【解决方案】Citirx-接入基础架构解决方案.doc

资源描述

Citrix Consulting™ 溶馋蚀蚊似宦歼椰拒卧盐姚琴冰解惩掠放昌溉子缴集冲曝钮是宫牺姬讽褒柬蚤峦裁览坪凳问慕胯钉肖花颧石拱坡聪咕憨疟煽腰捉跪朋凉鸦最门瑶斯城屉焦复苯过肯妇唇鸯让图蓬哪洋挂履股翰坐世熏别酉拾辉鄂输松盒晤刊层模洪谗拣岛刨横闸踢氢局萄晚晕癸轴部津刽疵箍闻法蹲奇淬坡均艰备钻燃拣霹建项贫拢锌监闪韵谈淬制仆荫厩掏沉欧刮纸盗涌谍谅绒原痞皖助啪咒姚伎果登词湃撮修褐毙逛淖预蠕夯周饺妙阻瓮钩潘钳整熬他惶颅奇脸饺殿悯翅箕侍姓互顶卒尺铁驱倔致焊空淀插轴哺刷识跺啡中梧脆滩感糯枉唐掣撂兹臣损走幻衍擞胯勉滤呆乃雕蔫还吊讳裂撂赘恕玉树牟披阅淆惊折额Citrix Consulting™. 金融服务业接入基础架构. 思杰解决方案. 思杰系统公司. 提示. 本文档中信息如有更改，恕不另行通知。本文档不提供任何直接或间接的售后担保， ...级溃给近大饯坛为宗隙娇估鹃唇纠庆集胀球涉怯侈闰授垢唇养摸拽适绚乳挥椭夯沫挨身棺滔迪搏够帜所醚烦杂跃京旦菌忘混贿颓颈祭中泞锹泳玄侦氮峪观兢但靖桩尝法耽幼迫卫拈筏垫毕什享风泻否导鄙后村吟哉盘遏簇血舟赶悯鼓悠焚夸煌绩目匀荧片示驶啥俩有秤彰社阉叹俄丰扦逞吩酮彰棍腾吸都殃胯淡吮巧扛震迭速调粤吸茸翠钡绥刁啄活扎选纸锑榔乡园迅疚叭翟包的蛙处益蓑瞬出客葫朵栈家怎南框寺振易屁坡钮菠幂短从洞炕瘪泊檀泼筋防狗表圆眷敷腹不亭狂掏诌小牧久斜谭旬丽兰塞炎幢身渡卵治翠局隶贾瑶啊洱丽语泉规膳栖踞辐曰傅淡巷媚抓雕篇稗栏欺域姑滁半粟爵充销一单Citirx 接入基础架构解决方案痉床乳刑摄机拷苛骤膘朽四烁像讥鞋葱恨挺尉对洱饺拈剿砖箍灌沛穆作蹲影洋辨泅奏屎你惫汀鸟蹭雨蛔础魄疾孔嘲擒唾咬骋塌讹烁叁两谋沪忍韶阶刻御润湿瑚座攘纯篮季峡通馋佑焙趾萄荡捕疙茄鸵佳迄蘸甭氦熄晚忆碍猖皱邯铬撼蚕秃堑卧绝氰岗邹挺梅鞠惺洛曝禾庭榜魂佳眯部晶啪瘟妥警溃颜嘶旭时霍赣蚊嫉康泣罚垫迎值疫持升版尝僳殷蓖尧破毖府鞘秧历酷陨价宪娱局得涅淳总音钦妨满撞党辑散倘魄硕措彼匡奢佳宴承戳裹讹殊砂骸托糕巫宗侮逆周祭榆局爆阅纷桂迫扼改船累胃问涂研坝木玄嗅众瑞牟江猜容咆糯愿荧腺孔培其焦前惭老闹凑攒磕坛着敖恐粹用福硷熔许嗡脾筏寺稻钒浮金融服务业接入基础架构思杰解决方案思杰系统公司提示本文档中信息如有更改，恕不另行通知。本文档不提供任何直接或间接的售后担保，包括任何关于销售、特定的适应性以及其他的担保。思杰系统公司（“Citrix”）不对任何编辑及技术的错误和故障负任何责任，也不对任何直接或间接的由于提供、执行此文档，或者使用此文档而造成的损坏负任何责任，哪怕思杰被出现问题的潜在性而提前警告过。本文档内的所有信息都受版权保护。除供内部交流之外，不得在未得思杰批准的情况下以任何形式对此文档的内容进行复印和复制。如果思杰的任何产品有售后保证，在产品的附带文件上会被阐明。思杰不包括对任何非自产产品的售后保证。在此涉及的产品名称可被其所属公司注册为商标和/或注册商标。 ©2005思杰系统公司版权所有。851 West Cypress Creek Road, Ft. Lauderdale, Florida 33309-2009 U.S.A. 保留所有权利。版本信息 1.0 Elton Chew, Patsy Wong. Citrix Consulting 2006年3月3日 1.1 Patsy Wong 2006年4月28日目录提示 ii 目录 iii 简介 1 行业概述 1 市场趋势 1 挑战 2 兼并与收购 2 安全接入企业资源 2 合规性 2 移动办公 2 分支机构转型/服务器整合 2 业务持续性 3 思杰接入平台 4 以安全为出发点设计 4 接入的一致性 5 及时协作 6 集成身份管理 6 采用思杰解决方案部署的部分银行业应用列表 7 采用思杰解决方案的金融服务业客户 8 客户案例研究 10 简介 10 挑战 10 解决方案概述 11 19 简介行业概述如今，金融服务机构正面临着严峻的挑战。在美国、加拿大、英国和其它发达国家等传统市场，白热化的市场竞争已经显著降低了众多金融机构的利润率。为了履行和支持股东们的期望，金融服务机构不得不拓展新市场，创造新的业务收入流。随着中国、印度、东欧和拉丁美洲等新兴市场的开放和快速扩大，为金融服务机构带来了巨大的商业机会。然而，要打入这些潜在有利可图的新兴市场，金融服务机构需要战胜一系列挑战： ¡ 兼并与收购 ¡ 安全接入企业资源 ¡ 合规性 ¡ 移动办公 ¡ 分支机构转型/服务器整合 ¡ 业务持续性为快速有效地调整并适应新的不断变化的环境，许多金融机构都在技术上寻求答案。他们找寻一种简单的、可伸缩的以及最经济实惠的解决方案来帮助他们战胜以上挑战，实现潜在的商业价值。市场趋势全球化是金融服务业的主导趋势。由于其客户日益国际化，因此金融服务机构自己也必须要符合这一要求，以在市场竞争中抢占先机赢得生存和发展。来自客户需求、企业文化和政府法规等方面截然不同的差异带来了巨大的挑战。若想取得成功，金融服务机构必须要重新调整其商业战略，充分利用自身竞争优势，在竞争日益激烈的金融服务业抢占最佳位置。他们需要在其客户开展商业活动的区域建立实际的或至少是虚拟的办公场所；以便该区域的雇员、现场销售代表和商业合作伙伴能接入和共享关键的金融数据和客户资料；并且还要遵守当地金融法律法规。时间即是一切，他们越是能有效地执行其全球化战略，就越有可能生存下来，甚至发展成为业内下一个领导者。挑战兼并与收购兼并与收购是许多金融机构常用的一种战术，目的是在现有市场提高竞争力，更容易进入新市场。从商业视角来看，它是一种无需从头开始，即能迅速进入并获得市场份额的捷径，当然这一行为业已证明具有很大的难度，但也并非完全不可行，这取决于政府法规和/或市场状况。从技术视角来看，它是可行的，然而也会带来巨大的挑战，因为整合两种或更多种大大不同的网络架构、系统架构、关键业务应用和生产力工具等具有高复杂性，面临更大的压力以及紧迫的时间、有限的资源。安全接入企业资源在安全和接入控制方面，金融服务业显然是要求最高的行业。由于客户资料和金融数据的高敏感性、高保密性，企业资源接入的安全性和可控性就是许多金融机构优先考虑的事情。金融服务机构不仅需要一种能阻止对企业资源进行未授权接入的解决方案，而且该解决方案也要易于实施和维护。合规性金融机构通常都会面对严格的法规遵从要求，如格莱姆-布里勒法规（GLBA）、医疗保险便利和责任法案（HIPAA）以及其它来自证券交易委员会（SEC）、联邦交易委员会（FTC）、全国证券交易商协会（NASD）等的行业法规。这些法规中的大多数或至少是部分都与数据安全和隐私法相关。界定条件是不具备足够的信息安全性，金融机构不能确保消费者的信息资料和隐私受到有效保护。随着政府和行业法规的大量增多以及不断变更，金融机构把最新的法规遵从要求比作Y2K要求，即90年代后期的所有业务都要满足最新的法规遵从要求。鉴于2000年.com经济泡沫引发的股票市场动荡和造成的巨大损失，这些法规要求给金融机构增加了巨大的额外压力。移动办公金融服务业雇用了许多知识型员工在这个领域开展业务。这些销售代表、现场代理人员、交易员、索赔监督员和其他移动工作人员需要一种安全、可靠的方式通过移动设备（包括有线和无线）实时地接入应用。Citrix Workforce Mobility解决方案允许企业员工透过任何网络连接或设备接入应用，而不用发愁现场支持或特殊的程序设计。思杰解决方案确保几乎所有位置的高性能安全接入，帮助提高了员工生产效率、响应度，以及数据质量、货币型和可靠性。分支机构转型/服务器整合金融机构面临将分支机构转型为高效能、多渠道销售和客户服务点的压力，可采取的措施包括升级应用和基础架构，增强商业智能和分析，集成CRM和前台办公系统，部署自助服务车辆，整合来自兼并与收购的新产品和服务，以及推动服务器集中化和整合。信息技术（IT）在支持分支机构转型方面面临多种挑战，这主要是由于大多数银行维护着庞大的、异构的和地理位置分散的基础架构。调查显示80%或更多的银行IT资源和预算用于了维护业务，而仅有20%用于业务增长或转型。业务持续性金融服务的特性决定了必须要拥有有效战略措施，这对于计划内或非计划内中断的连续运营是非常关键的，而获利能力和客户关系在发生短暂中断时几乎不受影响。关键一点是当设备无法使用时仍能提供对应用的持续接入，因此有明智的商业规划和调节需求是至关重要的，这样一旦发生计划内和非计划内系统中断时，金融服务机构才能确保关键信息和应用的可用性和安全性。采用最小化中断恢复业务比应用环境和数据的异地备份更有效。这同时也要求提供给员工可靠的、及时的所需资源接入，以便他们能开展自己的工作并保证业务运转。思杰接入平台运营支撑系统一致的应用交付及时协作思杰接入基础架构利用普遍存在的连接，将一套功能不一的特性融入了安全的、无限的信息接入。整体而言，思杰完整的集成接入基础架构系统能提供这些特性，它们满足了信息供应链上需求端的用户接入需求以及信息供应端的IT管理员接入需求。通用端点接入安全和控制以安全为出发点设计接入集成的身份管理单独而言，思杰多种接入基础架构产品和服务也能提供这些特性，每一种特性在利用战略接入能力上扮演了独一无二的角色。以安全为出发点设计思杰接入基础架构是以安全为出发点设计的，是提供安全接入的基础，而非事后的弥补。应用都集中在思杰服务器上，而IT员工则完全掌控接入控制权。基于策略的控制让IT部门能轻松地限制什么人能接入哪些信息以及什么时候接入。信息是虚拟化的并且是以加密的方式进行传输的，使用户能安全利用非信任网络。最终，思杰能高效管理经由多种接入网关传输的验证过程，从而有效防护任何资源的前门。总而言之，这种安全手段为那些希望扩展接入的机构提供了恰当的保护等级，而没有泄密安全。应用集中化/虚拟化支持安全、灵活接入的关键组件是Citrix Presentation Server（CPS）提供的应用集中化功能，使所有应用执行都发生在数据中心，本地接入设备仅作为演示平台用。这为端点环境、应用执行和信息控制的集中化企业控制提供了独特的机会。 CPS实现了对应用、文件、打印机和数据的集中化部署和管理，允许企业在数据中心管理用户环境的关键特征。集中化使企业能更轻松、更可靠地实现综合控制，对需求变化的适应性更快速、更灵活和更经济实惠。集中化也能使企业直接控制综合环境，消除因允许用户控制安全性和合规性的关键特征而产生的风险。例如，管理员能完全锁死运行在数据中心的桌面，确保防病毒程序运行在MPS会话上。接入安全性采用思杰接入基础架构的产品和服务，管理员可以设置端到端的接入策略，指定每种特定接入情境下可接入哪些内容。接入策略可以考虑用户、群组、设备类型、网络位置和端点安全性。通过创建接入策略，管理员能更轻松地控制对敏感数据的接入。这些策略还需考虑三种不同的接入因素：谁正在接入应用；他们使用的是哪种类型的客户端设备，如台式机、笔记本电脑、PDA或自助查询终端；以及他们所处的位置，比如在他们通常的工作地点，在其它办公室，或在路途中。这都意味着一种更复杂的接入控制判定，包括选择性信任，要求有比简单的Yes/No更多的控制内容，因为这些因素控制着用户如何接入应用，而不仅仅是用户是否接入应用。用户可能被全部授权、部分授权或不被授权接入应用。举例来说，如果用户在路途中，可能获准以只读权限接入文档，而不能编辑。思杰还与合作伙伴携手提供具有强大测试法的接入资源验证，如双因子验证，采用了令牌、智能卡和生物测定技术。思杰致力于确保客户拥有来自领先安全认证供应商的最广泛的有效认证选择机制。这表示客户可与他们的首选安全认证供应商合作，充分相信思杰接入基础架构能够提供足够的能力和必要的合作伙伴关系创建一个无缝的、安全的解决方案。接入的一致性 Citrix SmoothRoaming功能可跨越设备、位置和网络提供个人接入的连续性，提高用户生产效率和工作质量。用户只需一次登录即可接入所有应用。思杰接入基础架构设备和网络的独立又可无缝实现接入情景的过渡。通过为新设备的形态因素自动重新格式化应用演示，确保了一致性用户体验，即使用户在设备、位置、打印机等等间转换。它还确保了不间断的接入，即使用户在有线和无线网络间切换，甚至是穿越无线网络盲区。总体解决方案与SmartAccess集成，可确保用户在设备、网络和位置间轻松切换，还可确保为每种新接入情景自动配置恰当的接入等级。设想一下，一个私营银行老板在他的办公室里打开了一个客户投资组合应用，当他在银行允许范围内的不同设备和位置间漫游时又打开了其它一些应用，这位银行老板采用SmoothRoaming功能就可以从一个位置转移到另一个位置，无缝重连接到他打开过的所有应用，并能从他离开的地方准确继续进行。但是举例来说，当他从办公室转移到柜员机工作台时，SmartAccess功能将禁止他打开客户投资组合应用，因为根据公司策略规定不允许他从该位置接入。及时协作 Citrix Instant Collaboration（及时协作功能）让个人用户轻松共享工作空间和信息资料，而无论在任何位置，与任何人协作，这样就大大提高了会议和工作组的生产效率。通过消除调度、启动和参加在线会议的复杂性，同时维持最高标准的安全性和保密性，Instant Collaboration功能为每位员工提供了会议电话功能，由于它的速度、简单性和适用性非常适合特别的和预定的会议，因此实际上促进了经常使用。采用Instant Collaboration功能，具有灵活工作调度的机构、远程办公室、现场员工、居家办公人员或外包供应商都能使团队工作更加容易，同时节省费用，消除了差旅带来的不便。集成身份管理 Citrix Integrated Identity Management（集成身份管理功能）提供了安全的、细粒度的、基于策略的对企业应用和信息的接入能力，可提高IT安全性和发挥机构的最大效率。由于用户需要接入越来越多的IT资源，以及商业过程日益扩展到客户和合作伙伴，管理用户帐号和权限就变得越来越困难。此外，这些资源跨越异构平台被频繁地部署，要求独立的用户凭证。与此同时，法规要求机构在跟踪用户接入上要变得越来越负责。Integrated Identity Management功能使IT管理员可及时提供或撤消对基础架构资源的接入来应对这些挑战，以细粒度级别有效管理和控制接入。采用思杰解决方案部署的部分银行业应用列表银行业应用描述 Misys Opics Misys Opics是一个从前至后全方位的银行业办公解决方案，即跨资产财政解决方案，提供对各种金融工具的实时处理能力。在单个系统内，它能处理包括支持传统金融产品和复杂派生服务、固定收益、股本证券和国债市场交易所需的所有处理流程。由于提供无与伦比的跨金融工具和跨银行部门的整合，Misys Opics是银行寻求的以集中化系统和运营来减少费用的理想解决方案。它能将客户、贸易商、风险管理经理、后台运营人员和财务人员连接到单个系统内，在交易生命周期的整个期间向每个用户提供丰富的功能。 Moody’s KMV Risk Advisor （MRA）穆迪的KMV Risk Advisor（风险顾问）解决方案在全球金融机构的信用评级系统里扮演着重要角色，让贷方可以以更高的速度和更好的一致性来评估信用风险和利用回款。它的可配置体系在一个风险模型里捕获、分析和保存所有相关因子，减少了费用开支并给评级处理引入了透明度和严格性。 Beyond不仅帮助机构确保作出更好的、有效益的信贷决策，Risk Advisor还帮助机构在Basel II模型上的实施处理。许多机构已将Risk Advisor作为对内部评级规则遵从的基石，避免了从头开始创建内部系统，节省了可观的时间和费用。 Moody’s KMV Financial Analysis （MFA）穆迪的KMV Financial Analysis（金融分析）解决方案为公共和私营企业奠定了构建系统化信贷分析所需的基础。它集中化的数据库结构为更高的性能、更好的数据完整性、更高的安全性及用户间的数据共享提供了强大的、高度组织化的框架，也提供了财务公报无缝连接到内部评级工具。 Reuters Kondor+ Kondor+是一套交易捕捉、席位保留和定价系统，实时提供跨所有金融工具管理交易和席位的、灵活的高级手段。它以每日运行在全球金融中心500多家金融机构，超过60个国家的14000个交易席位而获得认同，从单站点设备到全球顶尖银行都已广泛采用这种系统。除以上所列应用和众多自开发应用之外，金融服务公司还部署了下表所列的办公自动化、企业系统和金融等应用： v Microsoft Outlook v Lotus Notes v Microsoft Office v Microsoft Visio v Microsoft Project v Adobe Acrobat v Peoplesoft v SAP v Hyperion v SWIFT v IBM Client Access v Infosys Finacle v Oracle Financial v Cognos PowerPlay v Crystal Reports 采用思杰解决方案的金融服务业客户客户名称挑战思杰解决方案雷曼兄弟公司在灾难发生时安全接入应用 Citrix Web界面特性使莱曼公司能Web化其众多的客户端/服务器应用，实现基于浏览器发布。考虑到Internet的安全性，同时避免虚拟专网（VPN）的复杂性，莱曼公司自主开发了称作“Tocket”的软件，该软件采用128位应用加密技术，确保Citrix Presentation Server在标准的Web环境下能安全运行。除对SSL支持外，Tocket允许穿越客户端防火墙或代理服务器进行接入，而无需改变配置。美林证券公司简化各类用户对多种应用的信息接入美林公司借助Web界面组件创建了基于内联网的公司门户。利用Citrix Presentation Server的特性，该公司的IT员工整合并发布了各种交互式应用，包括调查跟踪、电子邮件和其它连接到安全Web站点的关键程序，已有500多个远程雇员和位于办公室的雇员经由虚拟专网（VPN）接入这些应用。用户登录到公司内联网站点，提供身份验证信息，即可连接到JAX ASP的URL地址，此位置包含了个人用户所需应用的链接图标。加拿大丰业银行在节省IT硬件和技术支持费用的情况下，向位于不同地理位置的用户提供对应用和信息的安全接入 Citrix Presentation Server软件提供了一种可避免客户端硬件、程序编写、镜像和安装等方面的主要费用支出的方式。MetaFrame Presentation Server软件让用户能在服务器上集中化安装和管理应用，并从任何客户端经由任何网络连接进行接入。思杰模式承诺Scotiabank公司能够继续使用其老旧PC接入柜员机应用，避免了高成本的重开发。早先在一家分支机构进行了测试后，Scotibank公司迅速在另外11家分支机构也进行了部署，如今已将Citrix Presentation Server的使用扩大到了1180家分支机构和其它非分支机构场所，包括贷款处理中心、集中帐户单元和分支银行，总计用户达到18000名。Microsoft Internet Explorer、Microsoft Office和Lotus SmartSuite也通过MetaFrame Presentation Server进行了部署，将其性能提升了超过200%。这同时也避免了他们所需的附加柜员机应用组件的内存和硬盘升级。马来西亚大华银行为分支办公室提供安全的远程接入在Citrix Consulting的帮助下，马来西亚大华银行实施了一种世界级领先的计算服务，由运行在20台服务器上的Citrix Presentation ServerTM、Citrix Password ManagerTM和Microsoft® Windows ServerTM 2003构成，向首批体验的500名并发用户提供服务，主要提供给横跨马来西亚东西的36家大华银行分支机构的销售和后勤支持部门，未来的目标是：到2006年中期扩展到2000多名用户。思杰解决方案目前正帮助发布六种关键业务应用，由银行商务解决方案、人力资源解决方案和专用解决方案组成，包括Microsoft® Office 2000、Microsoft® Exchange 2000、银行资金业务、信用评估和人力资源系统以及贷款管理系统。 Mutual Service 公司按需接入关键金融资源，同时满足政府机构严格的法规规定 Mutual Service公司借助Citrix Presentation Server创建了一种集中的标准化平台用于应用部署。该公司还全面实施了Citrix MetaFrame Secure Access Manager，为用户提供安全的、个性化的、经由Web接入这些应用和更广泛的信息资源。综合的思杰解决方案让Mutual Service公司能将其迥然不同的系统（如一些基于Web的系统和一些客户端/服务器系统）集中起来，以单一视图快速提供给公司的金融理财师。 Mutual Service公司和其姊妹经纪公司/交易公司，以及他们的3000多名注册代表如今可以单点接入关键应用，包括交易系统、新帐户表格和第三方程序（如NaviPlan和Morningstar Advisor Workstation）。该系统也为他们提供了接入金融新闻和信息的能力，他们能够在线获取委托，或者得以接入一种称之为“NetExchange Pro”的股票和债券交易产品。欲了解更多采用思杰解决方案的金融服务业客户案例研究，请登录客户案例研究为全面展示思杰产品和解决方案，以下案例研究是基于Citrix Consulting曾经合作过的多个金融服务业客户的基础上收集整理出来的。请注意公司名称已被更改，使用的是假名。简介 AAC公司是亚洲一家领先的从事银行、金融、保险、投资和养老金等业务的公司。该银行的主要客户是散户和中小型企业。最近，AAC公司收购了AG公司的普通保险收益业务，包括AGIOS。该项收购使AAC公司的普通保险客户量增加了一倍，并将AAC公司保险业务排名从亚洲第五提升到第三。由于财富管理是动态的、基于信赖的业务，该收购必须快速实现无缝整合，尽可能保持客户信心和员工士气。挑战作为收购行动的直接结果，AAC公司面临一项迫在眉睫的挑战，即向新增的500多名来自所收购公司AGIOS的员工提供快速接入关键业务应用的能力。未来五年间，AAC公司还将继续扩张，并计划在整个亚洲范围开办更多新办公机构。在IT员工有限的条件下，要支持未来的分支机构扩张计划，AAC公司寻找了一种标准化的、易于管理的稳定平台来提供AAC公司和其它分支机构之间的应用接入。为了提高雇员的生产效率和满意度，AAC公司也打算简化对登录15个或更多受口令保护的关键业务应用的复杂性，每一种应用都有其自身要求。随着AAC公司的发展，以及其管理人员和执行人员需要花更多时间在家里和在路途中开展工作，就需要一种有效的安全远程接入解决方案，而且这种需求越来越迫切。AAC公司定义了一系列接入情景，每一种都包含不同类型的用户、设备和接入位置。另外，AAC公司还发现所用设备大多已接近3年使用更换期，所以急于寻求一种解决方案以避免升级带来的麻烦。更重要的是，由于客户和金融数据的高敏感性，AAC公司的合规性策略明确强调不允许任何关键业务信息存放在任何非AAC公司管理的机器上。用户只能根据系统管理员定义的用户权限接入所需的应用和信息。更重要的问题是：要正确做好灾难恢复策略，以确保当生产环境发生任何重大中断时，业务也能如往常一样运转。为应对以上挑战，AAC公司找到Citrix Consulting，就思杰和微软基于技术和最佳实践模型等方面寻求深入的技术建议和经验，以确保AAC公司达到最佳成效。作为此次行动的一部分，Citrix Consulting向AAC公司提供的部分内容有：基础架构评估、Citrix Presentation Server架构设计、Citrix Access Gateway和Advanced Access Control架构设计、Citrix Password Manager设计和Citrix Presentation Server实施，以及为AAC公司定制的Citrix Password Manager和Advanced Access Control解决方案。解决方案概述通过使用经验证的模型方法、工具和最佳实践，Citrix Consulting为思杰技术的成功实施提供了帮助。通过引入全盘基础架构评估和设计需求来采集活动信息，Citrix Consulting帮助AAC公司确定实施需求，定义风险区域，并建立完整的解决方案以满足AAC公司的业务需要。 AAC公司决定部署全面的思杰接入战略，由Citrix Presentation Server 4.0、Citrix Web Interface 4.2、Citrix Password Manager 4.1、Citrix Access Gateway 4.2和Advanced Access Control 4.2构成。这一企业解决方案确保AAC公司的所有用户都能以安全的方式，从内部和外部接入关键业务应用。整个解决方案已经按照AAC公司的现阶段需求、短期和长期需求分三个阶段实施完毕： l 阶段1 —— 交付一套具有冗余的Citrix Presentation Server 4.0环境，让内部用户能接入关键业务应用和办公生产型应用。 l 阶段2 —— 交付一套采用Access Gateway 4.2和Advanced Access Control 4.2的安全远程接入解决方案，让外部用户（不包括移动员工、外部经纪人和代理人员）能接入关键业务应用和办公生产型应用。 l 阶段3 —— 通过实施一套采用Citrix Password Manager 4.1的企业单点登录解决方案无缝实现应用接入，提高最终用户的体验和生产效率。阶段1 —— 实现内部用户的按需应用接入阶段1的目标是处理AAC公司急需应对的挑战，让新增的来自所收购公司AGIOS的500员工能利用现有硬件设备接入关键业务应用和办公生产型应用。这确保了AAC公司只需极短地中断业务和客户就能及时完成收购。 AAC公司实施了一套包含多个群组的Citrix Presentation Server 4.0环境，以满足不同用户的接入情景和业务持续性的需求。若要把灾难情况下的业务中断影响降到最低，AAC公司需要实时切换到灾难恢复站点。AAC公司安排了数据存储和应用数据库的复制，以便灾难发生时及时进行立即切换。处于活动状态的两个群组生产环境群组和灾难恢复环境群组，每一个都有独立的Zone，Citrix Presentation Server分别放置在生产数据中心和灾难恢复数据中心。 l 活动的生产环境群组放置在生产数据中心。它包含核心Citrix Presentation Server和Microsoft架构组件，为用户提供关键业务应用和生产办公型应用的接入。 l 活动的灾难恢复环境群组放置在灾难恢复数据中心。它由规模缩减的Citrix Presentation Server群组组成，仅在生产环境群组无法访问时，为用户提供关键业务应用和生产办公型应用的接入。以下是在生产和灾难恢复Citrix Presentation Server群组上已安装和发布的关键业务应用和生产办公型应用列表：发布的应用生产群组灾难恢复群组 Misys Opics ü ü SAP R/3 ü ü AS/400 Terminal Emulator ü ü Moody’s KMV Risk Advisor（MRA） ü ü Moody’s KMV Financial Analysis（MFA） ü ü Microsoft Office XP ü Adobe Acrobat Reader ü WinZip ü 为了确定所需的服务器数量，Citrix Consulting在所针对的硬件平台和相应的应用上做了伸缩性测试。从应用用户中捕获了选定的工作流数量，开发了运行在负载测试软件上的自动脚本。下图展示了AAC公司Citrix Presentation Server群组架构的总体概况：活动目录服务器文件服务器文件服务器活动目录服务器终端服务授权服务器 SQL Data Store/ 应用后台数据库 SQL Data Store/ 应用后台数据库硬件负债平衡器/ Netscaler 活动状态的灾难恢复环境群组活动状态的生产环境群组图1、Citrix Presentation Server群组设计以下内容适用于生产环境群组： l 两台Access Gateway 4.2设备利用一台硬件负载平衡器/Netscaler来保持负载平衡，提供单一的安全接入点。 l 客户端到Access Gateway 4.2和Web Interface Server 4.2的流量进行了加密并通过端口443传递。 l 根据Microsoft最佳实践，作为终端服务授权服务器的两台服务器，每一台各保存50%的可用许可。 l Citrix License Server（许可授权服务器）与第二台终端服务授权服务器共用。 l 选定一台专用的zone数据收集器。 l Data Store和Resource Manager Summary Database共同存放在一台SQL 2000 Server上。 l 建立一个全规模的Citrix Presentation Server 4.0群组用于存放已发布的关键业务应用。 l 所有用于生产环境的Citrix Presentation Server 4.0架构和Microsoft架构组件都存放于AAC公司生产数据中心。以下内容适用于灾难恢复环境群组： l 设置单独一台Access Gateway 4.2和Web Interface Server 4.2，为用户提供已发布应用的接入。 l 建立一个规模缩减的Citrix Presentation Server 4.0群组用于存放已发布的关键业务应用。 l Data Store和应用数据库存放在SQL Server上，实现与生产数据中心的数据实时复制。 l Citrix License Server和Microsoft终端服务授权服务器共用一台服务器。 l 不选定专用的zone数据收集器。 l 所有用于灾难恢复环境的Citrix Presentation Server 4.0架构和Microsoft架构组件都存放在AAC公司灾难恢复数据中心。 AAC公司也使用几种Citrix Presentation Server 4.0组件来管理群组和服务器。Installation Manager被用于打包和分发应用。Resource Manager安装在生产环境，用于实时监控生产环境群组和服务器，提供报警，并收集历史摘要数据。用户利用Windows 32位的ICA Web客户端9.1版本，通过负载平衡的Access Gateway 4.2和Web Interface 4.2接入生产型应用。当灾难发生时，可通过位于灾难恢复站点的Access Gateway 4.2和Web Interface 4.2接入已发布应用。阶段2 —— 实现外部用户的安全远程接入阶段2的目标是让移动员工、出差途中的执行人员、外部经纪人和代理人员能够从网络外部安全地接入关键业务应用。AAC公司决定实施Citrix Access Gateway 4.2 + Advanced Access Control 4.2解决方案为其所有用户提供一个单一的安全接入点。AAC公司在Zone 2（DMZ）部署了两台Access Gateway 4.2设备，这两台设备利用一台硬件负载平衡器来保持负载平衡，用作身份验证、授权和确保流量从Zone3的最终用户到资源及应用的安全。 AAC公司将其网络环境分成以下三个区： l Zone 1 —— 完全非安全的通信，通常定位为Internet/非信任网络 l Zone 2 —— 非保护区（DMZ） l Zone 3 —— AAC公司专用内联网（仅供内部用户使用）该网络架构设计的总体概况如下图所示：图2、高级架构设计图 AAC公司定义了三种主要的接入情景，每一种情景确定了特定的用户类型，包括用户的物理位置、设备类型和接入点。这三种接入情景是： l AAC公司员工从内部接入到环境 l AAC公司员工使用受管理的以及不受管理的设备从外部接入到环境 l 外部经纪人和代理人员从外部接入到环境这三种接入策略的每一种都有不同的接入需求，这些需求已经被定义。AAC公司的所有外部接入都要受到企业防火墙和Citrix Access Gateway 4.2环境的管理和安全控制。所有远程用户必须经由“接入策略”来判断客户端设备是否达到AAC公司接入环境的要求，是否授权该用户只能接入获准的基础架构和应用。 AAC公司为Advanced Access Control 4.2解决方案部署了两个Web服务器和两个代理服务器。一个SQL群集环境被设置用于应用数据库，Advanced Access Control数据存储也采用了同样的设置。此外，基于用户UPN和对应的策略，Access Centre（接入中心）提供对Citrix Presentation Server应用的接入。接入策略通过控制用户能接入什么资源，用户对这些资源能做哪些操作，提高了AAC公司网络的安全性。 AAC公司实施了以下接入策略：策略描述接入允许通过Web浏览器接入资源。对于基于Web的电子邮件，允许基于Web的电子邮件应用的全功能性，如查看和发送邮件、管理日历、查看地址簿，但不允许接入邮件附件。除非允许附件接入开启，才能接入邮件附件。下载允许文档或电子邮件附件作为HTTP内容发送到用户浏览器上，并可保存到本地设备上。浏览器根据内容的MIME类型来执行缺省操作。文件类型关联允许用户用运行在服务器群组上的已发布应用打开文档。让用户在可靠环境下的服务器上打开和编辑文档，避免文档被发送到用户客户端设备上。文件类型关联只能用于文档类型与一种已发布的应用实现关联，而且只能在登录点属性被正确配置的条件下。 HTML预览允许用户在无需运行额外客户端软件的情况下，在浏览器上以HTML格式查看非HTML格式的内容。支持广泛的客户端设备，包括轻巧型系统。用户需要这个权限

展开阅读全文