企业移动办公及手机办公Citrix建议方案思杰系统信息技术(北京有限公司二〇一三年三月目录1.概述(22.总体方案(32.1.方案概述(32.2.软件部署架构(42.3.技术原理(42.4.访问场景(63.详细设计(83.1.拓扑结构(83.2.用户认证(93.3.加密方案(93.4.应用部署(103.5.客户端要求(124.虚拟应用平台功能(135.系统配置方案(165.1.服务器角色分类(165.2.服务器容量估算(175.3.服务器配置示意(175.4.软硬件配置列表(186.附录(19思杰公司简介(191.概述移动办公系统是众多企业管理层及时掌握企业信息、快速进行管理决策的必备系统,其对企业的重要性不言而喻。传统的移动办公系统(如笔记本电脑+VPN模式,或者WAP手机在使用中往往面临着如下问题:客户端差异化问题:办公系统往往是基于PC机Windows系统开发的,但是数量最大的移动终端往往是手机和PDA,将办公系统移植到手机上既费时费力,又带来了额外的开发、维护和重新用户培训等一系列问题。网络及性能问题:移动办公的网络千差万别,而办公软件的运行往往是基于局域网设计的,因此很多应用在移动办公使用时因网络而产生性能瓶颈,比如当邮件有比较大的附件时,局域网内可以马上打开,但是广域网上需要等很长时间才能下载后进行处理。安全性问题:移动办公是将企业关键信息传递在公共网络上,因此面临着比在企业内部使用更高的安全性要求,移动办公不仅有数据被截获的危险,而且移动终端更加容易丢失,如果上面有信息敏感数据则对企业造成的无法估算的危害。同时如果外部终端接入企业内网,会对企业内部造成系统级的安全威胁。传统的技术方案所带来的这些问题,需要企业不断地投入人力物力进行解决,给企业带来了很大的管理和压力成本,因此企业提出了技术创新的要求。虚拟化技术的出现,使得企业得以从技术架构上根本解决如上问题。通过应用虚拟化使得传统应用直接升级为了面向服务的架构,因此企业的OA办公软件、业务系统和ERP系统等等,均不需要移植和安装在手机上,而通过虚拟服务就可以被手机访问和使用。虚拟化应用的特点是只要在后台服务器安装一次,然后经过管理员的权限定义,就可以被用户通过任意终端设备和任意网络所使用,而所有的数据和维护管理工作全部在数据中心。虚拟化技术不仅为企业带来了很大的资源节省和降低成本,同时使得企业的IT响应能力大大提高,移动办公不再需要额外开发,而真正成为了企业IT架构的自然延伸,实现了用户随时随地地安全访问企业内部信息。2.总体方案由于Citrix虚拟应用技术,分离了应用的使用平台和运行平台,因此手机和移动终端从应用运行设备变成纯粹的输入输出设备,通过无线网络远程运行和操作Windows或Unix平台的各种应用和服务,从而实现了用户的移动办公。2.1.方案概述在数据中心配置Citrix服务器集群为应用的运行平台,实现稳定的大并发支撑能力,满足大规模移动用户的同时使用。通过虚拟应用平台实现移动办公的总体架构如下图所示:移动办公系统的部署,对于目前OA系统的架构没有改变,只是在OA门户服务器的局域网内,放置一组虚拟应用服务器集群,供移动用户访问,而固定办公用户仍直接访问OA门户服务器,因此原办公模式不受影响。通过虚拟应用平台部署移动办公系统,一方面应用更加方便使用,用户无论在笔记本上还是手机上,实际上使用的都是运行在虚拟应用服务器上的同一个应用,没有适应多种界面的要求,而且可以实现同一个应用在不同的移动设备之间的漫游,实现了业务连续性;另一方面,由于所有的应用都位于数据中心的机房,集中管理的同时,也大大提高了办公数据的安全性。而在手机和虚拟应用服务器之间只需20k左右的带宽,因为其间传递的并非实际的业务数据,而是虚拟化数据。这样既保证了OA系统可以在低带宽网络下使用,又避免了业务数据在公网传输的安全隐患。2.2.软件部署架构虚拟应用服务器上软件部署包括:在底层Windows2003操作系统之上安装CitrixXenApp虚拟应用服务器,然后在虚拟应用服务器之上安装各种办公软件如OFFICE软件、邮件系统以及浏览器阅读器等工具软件。手机上的软件部署包括:在手机操作系统上安装虚拟应用接收器。手机上不安装任何应用软件的客户端,通过虚拟应用接收器,可以使用所有虚拟应用服务器上的应用,整个软件架构如下图所示:手机的网络访问只需要指定虚拟应用服务器的IP地址、用户登陆的用户名和口令,以及登录域名称等信息即可,用户打开虚拟应用接收器就可以获取服务器上授权使用的应用图标,打开应用图标即可使用。2.3.技术原理虚拟应用服务器和虚拟应用接收器之间,通过CitrixICA协议建立通道,使得客户端设备可以远程操作服务器上的应用。ICA协议连接了运行在服务器上的应用进程和业务PC机的输入输出设备,通过ICA的32个虚拟通道(分别传递各种输入输出数据如鼠标、键盘、图像、声音、端口、打印等等,运行在服务器上的应用进程的输入输出数据重新定向到远端客户端的输入输出设备上,因此业务用户使用服务器上的应用时感觉就像在使用本地应用一样。ICA协议如下图所示:虚拟化应用实现了应用软件运行在服务器上,但是对该软件的操作(输入输出在客户端设备上,所有的输入如点击、键盘的操作被ICA协议同步到服务器上执行,所有的输出如屏幕的刷新也被ICA协议同步到客户端。虚拟化应用操作模式如下图所示:应用软件的用户界面在客户端显示(可以支持非Windows客户端应用软件安装和运行都在服务器端网络只传递通过Citrix的ICA技术处理后的屏幕刷新和键盘敲击和鼠标移动信息(带宽需求10-20kbs,甚至可以是低速的拨号连接ICA协议是一种高效率的数据交换协议,采用了数据压缩、加密和连接优化技术,每一个用户的连接只占用10K-20K的网络带宽,而实际运行的客户端软件位于后台的局域网内,因此终端用户相当于用拨号线的链路就可以享受到局域网内的运行速度。同时ICA协议可以分别针对单独的虚拟通道进行控制,这样为用户的访问和使用带来了细粒度的控制。比如如果控制用户不许通过打印机把信息打印出来,只需要中断ICA连接中的打印机通道即可。2.4.访问场景用户在使用移动办公OA系统时的访问方式如下:笔记本用户打开浏览器,输入统一的访问网址,然后在出现的身份认证页面里输入自己的用户身份,通过后就会看到OA门户图标以及其他被授权使用的应用图标。点击OA门户图标,界面显示建立服务的连接条,大约10秒钟后出现OA门户的界面,剩下的操作就和本地IE访问OA门户一样。手机用户可以预先设置好访问地址和用户名口令,这样直接打开OA图标就可以使用OA门户。面向服务的访问使用体现在:用户可以中断和重连服务(sessiondisconnectandreconnect,当用户离开一段时间,但又不想结束业务操作,可以选择断开服务,这时用户屏幕上的OA应用消失,等用户回来后,重新输入身份认证,通过后刚才做了一半的业务就重新出现在屏幕上,可以继续工作。客户端和网络故障不会影响业务操作,如果业务用户的客户端设备死机或者网络中断,同上面一样只是服务断开,工作是运行在服务器上,并没有受影响。用户只需要更换任意客户端或网络,就可以重新连接服务,继续刚才中断了一半的业务操作。会话超时(Sessiontimeout,管理员可以在后台设置服务超时,当一个用户打开业务操作后长时间不用,系统可以自动释放该会话,业务界面暂时消失。当这个用户重新使用时,再做身份认证后,继续刚才的业务操作。会话监控(SessionShadow,系统有远程监控的功能和权限,如果某用户出现操作上的问题,有相关权限的管理人员,可以监控该用户的操作,两个人可以共享同一个会话服务,管理人员可以远程帮助用户操作或解决问题。其中访问服务超时设置可以针对不同的用户进行不同的设置,例如对于VIP用户,可以设置永不超时,这样VIP用户即使不操作也会一直连接;对于一般用户,可以设置超时时间例如30分钟,这样如果这个用户30分钟不操作,该连接就会释放。3.详细设计3.1.拓扑结构虚拟应用服务器群组要求和OA门户服务器部署在同一局域网内,可以放置在用户数据中心机房内,用户数据中心需要和移动网络连接,一般有两种连接方式:1,通过APN专线连接,企业用户向无线运营商申请APN专线,连接企业用户的数据中心和无线运营商,这样用户的手机访问可以直接进入数据中心;2,通过公网(internet连接,企业用户需要开通数据中心和internet的线路访问,用户通过手机访问和来自互联网的访问一样,可以访问其数据中心。用户数据中心的网络拓扑图如下所示:3.2.用户认证为了提高系统访问的安全性,移动用户在访问虚拟应用平台时需要进行身份认证,以确定该用户是否可以使用移动办公应用,防止非法用户或其他非授权人员的访问。由于企业办公软件以Windows平台为主,因此建议采用微软的活动目录AD作为统一的用户身份管理系统。AD域不仅统一定义用户身份,还定义了用户访问服务器的权限和行为控制等组策略等。移动办公系统会在公网上传递用户身份,因此建议提高用户认证强度。虚拟应用平台支持的身份认证模式包括:静态口令:目前的用户名加口令,属于低强度身份认证,建议只在内网使用数字证书:通过数字证书可以有效识别客户端有效性。可以统一采用企业内部认可的证书体系,通过在虚拟应用平台和用户手机客户端加载数字证书,来确保用户身份的可靠性。如果用户手机丢失,则发证机构将该证书作废,则丢失手机无法使用移动办公系统。动态口令/双因素认证:虚拟应用平台经集成了大量的高强度身份认证技术,如RSA令牌等等。认证令牌可以硬件、软件和智能卡等多种形式向用户提供。令牌在发售时已经使用唯一的128位种子初始化;内部芯片每分钟都会使用一种算法,组合该种子与当前时间,生成一个随机的数字作为动态密码,从而提高用户的密码强度。生物识别(如指纹及其他高强度认证:应用集中发布平台预留了集成其他身份认证的接口,如RADIUS认证等等,可以方便地集成用户自由认证或第三方认证。3.3.加密方案从安全性角度考虑,移动办公和手机访问需要对链路传输信息进行加密,需要配置VPN接入设备。移动办公的VPN设备需要支持各种手机终端,Citrix提供了支持智能手机的VPN安全网关AGEE。AGEE支持对Citrix虚拟服务器的单点登录,SSL加密、智能手机的ICA转发以及对客户端的智能访问(SmartAccess等功能。其部署方案为放置在DMZ区域,如下图所示:出于对后台系统保护的需要,管理者可以制定对后台系统更加严格的访问条件,比如用户访问来自PC机还是来自手机,如果是PC机是否安装了企业要求的防病毒软件等等,需要使用AGEESmartAccess智能访问控制。针对用户访问的场景的智能分析,包括:●接入角色分析,基于用户身份●接入设备识别,用户使用的是什么机器,什么操作系统●接入设备配置,用户的设备中是否有防病毒、软件、服务、外设等等●网络位置分析,用户来自于办公室、楼层还是家中、网吧●其他定制的安全扫描基于扫描结果可以决定哪些应用可以访问,控制范围包括集中应用发布平台上发布的所有应用,以及每个应用的操作权限如:●是否可以访问应用●在应用系统中否可以打印●从文件中粘贴复制内容●上传和下载文件,保存到本地或者文件服务器●在线安全编辑(内存中进行3.4.应用部署移动办公系统的部署工作,主要是将应用客户端部署在虚拟应用服务器上。以LotusNotes为例说明如何在服务器上进行应用部署。部署基于Notes的虚拟应用时,对于原先部属的LotusNotes办公系统、Domino服务器、数据库服务器等应用系统不变,通过在原来的Domino服务器前,增加了Citrix虚拟服务器。原先安装在客户端的Notes客户端程序现在需要安装在Citrix服务器上。相应的客户端的配置文件,统一安装在一台单独的文件服务器之内,在客户端访问的时候,可以提取相应的客户端信息进行认证。在将要部署Citrix系统的服务器上先安装好win2003server和Citrix之后,那么