企业/机构内部员工电脑的上网管理,常常是管理人员面临的两难问题:既要满足网络信息查询和通讯等正常业务需要,又要保证安全和网络通畅,避免病毒侵入、内部数据资料流出,限制工作时间的娱乐、炒股行为等等。从理论上讲,通过路由器的设置可以解决大部分问题,但是实际上可操作性很差,很难同时满足便捷性与安全性的要求。为了解决这个矛盾,人们想了种种办法,包括最彻底的设立专用上网电脑,直至内外网的物理隔离,这些都可以说是“没有办法的办法”。
益和VA虚拟应用管理平台的出现为我们提供了新的思路:用虚拟化应用的方式,集中部署与外网连接的应用,同时关闭所有虚拟应用与客户端电脑的数据通道,实现内外网隔离,以及外网应用的管理。示意如下图:
益和VA虚拟应用的基本原理是:将应用软件安装部署在服务器上,通过VA发布应用、建立终端访问账户。终端用户登录VA服务器并选择应用程序,应用程序在服务器上运行,接受终端用户的鼠标、键盘等操作指令,回传应用程序界面信息,实现虚拟操作应用程序的效果。
益和VA可以分别针对内外网、某台服务器的性能和资源进行设置:
在这种环境下,由于内网所有终端用户仅能通过VA专用通讯协议接口访问VA服务器,虚拟运行上网程序,虽然感觉同自己电脑上网差不多,但是除非经过管理人员的审核允许,自己电脑中任何文档数据都不能上传到互联网。同时,来自外网的对这台“上网服务器”的任何侵害行为也都不能影响到终端用户的电脑,从而保障了终端用户的安全。
实施方案
通过VA虚拟应用管理平台对现有网络进行虚拟化改造(不改变现有网络的物理结构),不失为一种理想解决方案。
如上图所示:我们可以将企业机构的内网按照功能的不同分为三个部分:DMZ区、服务器区和办公区。
在网络的出口处(DMZ区)部署VA服务器集群作为内网用户(办公区)访问外网的代理网关,并且将用户常用的一些外网程序部署在上面(如:QQ、MSN、大智慧炒股软件等)。所有的内网用户不能直接访问互联网(办公区网段只与服务器区和DMZ区联通,其他网络均不能访问),只能通过安装在用户计算机上的VA客户端(AR应用执行器)访问代理网关,并通过代理网关上网。当用户需要访问外网时,只需要打开AR客户端选择“外网入口”并登陆,就可以方便的使用代理网关上的浏览器、QQ等程序浏览网页、上网聊天。
而在服务器区部署第二台 VA 服务器,该服务器 负责内网应用的集中发布和管理。当用户需要访问内网应用( MIS 、 ERP 、 OA 、 Database 等)时通过 AR 应用执行器选择“内网入口”就可以方便安全的进入内网工作了。
这样一来就可以实现在不改变现有网络物理结构(甚至是IP地址都不用调整)的前提下,通过虚拟化的方式将内、外网应用逻辑的隔离开,大大降低了由于外网接入给内网服务器带来的风险,提升了内网的安全性;同时以管理网关的方式管理内网用户的上网行为,简化了外网访问管理的过程,管理的颗粒更细,力度更强。