金蝶ERP瑞友天翼虚拟化架构解决方案 - 图文(3)

? 随时随地接入

远程和出差的工作人员可利用任何设备、操作系统和连接方式接入金蝶K/3系统GUI。 ? 高效利用网络带宽

瑞友天翼正常应用状态下平均每个用户仅占用20kbps的带宽，所以，很多用户利用电话拨号或Internet就实现了远程应用，达到满意的速度和性能，节约了大量的专线成本。

? 降低TCO（总体拥有成本）

能在服务器端有效管理和支持K/3 GUI，节约了IT工作人员的时间和精力，节省了

现场支持的成本。

? 保护原有投资

充分利用现有设备和连接方式提供高性能K/3 GUI接入，延长网络和电脑硬件的生命

周期。

? 系统集中部署和管理

系统管理员可单点控制整个系统的进程、资源、状态等，并且通过有效的控制工具部署 和督促各个环节的正常工作。

4、K/3并发用户建议配置

服务器配置

? CPU： Xeon 2.8 G *2以上

? 内存： K3每用户按100MB内存*用户数 ? 硬盘： 120G以上 服务器系统

支持Windows Server（X86 X64）系列产品，包括： ? Win2003 Server+终端服务授权 ? Win2003 Server 64Bit+终端服务授权 ? Win2008 Server+终端服务授权 ? Win2008 64Bit Serve+终端服务授权

? Win2008 Serve R2 (SP1/SP2) 64 Bit+终端服务授权 客户端配置

? 486以上计算机 客户端系统

? 支持Windows 95以上各版本，各种标准浏览器 网络环境配置

? 通讯协议：TCP/IP、SSL、HTTP/HTTPS ? 通讯端口：80 、5872

? 接入方式：拨号、DSL、Cable Modem、LAN、GPRS、Wi-Fi、卫星 ? 服务器端带宽要求：20Kbps*并发用户个数 ? 客户端最低带宽要求：每一个客户端20Kbps

5、瑞友天翼应用虚拟化架构安全概述

在广域网远程应用时，安全是应用的前提，在集中式的应用模式下，接入安全及访问安全是极其重要的，瑞友天翼从网络边缘防护、传输过程加密、身份认证、访问控制等安全措施方面有着全面的防护设计，再加之天翼系统平台配置的系统AD策略模板，可确保远程应用的网络安全及访问安全。

5.1、接入架构安全

由于瑞友天翼系统是基于服务器计算模式技术（server-based computing，简称SBC模式）的应用接入平台，瑞友自主设计的RAP协议（Remote Application Protocol）能够动态实时对应用程序的输入输出逻辑和计算逻辑进行分离，在这种应用架构下，所有的计算功能都是在服务器上完成的，服务器与客户机之间的网络中只传输键盘、鼠标移动变化指令和图像矢量信息，这些信息包即使被侦听和截获，也是一堆无用的信息，所以这种架构的安全性是非常高的。

5.2、天翼系统安全设计架构

5.2.1、天翼WEB服务安全

由于使用标准浏览器（IE）就可以访问应用系统，因此WEB服务的安全性将至关重

要，所以天翼系统没有选择MS IIS这种第三方WEB服务来作为天翼的WEB服务，而是针对远程应用的WEB安全特点，进行了专项开发，并进行高强度的安全攻击测试，可摒弃用户因通用WEB服务可能存在的安全隐患而造成对系统安全问题的担心。 5.2.2、天翼数据库服务安全

由于通用数据库的安全隐患也比较多，所以天翼也没有选用第三方通用的数据库服务

产品，而是远程应用的安全特性，投入大量的财力进行专项开发，直接在天翼系统中内置了数据库服务功能，并进行了高强度的加密处理，让用户无需担心数据库的安全，放心使用。

5.3、边缘网关安全

瑞友专注于网络应用及网络安全的研究，曾经开发瑞友网络安全加速服务器（RSA

Server），具备为用户提供网管安全的整体安全解决方案能力，对于网络安全，瑞友认为需要用户在边缘网管设备选型时，需要考虑设备具备对网络进行多层安全检查和深入应用层的安全防护能力，具有可靠的防攻击、防欺骗以及防网络病毒能力；具备强大的安全访问控制能力和网络在线监控和信息分析功能，能帮助企业及时了解网络运行中的安全状况并进行管理；应提供WEB网关缓存以及分布式缓存功能，可以加速对常用的WEB网站的访问，节约访问时间和节省带宽成本。

5.4、数据传输安全

虽然在服务器计算模式下，客户机与服务器之间通讯不传输真实数据，只传输鼠标、

键盘的点击动作及图像的矢量信息，但瑞友天翼应用虚拟化系统的Secure RAP协议仍然在建立客户端和服务器的专用隧道连接时对其数据包进行加密。

而且用户针对可以自由选择设置对传输过程进行SSL（Secure Sockets Layer）和TLS

强加密设置，加密强度可达到128位，最大限度的保障了传输过程的安全性。

5.5、访问认证安全

5.5.1、图形验证码设计

为了防止非法用户使用工具暴力申请帐号的攻击行为，天翼提供登陆图形码验证，有效防止网络暴力攻击。

5.5.2、访问身份认证

天翼系统除了自带用户名密码认证控制外，还支持用户名密码＋令牌、用户名密码＋USBKey以及用户名密码＋手机短信等多种第三方身份认证设备，为用户提供高安全的访问保障。

5.6、天翼接入策略控制

5.6.1、访问安全策略

天翼系统可将每个会话连接做到细粒度访问控制，当客户端机器访问服务器时，可以

通过设置与其绑定的应用程序可被访问的时间、安全等各种策略，对系统所发布的应用程序提供访问安全的保障，防止被恶意用户不正当的访问。此外，天翼系统还提供客户端机器名称、客户端硬件等预约式认证方式。