拨云见日:企业网络准入策略小议
作者 libing | 2012-01-27 21:32 | 类型 新兴技术, 科技普及, 网络安全 | 62条用户评论 »
|
近来有机会接触了一些企业网络准入的项目,感触颇深。针对这个复杂的市场有一点自己的心得,没有结论,意在抛砖引玉,为大家的思考和讨论铺路。 本文只关注企业用户,而且是具备一定用户规模的国内企业用户,不是学校、不是小区宽带;其次,范围是用户对网络资源的访问,包括有线、无线、VPN等等。之所以要这么规定一下,是为了后面的讨论更准确、更有针对性,企业用户有自己的特点和需求,适合其它环境的思路在企业网中很可能玩儿不转,任何一种技术方案只有在立足的环境中才存在讨论的意义。 一. 缘起 网络准入是一个由来已久的话题,但一直以来并不是IT安全的重点,直到近年来,才逐渐成为炙手可热的话题。无线接入、智能移动终端和云计算的兴起共同催生了这一波热潮。 随着云计算的不断深入,越来越多的企业业务系统由传统的C/S架构向B/S架构迁移,以往访问后台数据需要安装专用软件,IT部门控制客户端软件的许可发放,就能够大致控制访问用户的范围。而在B/S架构中,用户只需要一个WEB浏览器即可登录系统,加上智能手机、智能平板和WiFi的流行,以往的限制条件消失了,任何人手中的设备都成了可能访问后台数据库的平台,IT部门突然一下子失去了对局面的控制,因此,对网络的准入控制被重新提上日程。只有合法的用户才能够接入网络,通过对接入用户的控制,IT部门开始试图重新夺回对数据访问的控制权。 二. 几种思路 控制用户接入网络的技术伴随网络本身的诞生和发展已经衍生出五花八门的派别,每种方式都有自己的特点和适用场景,很难说那种方式在技术和最终效果上技高一筹取得了绝对的领先地位。 在新形势下,接入技术本身并没有发生翻天覆地的变化,其演进更多地是从满足需求的前提出发,将现有的方式进行重新的优化、组合,从而推出一个满足新需求的解决方案。在实际环境中常见的认证方式包括二层认证、三层认证和基于客户端方式的认证。 二层认证 二层认证就是用户在获得IP地址之前必须通过的认证,大型企业往往利用DHCP进行IP地址分发,用户在接入网络之初同网络侧通过二层连接进行认证数据的交互,只有成功通过认证才能向DHCP服务器申请IP地址,从而收发数据。 二层认证的代表实现方式就是802.1X。802.1X是IEEE 802.1协议集的一部分,定义了EAP在以太网环境中的实现方式,而EAP是IETF在RFC3748中制定的在数据链路层中进行认证行为的一种机制,以满足在不同的二层环境下进行统一、一致的认证的需求。这个逻辑连起来就是,IETF首先制定了在数据链路层也就是二层上进行验证的EAP机制,然后IEEE给出了EAP在以太网环境中的运行方式,这个方式就是大家熟知的802.1X。现在,我们可以回答两个常常被混淆的问题: 1)802.1X是802.11的子集吗? No,802.1X不但可以工作在无线环境中,同样能够工作在有线环境中,并且在WiFi被大规模部署之前,802.1X就已经是有线网络中一种重要的认证方式。 2)EAP是802.1X专用的认证方式吗? No,理论上EAP可以被运用在任何一种数据链路层之上,例如PPP或以太。 基于802.1X的二层认证基本工作方式如下图所示:
上图中的三个元素,分别是客户端(Supplicant)、认证方(Authenticator)和认证服务器(Authentication Server)。客户端就是支持802.1X功能的终端设备,如笔记本、智能手机;认证方是将客户端接入网络的接入设备,在有线网络中是接入交换机,无线网络中是无线AP和控制器,在VPN连接中,认证方则是VPN服务器,认证方负责接受客户端的认证请求,但本身并没有处理这些请求的能力,它会将获得的信息转发到认证服务器,由认证服务器辨别客户端的合法性;认证服务器通常是集中部署在网络内的一台安全设备,当收到转发来的用户请求后,认证服务器将请求信息同已有的用户资料做比对,并将结果返还给认证方,如用户合法,认证方便会将客户端接入网络,否则予以屏蔽,或放入特殊VLAN,至此,一个标准的二层认证流程才结束。 在这个过程中,认证方和认证服务器之间通过特定的协议通信,目前采用最普遍的两个协议是RADIUS和TACACS+,总体说来,TACACS+的稳定性、安全性和灵活性更高,但TACACS+是思科私有协议,因此,在一般的用户接入场合,RADIUS更加常见。 通过多年的发展,802.1X+RADIUS的实现方式已经发展成为一个功能非常强大的准入方案,RADIUS丰富的字段使得认证可以不仅仅针对用户名与密码,还可以根据接入设备的MAC地址、IP地址、交换机端口等信息来进行认证。 之所以解释这么多二层认证的细节,是想说明基于802.1X的二层接入是一个非常成熟的方案,市场接受程度很高,不管认证方还是认证服务器,都不难找到多家厂商的产品,客户端的支持方面也不是问题,主流的桌面操作系统和智能手机终端大都支持802.1X。用户的接受与市场的成熟,对于安全策略的长期部署是非常重要的,802.1X在这方面的优势异常明显,其他方案不一定有这么幸运。 总体说来,802.1X的二层模式具备了以下三个特点: 1)完全公开的架构,每一个部分都有相应的国际标准,便于企业客户自由选择软硬件、搭建一个灵活的安全架构,不会受制于特定厂家; 2)成熟的技术标准,802.1X已经部署在全球成千上万的园区网,本身是一个非常成熟的技术,实施风险和成本低; 3)包含完善的认证和授权机制,能够满足企业用户的大部分需求。 如果仔细揣摩这三点,你会发现802.1X同以太网非常相似–公开、成熟、实用,这其实就是企业客户的核心需求,企业的IT部门在做任何选择时首先考虑的都是技术的可延续性以及成熟性,如果某项技术大家都在用,本身功能又实现得七七八八,这个方案就是最优方案,华而不实的新鲜玩意反而难以得到企业用户的垂青。 三层认证 说了这么多,传统的二层方案是个完美的方案了?如果放在五年前,也许是这样,但随着网络的发展,接入环境越来越复杂,802.1X在某些方面渐渐显得力不从心了。例如,某些企业需要为访客提供无线网络接入,但不可能每次有来访人员时临时在笔记本电脑上配置802.1X策略,这就需要一个快捷的办法将没有经过认证的第三方设备接到网络中。 三层认证就在这种背景下应运而生了。 三层认证又被称为WEB认证,顾名思义,认证过程是通过一个WEB页面完成的。当有新的设备需要接入时,网络设备不会默认屏蔽它,而仅仅为其提供一些基本数据的转发能力,如DHCP、DNS等,客户端可以通过DHCP拿到地址,但他还没有办法获得完全的网络权限,比如上个QQ啥的;此时,用户需要发起一个HTTP请求(在浏览器中访问任意一个WEB页面),交换机或者无线控制器从中截取到用户的这个HTTP请求,并将用户重定向到一个预先写好的认证页面上(这个页面可以存放在任意一个IP可达的WEB服务器上),用户在在这个页面使用用户名/密码完成认证,从而获得全面的网络访问权限。
三层认证凭借其自身的特点获得了市场的认可,但在现阶段毕竟还是一个补充方案,难以作为企业环境的主力认证方式。首先,每次上网通过WEB页面登录的方式对大多数企业用户来说都“土”了一点儿,而且WEB认证检查的内容也比较简单,大部分时候仅有用户名和密码,在高安全级别的环境中仍显单薄。 客户端方式 除了三层认证和二层认证,还有一种很有意思的思路,即通过客户端对接入用户进行认证。这里所说的客户端是指安装在用户设备的上的软件,其表现形式五花八门,以杀毒软件起家的厂商会做成杀软的功能子集、以桌面控制立足的厂家会做成控制软件的一部分、而传统的网络设备厂家则会将这部分功能集成到VPN\无线接入的用户端软件中。不管是什么路子,这类软件一般只干两件事情:1)从操作系统接手802.1X的认证流程;2)对操作系统的健康状况做检查,如是否安装了最新版补丁、杀毒软件是否更新到最新病毒库等等,若操作系统处于可靠的状态则允许接入网络,否则拒绝。 这种方式有一点像一个加强版的360软件,它不但帮你检查身体,还基于你的身体状况决定你是否能获得一张游泳证。由于健康状态的检查内容包含了系统的补丁安装、应用软件安装、杀毒软件更新等情况,因此,必须在客户的设备上安装一个系统权限非常高的客户端软件才能完成所有的检查工作。 很明显,客户端方式完全是从企业IT部门的视角出发,对最终用户采取更多的限制。通常,这种方式都会和厂家进行紧密的绑定,通过在每台终端设备上安装客户端,用户的IT流程和安全规范也紧密地同厂家能够提供的功能选项结合在一起。 三种方式的对比表格
三. 延伸思考 用户需要什么样的方案? 企业网的准入是一项非常特殊的技术,最终用户的体验是决定一个项目成败的关键。有的方案从技术上评估非常完美,但实施之后发现最终用户根本接受不了,过多挑战用户的使用习惯,最终被行政层面废掉。 有的客户在被厂家忽悠过后决定在整个公司范围内推广严格的网络准入控制,在所有PC终端上安装安全客户端软件。结果,客户端装上后频频告警,因为不少人在自己的电脑上安装的下载软件强行修改了系统的下载线程限制,还有的员工干脆卸载了原有杀毒软件,自己重新安装了互联网上的免费杀软。这些被折腾过的电脑,在安全客户端内置的严格的策略规则前统统被亮了红灯,上线测试第一周就有不少员工无法正常接入网络。结果IT部门啥都顾不上,成天到各处救火,最后这个系统被大领导一句话下了马。 即使是最通行的802.1X方式,也不一定适应每个地方的水土。当一台配置了802.1X接入的PC机刚开机时需要一定时间同网络侧交互认证信息,如果用户接受程度不高,很可能会认为网络接入效率低,从而投诉,给IT部门造成很大压力。 因此,对于最用用户来说,最好的方案就是用户体验最友好的方案,只有对原有使用流程影响最小的技术方案才能得到上下一致的支持,从而推动最终的全面部署。另一方面,业务部门对准入的支持也至关重要。 IT部门需要什么样的方案 对于IT部门来说,网络准入是一个非常笼统、模糊的概念,什么样的用户能够接入网络?什么样的安全检查才是足够安全?同企业的其他安全策略该如何整合?这些问题在业界都没有统一的结论,而且安全防护是一场没有终点的拉锯战,IT部门不可能无限制地投入资源去追求极致的安全级别。 准入控制的实施过程是非常复杂的,是一个惊动全局的工程,因此,IT部门在上马准入时无不希望是一个循序渐进的过程,先从最基本的二层准入或三层准入开始,逐渐推进到设备健康状态检查等复杂的机制,这在准入项目的实施过程中尤其重要。 其次,准入控制的最终对象是企业内部的人员,而大部分企业往往已经具备了用户数据库,且用户的合法性以此数据库的实时数据为准,比如供人力部门使用的微软Active Directory。新的准入系统要能够方便地与原有数据库集成,特别是将准入系统内复杂的策略直接绑定到已有的用户帐号上。例如有的用户希望对PC机的MAC地址进行认证,而在原有的Active Directory内是没有MAC地址这一个字段的,且这个数据库的管理权不一定在IT部门手里,那么新添加的MAC地址信息如何同原有的用户帐号绑定,并实现帐号信息的定期自动更新就是一个挑战。 最后,准入控制系统一定要有一个清晰、简洁的管理流程和界面。 什么是完美的产品? 综上所述,一个优秀的准入控制技术方案需要具备以下特点: 1)可延续性 所谓可延续性是指采用的技术方案要具有长期的发展路线和支持力度,或者是被广泛应用的公开标准,或者是强大厂商的主流产品。准入机制一旦部署将延伸到网络的各个角落,并同企业今后的安全策略紧密结合起来,如果基础平台不稳定,后期变更将是迁一发动全局的麻烦事; 2)可用性 准入策略的顺利实施一定是以最终用户的接受为基础,因此,准入系统对最终用户的使用流程不能有太大的影响,要提供一个足够友好的用户体验; 3)灵活性 准入策略的内涵非常广泛,企业IT部门在实施时一定是一个逐渐完善的过程,为了应对这种需求,准入系统要具备一定灵活性,各个功能模块的实现不能有冲突; 4)整合性 准入系统要能够方便地同主流的企业数据库系统整合,并将安全策略绑定到相应的用户帐号之上,实现自动化的用户数据更新。 虚拟桌面的机会 网络环境的变化,带来的是访问方式的变化。一方面,网络准入技术开始快速发展,另一方面,很多人开始询问“是否一定需要在网络边界做这么严格的控制,还有没有其他方法?”。 也许是有的。 虚拟桌面在企业内部的应用开始逐渐铺开,员工对数据库的访问全部通过虚拟桌面完成,而硬件本身可能是一个简单的瘦客户端,不具备复杂的功能。在企业网络内部对虚拟桌面流量设置高优先级QoS策略,对其余流量以及网络接入采取从简的思路,在未来,这并非不会是一种解决方案。 总之,随着云计算、智能手机、WiFi等新应用的快速发展,传统的企业网络不得不开始主动变化,这种变化将如何发生,往哪里去,得出怎样的结果,现在都还不明晰,但有一点是明确的,那就是有意企业数据网络和安全的厂家现在就必须开始重视这股潮流,未雨绸缪,才能从容应对未来的新一代企业网络的发展。 | |
   (7个打分, 平均:3.29 / 5) |
雁过留声
“拨云见日:企业网络准入策略小议”有62个回复
虚拟桌面只是将终端的安全控制问题放到后端了。成本?
TO ABC
是的,放到后端了,对网络接入就不做那么多控制。只是一个思路,如果最终能成为一种方式,成本问题肯定已经被解决
新形势下企业安全接入,HW公司至少在国内在实践上应该还是走得比较前。实际上应该是可以独立销售的产品和方案。
降低TCO的一个关键是资源共享的程度。云计算的商业模式和技术能力在residential、mobile、enterprise、ICP等所有方面都会成为主要选择。mobile和cloud一定会创造更多的机会
To 理客
一直听说HW的IT在国内做得比较NB,不知道具体细节如何?
to libing: 任何一个大型企业,尤其是IT类企业,其IT系统都应该有自己很强的地方。具体到HW的IT,你随便找几个认识的HW人,看一下他们终端上的IT系统软件,会有直接的感受,这里一时也不好说清楚。
目前企业IT系统面临着一个较大的转变,就是通过mobile和cloud提高效率,降低成本,安全接入和控制是其系统架构中的一个基本和关键。在业务系统中,IBM/NOTES,MS exchange等传统以邮件为中心的架构已经不适合目前快速沟通和任意移动的需求,而QQ/MSN等以个人用户为中心的IM系统对企业级应用理解不足,google等公司对此也仍然没有更好的商用系统,ORANCLE/SAP不关注这块,如何提供一个一体化的终端和后台,需要系统级的融合,目前还没有这样的商用系统出售,也很难有公司能提供,HW公司目前也只是在做,离做好还有很大距离,HW可以把其IT独立出来,并鼓励其创新,包括内部员工在相关方面的创新,这对HW从以提供类似级别但成本更低的产品和方案销售模式,向以创新引领业界的真正的一流公司转变,是很有意义的,并且对其企业网BU的技术和产业链产生很大的影响,HW具备这样的条件,至少在大陆甚至亚太市场的优势,如果不去利用,放过让机会窗,是太浪费和可惜了。
思科之前一直在引领企业IT融合这块,在某些方面也走得很前,但在整个系统级融合产品方案上,一直都没做好,HW应该抓住机会,在mobile、cloud的大背景下,提出新一代的企业网级IT产品、方案概念:低成本的高效下一代企业通讯IT网络,利用其企业网BU和企业IT集成,从大陆和亚太做起,从这个方向插入企业网市场,而不仅仅是正面亮剑硬拼,两强相遇勇者胜,两勇相逢智者胜。
不知道大家了解SAP/Sybase Afaria系统不?似乎也是这方面的一个例子可以参考
关于企业网带宽需求,想请教一下libing和理科两位的看法:
从去年netlogic推出xlp864这种临时拼凑的80G,到今年即将发布的xlp II的100G以及集群800G产品来看,感觉这些多核CPU厂商似乎在逐步放弃企业路由以及安全市场?
现实中,感觉除了网络运营商,以及提供的ICP之外,一般意义上的企业(包括政府,行业,以及非信息服务业如银行等),数据带宽需求都不大,40G基本是顶天了。而且这个需求已经停滞了很多年,目前看不到任何刺激它增长的趋势。(也许其中一个原因是企业网起步的桌面10M已经搞定了所有应用,不象运营商接入带宽这些年逐步增加,从而带动核心设备的升级)
而从市场产品来看,不管是Cisco的ASR1000系列,还是H的ARG3系列,都定位于总容量40G以下的区间。如果容量不增长,那么门槛就会越来越低,这个市场会不会越来越拥挤和没有利润?
To 真相同学,通信产品已经过了高额利润的时代。市场是否拥挤还要看市场本身,成长?萎缩?
To 理克同学,思科还是一直在做IT的,而且在思科没发布新的理念之前,谁也不知道他们又在酝酿着什么。至少在我来看孕育IT成功机会的土壤还是大辽更好些,也不认为某司现在有做好IT的土壤。
你说的这个时间窗我倒是认为可能很长,某司肯定不会错过,但绝不是搭的第一班车。
还是回到主题,企业准入的问题可以翻翻以前云计算刚火的时候,大概08,09年吧,那个时候安全行业也有很多人在谈论云安全。可以多多参考。想想以前SAN也没有部署过FW,现在把FW部署到云前端是否合理?
是的,以企业网本身软硬件能力扩容为基础的传统企业网络IT模式,应该被新的以mobile和cloud为基础的超越时间和位置限制的高效、快速、低TCO新一代enterprise所替代,如果仍然专注于传统企业网,当然会觉得拥挤而利润降低,应该让企业更新其IT网络到下一代网络,vendor从这里得到新的机会和利润,这里目前不仅不拥挤,还远没有成熟的商业解决方案,这个方案需要很高的带宽,但不需要用高成本的设备来提供这些带宽,只为强悍的肌肉做更多的IT投入是傻的,利用廉价的傻瓜管道,通过mobile和cloud提供smart的IT架构,才能获得对企业业务本身更好的更长久的支撑,CIO和企业网vendor应该好好考虑并及时实施这个方向,晚了,蛋糕又是别人的了。
但思科近几年在运营商市场失误较多,而在企业IT市场,相比于google/apple,本应该能给出更好的解决方案,但至少目前没看到明显的大进步,目前企业IT市场还基本是传统模式下的小步慢进,但当mobile、cloud下IT架构已经明显开始被google/apple/amazon/twitter/facebook等引领下,企业IT网络应该到了一次大变的时候,这个时候,CISCO/HP/IBM/ORANCLE甚至SAP/MS,以及新的VENDOR都有机会,相比前面mobile、cloud类引领业界的IT企业比,思科这几年的表现很让人失望,如果再不能有明显的进步,思科危矣,别看现在nokia和NSN基本是完蛋了,下面危险的就可能是apple和CISCO
这个方案需要很高的带宽,但不需要用高成本的设备来提供这些带宽,
-------------
能否具体阐述一下?谢谢!
感觉有些矛盾。。。
第一是为什么企业需要更高的带宽呢,第二是为什么高带宽还不用高成本的设备?
2层和portal接入,只能进行初级准入控制,管控粒度较粗;
按照未来的发展趋势,细粒度的接入控制是企业的需要。云部署目前看来在企业还需要一段时间的过程,目前看来只有客户端进行准入控制相对可行,但是也有文中说的部署、兼容性等问题。
个人观点:用堵、防、安客户端的控制办法只是暂时手段,迟早会过时。
虚拟化是未来接入控制安全的趋势,但是存在着成本问题,安全性也还是会有问题。所以再看的近一点,我比较看好以应用为粒度的控制方法,比如思杰这一类的远程应用交付产品
第二种方式叫法太局限了,也许从CISCO的角度说的吧?!
第二种方式可以叫做GATEWAY方式,即相关业务流程路径中串接认证设备,认证方式可以根据业务流量类型来进行,一般为可以交互式的TCP类型,比如WEB、TELNET、SSH等。
从安全的角度看,目前的准入手段,是不能看成终极的解决方案的,还是需要网络层面、服务器边界等配合来完成整体保障。
但是准入至少是一种减少安全风险的有效手段。
HW的优势在于其自身本来就是个大型企业网。自身对安全和企业业务灵活性的需求已经导致其内部必须发展出一套灵活的产品研发体系。而且这套管理体系是软硬结合,充分发挥了每个组件的功能特性。可以说,没有什么功能是被浪费的。而且这个系统还在不断地自身成长。
其安全管理的思路和手段确实可以为国内大企业所借鉴。但不要注意的是,即便是安全需求等级和HW相同,完全照搬也是不现实的。因为安全内部管理的根本在于领导和全员的安全意识灌输。这方面很少能有企业向HW看齐。所以,大部分内网准入和安全体系建设最后都成了花架子。
个人认为,相比于采用什么样的技术来实现,更重要的是全员,在中国特别是领导的意识培养。没有自上而下的强制力和全员的积极参与,再好的技术都是白搭。
看了大家的讨论,有两点是一致的
1.准入安全是一个需要领导支持的项目,没有上层的支持下场基本是失败;
2.虚拟化是安全准入的一个新思路
另外,理客提了一个非常好的观点,以邮件为中心的企业应用已近过时了,实际上微软近年的两点也在往sharepoint上转移,在美国卖得挺不错的,思科也有类似的计划,没整合完罢了
其实C的Jabber还是非常好用的,整合webex等一系列业务, 视频 IM 邮件 会议等交付都做的蛮舒服的, 至少我觉得比前几年用的sametime一类的要好很多。
而且Jabber MAC手机什么的都可以用, 现在一个iphone在手上, 基本上的办公需求就满足了
其实我觉得看问题抓重点,大可不必讨论领导支持之类不管皮毛的附属原因。看起来准入涉及到的面这么多,我觉得:
准入的核心=数据安全,企业安全,就是做数据安全,牢牢抓住这一点足以
To likingfly
多谢补充,受教了
To asr1k
Jabber确实好用,C家现在正逐步将协作工作整合为一个平台,只是什么时候能拿出成型的东西还不好说。有兴趣的同学可以关注一下project futurama
C是个好同志,MS/Google/APPLE/FACEBOOK这些都在免费玩开源xmpp,C付钱把商用的xmpp公司给买下来了,算是给这些xmpp早期玩家一个退出的机制,当然这也说明在IT领域,C的积累远不如那些玩家理解深厚(即便这已经是IT最边缘靠近通信的地盘:IM),只有靠收购。
记得曾经有段时间SIP呼声甚高,大有一统天下之势,MS都在其RTC stack中支持,IMS的出现让它的声望到了顶点。然后历史又开了个玩笑,SIP最终成了运营商自弹自唱的东西,企业和互连网最终拥抱了血统上更纯正,更贴近http和xml的xmpp。
不同领域的技术角逐历史是何曾相似:atm之与ip;x.400之与email;rtsp/rtp之与web video。貌似凡出生于互连网血统的,最终都能在于通信的争夺中取得胜利,并拉拢“企业IT”这个中间派,只剩下通信领域自弹自唱的尴尬境地:要么跟随,要么消亡。
to libing:HW的准入听说是采用华赛的TSM也就是类似第三的方法。
准入控制到底是要控制核心数据业务的访问、guest用户的内部攻击还是带宽业务的使用,我想对于不同的企业用户和不同的场景会有不同的解决方案
To yimiqi
如果真是这样,对于HW这样的铁血管理是一点问题没有,但在其他环境中则不一定
提一个不专业的问题,无盘系统通常在网吧使用,大家对无盘系统应用在企业怎么看?出于安全的原因我公司使用了大宋某公司的内网安全系统,价格是按客户端来收费的,为了省钱我们客户端使用了无盘系统,所以只是服务器端使用了该系统的USBkey,省了不少钱,而且从去年5月至今效果还好,管理简单。
在我公司(研发性质公司)里内网客户端使用无盘PC(没有硬盘,网卡PXE启动,系统是win7 64位双启动、一个内网一个外网,部署域,内外网不可以同时访问,切换内外网需重启到另外一个win7 64位系统),每台客户端都有16G内存(系统用8G,另外8G作为作为无盘iSCSI的Cache),在服务器端已经启动正常的情况下200台客户端同时启动需30~40秒,客户端免维护,所有软件安装或升级、系统补丁都在服务器端组策略实施,无盘客户端没有发现软件兼容问题。
服务器端一台ZFS服务器作为存储,一台linux服务器作为无盘启动用,另外一台ESXi服务器安装软路由、邮件服务、web服务、内网安全认证、网上行为管理、voip、FTP、VPN等多个虚机。每台服务器都是64G内存、都用8块64G SSD(读写分别各4块RAID 0+1)作为Cache。
内网安全系统可以让所有文件在内网或VPN内客户端才可正常读写修改,以防止文件外泄(如果不在内网或VPN内即使用优盘、IM、邮件发出去的文件也无法使用)。
网上行为管理可以管理客户端的哪些软件可以使用、什么时间可以使用、保存软件使用日志、快照(包括IM、邮件),以及邮件、网址的黑白名单。
可不可以把这样一个系统理解为一个“私有存储云”的应用?如果服务器在ISP处且客户端接入是千兆FTTH应该就可以作为“私有存储云”运营了吧。
看来C目前做的还是最好的,H的新email、espace以及imeeting等有一些自己的特色,但融合得还很不够,但在SPEC统一安全接入这块,对国内用户理解较深,可能比C要好。
IT技术的加速,驱动了社会沟通的加速,IT技术从industry和enterprise走向社会生活,反过来又从社会生活影响enterprise,所以企业也需要更快的统一的无处不在的安全的成本有优势的信息沟通架构。mobile和cloud架构的企业网,需要内部和外部要有足够的带宽支撑,但智能都集中在两端的哑铃型结构:terminal和cloud,中间是stupid管道,当然要廉价,否则如果都很昂贵,不是好方案
各位牛人分析一下linux开源软件在这里的机会啊。投身开源。
To hid
无盘系统同我在文章最后提出的远程桌面是一个思路。这种方式目前最大的挑战是部署不广泛,是个尝鲜的事。
看起来,你们公司用得不错,不知道你们这套系统对不同访问方式的支持如何?比如用户自己通过软件客户端访问的权限。
无盘没法解决数据安全问题,比如:网吧一样可以用U盘考东西走啊··
to hid
想法类似,拉远的层次不同而已,一个是整个
OS拉远只剩terminal,一个是存储拉远。
但无盘这种存储拉远的方式有几个弊端:1)不像虚拟桌面那样,多工作面角色切换非常方便,而且甚至可以并行,这个是必须reboot才能到令一个系统;2)大多数商用办公场景带宽小号比虚拟桌面大(但一些富媒体场景虚拟桌面带宽消耗更大);3)磁盘拉远一旦出现网络抖动,可能导致死机,不象虚拟桌面没有影响,重连一下就行了,所以至今这种方式无法在大规模企业网中应用,都是非常小拓扑非常简单的网络中有用
当然虚拟桌面我也不看好。随着客户端应用web化越来越深入,最后除了少量复杂创作类应用(比如photoshop,媒体剪辑等),都完全可以迁移到web上去(感觉office套件是个分水岭,这个要是web office普及了,时机就到了)。到时候云客户端就是html5瘦终端,虚拟桌面就该下课了。我始终认为虚拟桌面是个过渡方案
远程桌面应该也是HW的企业云的一个关键
原先是想上瘦终端(PCOIP),但是成本更贵、软件兼容性差,且对服务器、网络要求高。我们工作以设计为主,无盘客户端有本地CPU、显卡资源,对网络、服务器要求不高,工程师习惯使用PC,权衡再三还是选择了无盘。
本身就为了安全以及容易管理才上了无盘系统,安全方面因为上了内网安全系统,基本满足要求。如果不在内网或VPN内即使用优盘、IM、邮件发出去的文件也无法使用。
稳定性方面由于客户端有8G Cache,可以拔了网线也不会重启,我画PCB一整天都没问题。
有盘pc需加入域且需内网安全系统的USBKEY,移动终端需先登录VPN、域管理以及USBKEY,才可以得到相应的权限。
多工作面角色切换,也可以使用双网隔离的网卡,但考虑到成本还是使用了两个系统,切换内外网需重启到另外一个win7 64位系统。
我还希望可以试试网格运算,把200台PC变成HPC来使用,以方便运行仿真、有限元。。。
hid,这个简单啊,比如hadoop
linux开源的机会,自然是后面2种的替换方案了,其中802.1X radius认证方面,开源的freeradius之类的已经比较完善了;缺的是网关型应用识别和认证的系统,以及客户端。
实际上已经有些苗头了,比如packerfence,实际上就是个网关性的,可以WEB PORTAL+RADIUS ,虽然没有成熟,其理念是值得发展的。
to:yimiqi
TSM只是HW内网终端管理的一个组件而已,并不是全部。是根据企业需求裁剪的产品。毕竟如果全套上,绝大部分企业无法接受这种高安全。
to:理客
HW类似虚拟桌面已经有产品并且在国外卖过了。国内还没听说哪儿正式应用过。但该产品的思路与虚拟桌面还是有不同的。
H企业云里的远程桌面应该有自己的新内容。
在本地网络,因为远程桌面天生能全面兼容现网所有软件,所以应该还会走很长时间,对P2MP GE带宽同时系统的高可靠性(不只是网络本身,还包括电源、机房等)要求很高,GE带宽不是问题,可靠性是方案的关键,一旦出问题,如果不能分钟级恢复网络,商用影响会很大的;瘦客户端类的方式,应该是通过外部internet方式接入,将来成熟后,会成为主流模式,替代很多本地网络的远程桌面。
远程应用交付的远程应用新思路,给大家看一个
http://www.ulteo.com
一个名叫Bochs Pentium emulator的APK,它能够让HTC EVO 3D手机轻松运行Windows 95/98/XP,甚至是Linux系统。
此外,这位开发者还给出了HTC EVO 3D手机运行Windows 95/98/XP和Linux系统的方法:用户安装过该APK后,继续下载SDL.zip文件,将其放入放到SD卡根目录,路径sdcard/SDL/*.*,然后将一个操作系统磁盘映像.img/.iso(win 95/98/XP)放到SDL文件夹中,并将它更名为”c.img”,并从appdrawer运行Bochs,加载一段时间即可。
用户可在模拟触摸屏上操作左键、右键,当然也可以直接在触摸屏上操作,产生鼠标的左右键点击,但时常会无效果。(返回键=BackSpace,Menu=Enter,左上角生成TAB键,左下角可弹出模拟键盘)
想尝鲜的朋友可以移步至XDA进行下载:http://forum.xda-developers.com/showthread.php?t=1459153
多虚一后再一虚多有最佳的资源共享,也意味着最好的性价比。并且不但基于X86的PC/laptop性能强劲,即使基于ARM/ATOM的mobile terminal性能也是越来越强,不通过多虚一实现一虚多,是很大的资源浪费,多虚一的进程可给予很低的优先级,只利用本地空闲的CPU/MEMORY资源,并且可随时被本地进程抢占。不知道具体技术实现上是否已经成熟?
对理客非常提出的问题我也非常感兴趣,希望能多一些了解。
另外在存储方面假设客户端数量足够多的话有没有可能有类似迅雷的P2P软件使客户端需要的内容可以就近从另外的客户端的缓存里取得,整个网络客户端的缓存作为分布式的存储的高速Cache,毕竟人们重复共同使用的内容还是很多的,如热播的影视、音乐。。。。
纸上谈兵的看,应该是不错的,但至少我对这部分是十分业余的,弯曲里应该有专业人士给予成熟的评判。
凭感觉,已经传统多年的企业网应该有一次大点架构变化了,里面的技术融合和市场机会应该是值得进入的。企业网的市场太大了,对于不可能提供全产品方案的只专注于某一部分的安全存贮云计算等vendor,应该紧盯住这个变化,一旦有可用的方案,可以快速跟进,推出配套的产品,分上一勺油。不知道好久不出来的全力投入云计算的吴朱华兄是否有所考虑?
To hid
如果共用缓存,一方面需要有软件平台,另一方面对I/O效率也提出很高的要求
的确需要有软件平台。
现在内存便宜,我现在每台客户端都有16G内存(系统用8G,另外8G作为作为无盘iSCSI的Cache),I/O效率应该没问题。
客户端使用主板自带千兆网卡且主板本身支持网卡启动。
PXE无盘启动win7 64位是需先加载约200M系统启动所需文件,如果是XP只需要约60M。
因为是无盘,如果需预加载软件就比较方便,客户端数量足够多的话,如果有软件平台能管理所有客户端的缓存,在服务器端来看整个网络客户端的缓存作为分布式的存储。
有没有可能实现理客所提出来的:存储和计算能力都同时多虚一后再一虚多。
To Hid
敢问兄台在何处高就?如在帝都,有机会不妨一聚,也好当面讨教。
kbsg2@163.com
To libing
我在深圳,已发邮件给你,我的邮箱:hid@msn.cn
难道是传说中的基情四射吗
PLC的能否占领应有的市场,关键不在终端价格,大不了一个月的tariff而已。关键在于商业模式和网络架构能否有竞争力,表面上看是有的,但实际的数据分析和实践,需要有公司去做,但我看好PLC WIFI+部分metro backhaul租用提供residential、enterprise和wholesale业务的模式,如果有这样的机会,希望能试一把。
山石网科hillstone销售副总裁马红军离开后,去哪里了?
记得当年2011年会上,老马和Ningmo签X6150销售合同的情景,一年多的时间,一个离职,一个不再掌管研发,真是世事难料啊呀?
老马没有离职呀,前几天还出席山石巡展的呀。
http://www.hillstonenet.com.cn/cms/article/2012/0426/article_348.html
Hillstone销售副总裁赵彦利,他坐了老马的位了,官方数据显示老马离职了。事事多变,关心下他去哪了,之前听说他有和其他厂商谈过档跳槽的事。他应该是在3,4月份走的。祝他好祝!呵呵。
最新消息童建也离职了,时间是年初
妖言惑众
企业网对IT的需求,已经长期没有变更了,其实,企业对IT网络还有很多潜在需求,根据当前接触的情况,都还没有被很好的满足,当前很多企业只是做到了 所有PC都联网,服务器联网,最多加上一个 外网VPN接入,其实有很多动作,大有可为
楼上的,比如说呢?
Jason 也已经离开山石了。 为什么呢?
微博上有个叫山石网科首席技术专家的搞的挺煽情也离职了