基于IP协议的应用都能够安全接入访问；4.尽量减少对接入客户端的维护和管理；5.对远程接入可以实现精确的接入控制功能，针对企业资源不仅是接入，而且需要具有策略的接入；针对远程客户端可以进行安全评估；6.实现接入的高可靠性。33AccessGateway企业版安全接入方案3.1AccessGateway企业版设备概述相比IPSec和传统SSLVPN，CitrixAccessGateway企业版更具创新性和优越性，提供了安全的、不间断、单点接入，而且部署和维护相当简单，具有更高的性价比。IPSec和其它早期的VPN，包括PP2P和L2TP，给予了用户桌面式远程接入体验，但VPN客户机的安装和更新却导致了管理上的烦恼和极高的支持成本。由于防火墙的限制，当用户身处客户或合作伙伴的办公室时常常无法正常接入公司应用和资源。而且最近，这类VPN已成为恶意程序入侵的主要途径。后来研究开发出SSLVPN来解决IPSecVPN的弊端，它集成了Web代理、端口转发和网络延伸等功能，然而，它不支持所有的应用程序，仍然要求保留小范围的IPSec部署。这一类解决方案，每个都有利有弊，因此企业的负担就更重了，因为他们必须管理多种解决方案以满足目前安全的远程接入所带来的多样化需求。对于这些企业，最理想的情况莫过于采用单一的解决方案为所有用户提供各式各样的安全远程接入。而CitrixAccessGateway企业版就能做到这一点。CitrixAccessGateway企业版不仅采用了IPSecVPN的基础技术提供网络层接入，同时也采用SSL技术提供有效数据加密。网络层接入和应用层加密的结合使企业不再需要维护两个单独的VPN基础架构，仅需一个产品就能享受IPSecVPN和SSLVPN的双重优势。3.2AccessGateway企业版设备部署CitrixAccessGateway企业版部署在IntranetDMZ中，为远程访问客户端到企业门户创建一条基于SSL虚拟加密隧道。通过简单访问安全的WebURL或直4接点击桌面图标，客户电脑即可启动客户端软件，然后AccessGateway企业版会利用公司的验证服务器来检验身份的真实性，一旦通过验证，S客户端软件即被激活在客户端计算机上，并可通过与AccessGateway企业版建立的安全通道来安全访问企业内部各种应用资源，包括基于IP协议的任何应用，甚至是基于IP的语音应用（VoIP等）;另外，同样可以通过Citrix的ICA通道来访问CitrixXenApp上发布的各种应用程序（CitrixXenApp是Citrix的应用虚拟化产品，详细内容请参考Citrix文档或访问）。3.3AccessGateway企业版功能指标标准机架专用硬件，专用安全操作系统。AccessGateway企业版最大可以支持10000并发用户。支持高可用双机热备。AccessGateway企业版克服了IPSecVPN和传统SSLVPN的局限性，同时传承了它们的所有优点。不需重写代码或定制设备，AccessGateway企业版支持各种基于IP应用－Client/Server应用，Web应用，甚至是基于IP的语音应用（VoIP等）。AccessGateway企业版建立的SSLVPN通道能跨越防火墙，隐藏远程网络IP地址，防止了恶意程序的侵入。另外AccessGateway支持区分（禁止/激活）客户端不同通道（VPN安全通道及访问Internet的不安全通道），最大限度实现了建立VPN后对企业内部资源的安全保护。5支持远程客户端安全扫描，建立的VPN隧道变得更加安全。独特“AlwaysOn”技术，当网络重新恢复后，终端用户不需要任何操作，甚至不需要重新认证，SSLVPN通道自动恢复。有了CitrixAccessGateway企业版，用户既可享受昂贵IPSecVPN所带来的桌面式远程接入体验，也不必为IT升级支付高额成本。客户端插件在用户接入网络时自动安装和更新，且不用重新启动计算机，最大限度减少对终端用户设备的支持和维护。部署方便，管理简单（平均部署时间仅需30分钟）。64使用AccessGateway企业版实现策略性访问相对于传统的IPSec和SSLVPN，CitrixAccessGateway企业版更大优势在于整合企业各种资源，并实现基于远程访问用户角色、设备、接入位置和连接的策略控制；针对企业内部应用程序、文档、Web内容、电子邮件附件、打印和缓存等提供业界领先的控制能力—安全接入企业，策略接入。4.1AccessGateway企业版部署方法逻辑上位于客户端和服务器之间的AccessGateway企业版可以以两种物理模式部署：双臂模式和单臂模式。在正常的双臂模式中，多个网络接口连接到不同的以太网段，AccessGateway企业版放置在客户端和服务器之间。AccessGateway企业版有一个单独的网络接口连接每个客户端网络，一个单独的网络接口连接内部应用网络。在此配置