深信服aDesk桌面云技術(shù)白皮書V3.0.doc

深信服一站式aDesk桌面云方案技術(shù)白皮書V3.0深信服科技有限公司 深信服aDesk桌面云技術(shù)白皮書V3.0 文檔密級：公開目 錄第1章背景介紹1第2章傳統(tǒng)桌面辦公面臨的挑戰(zhàn)12.1桌面運維復雜化12.2總體擁有成本高22.3數(shù)據(jù)安全難以保障22.4辦公地點固定化3第3章深信服一站式aDesk桌面云方案33.1虛擬化領(lǐng)域的技術(shù)積累33.2體系架構(gòu)概述33.3方案組件說明43.4桌面交付模式介紹53.5桌面云方案價值體現(xiàn)6第4章產(chǎn)品精彩亮點解析74.1良好用戶體驗74.1.1高清視頻體驗74.1.2高效SRAP協(xié)議74.1.3單點登錄技術(shù)74.1.4自動化桌面部署84.2最優(yōu)的靈活性94.2.1廣泛終端支持94.2.2豐富的桌面類型94.2.3外設(shè)的總線映射技術(shù)104.2.4智能開關(guān)機114.3端到端安全設(shè)計114.3.1終端安全114.3.2傳輸安全124.3.3平臺安全124.4最低的IT總體成本134.4.1高效率、低能耗瘦終端134.4.2內(nèi)存頁合并技術(shù)144.4.3鏡像分離和IO加速144.4.4桌面服務(wù)器群集設(shè)計15第5章深信服方案優(yōu)勢15第6章瘦客戶機規(guī)格說明16ii深信服科技版權(quán)所有 第1章 背景介紹企業(yè)信息化建設(shè)過程中，到目前為止國內(nèi)客戶幾乎還是采用傳統(tǒng)PC的辦公模式，越來越多的企業(yè)在PC的生命周期中出現(xiàn)了諸如運維工作量大、數(shù)據(jù)安全無法保障等一系列問題。據(jù)IDC的統(tǒng)計，企業(yè)在PC硬件上每投資10元，就需要為后續(xù)的運維支出30元（整整3倍），而從業(yè)務(wù)價值的角度來說，桌面運維對組織業(yè)務(wù)發(fā)展并不創(chuàng)造直接的價值，沒有帶來生產(chǎn)力的提升，在這方面的投入越大、浪費就越多。“瘦終端+云桌面”是快速興起的技術(shù)潮流，通過將用戶桌面在數(shù)據(jù)中心集中化運行和管理，極大地降低了運維難度并提高了數(shù)據(jù)的安全性，同時實現(xiàn)了用戶桌面在各種終端上的任意切換。根據(jù)2012年中國虛擬化市場研究報告，以往客戶對虛擬化的采購比例為“服務(wù)器虛擬化占比73%，桌面虛擬化占比18%”；而未來客戶對虛擬化的采購比例將變成“服務(wù)器虛擬化20%，桌面虛擬化70%”。也即是說，在整個虛擬化市場領(lǐng)域里，客戶對服務(wù)器虛擬化的投資占比在逐漸降低，而對桌面虛擬化的投資占比在快速提升。另外，Gartner也預測未來30%以上的大中型企業(yè)將部署“瘦終端+云桌面”方案。因此，順應市場潮流，深信服推出aDesk桌面云解決方案，對IT桌面基礎(chǔ)架構(gòu)進行變革，通過豐富、完善的云桌面技術(shù)，提升企業(yè)在數(shù)據(jù)安全建設(shè)、終端用戶體驗、業(yè)務(wù)連續(xù)性等方面的價值，讓企業(yè)充分享受虛擬化技術(shù)所帶來的優(yōu)質(zhì)體驗。第2章 傳統(tǒng)桌面辦公面臨的挑戰(zhàn)2.1 桌面運維復雜化傳統(tǒng)辦公模式將員工的工作環(huán)境綁定于PC上，當個人電腦出現(xiàn)故障后，需要IT維護人員親臨現(xiàn)場，對電腦進行系統(tǒng)修復和重新配置，而在整個PC生命周期中，如此繁瑣的工作是非常多的，使得IT管理員的工作量巨大；加上復雜的桌面運維工作比較消耗時間，往往導致響應能力不足，影響員工的工作效率。同時，企業(yè)中PC一般每3到4年就需要更新替換，也即是說，復雜的桌面運維工作，每過三四年時間，這樣的過程還要繼續(xù)重復。因此，在IT應用環(huán)境日益復雜、人員有限的情況下，如何保證服務(wù)質(zhì)量，如何擺脫“救火隊”的角色，而給各部門提供高效的IT服務(wù)以及良好體驗已然成為IT部門致力于發(fā)展的目標。2.2 總體擁有成本高雖然PC采購成本相對較低，但是無法抵消高昂的管理和支持成本。目前，PC的管理工作主要包括對操作系統(tǒng)環(huán)境、應用的安裝配置和更新、桌面日常維護等，且隨著應用的增多，維護成本呈不斷上升增長趨勢。另外，隨著企業(yè)中傳統(tǒng)PC的不斷增加，耗電量、制冷、空間等問題已經(jīng)逐漸凸顯出來。以耗電量為例，假設(shè)員工使用的是一臺普通PC，一般工作狀態(tài)下功率為200W左右，液晶顯示器大概50瓦左右，按照一天開機時間為9小時，一年工作時間為264天，那么該普通PC一年的耗電量大概是250W9h264 = 594KW。如果算上空調(diào)、空間等因素，運營成本是非常高昂的。2.3 數(shù)據(jù)安全難以保障傳統(tǒng)PC模式下，PC數(shù)量眾多并且核心數(shù)據(jù)都存儲于本地，隨著系統(tǒng)安全隱患日益增多，PC往往成為數(shù)據(jù)安全風險集中爆發(fā)的地方。再者，傳統(tǒng)PC模式難以對移動存儲等進行限制，難以防止數(shù)據(jù)外泄。加上近年來主動及被動的安全泄漏事件日益上升，而這種安全事件對企業(yè)形象和核心競爭力的影響是巨大的，如何有效解決終端主動及被動數(shù)據(jù)泄漏事件等安全問題一直困擾著IT部門。企業(yè)中的開發(fā)部門由于其業(yè)務(wù)特殊性，對開發(fā)環(huán)境和文檔管理環(huán)境的安全性要求非常高。為了支撐業(yè)務(wù)的飛速拓展，在開發(fā)項目中往往還會牽涉到很多第三方公司和外包項目，甚至于開發(fā)人員需要在任意地點進行辦公，這對開發(fā)系統(tǒng)的安全構(gòu)成了極大的挑戰(zhàn)。因此，需要有一套安全的桌面開發(fā)環(huán)境，能夠讓開發(fā)項目的員工及外包員工在受控的辦公桌面環(huán)境下，進行相關(guān)應用的開發(fā)和調(diào)試，同時能有效保護應用代碼及企業(yè)數(shù)據(jù)的安全。2.4 辦公地點固定化隨著移動互聯(lián)網(wǎng)的技術(shù)潮流，企業(yè)的辦公環(huán)境也不再局限于固定工位，而是需要能夠隨時隨地訪問統(tǒng)一的桌面、應用和數(shù)據(jù)，通過為員工打造桌面隨身行的辦公平臺，可以更好地提升工作效率。但是，傳統(tǒng)PC辦公方式將辦公位置固定化，無法實現(xiàn)桌面環(huán)境與用戶綁定（隨身桌面），影響用戶體驗和工作效率。因此，如何滿足隨時隨地桌面、應用的接入，并兼容各類終端設(shè)備，從而實現(xiàn)移動化價值，是信息化建設(shè)的趨勢?？偠灾?，新型辦公模式衍生出“簡化管理、數(shù)據(jù)安全、移動辦公”三大需求，為了應對桌面運維的挑戰(zhàn)，并更好滿足客戶需求，“瘦終端+云桌面”替換傳統(tǒng)PC勢在必行。第3章 深信服一站式aDesk桌面云方案3.1 虛擬化領(lǐng)域的技術(shù)積累深信服多年前已全面分析了虛擬化的市場趨勢，并預估了虛擬化發(fā)展的大體方向，所以在多年前便開始投入虛擬化產(chǎn)品研發(fā)和進行技術(shù)儲備。首先于2011年發(fā)布EasyConnect應用虛擬化產(chǎn)品，經(jīng)過市場及客戶的全面驗證而極大增強了對應用、桌面虛擬化技術(shù)的深入理解，同時自主研發(fā)了核心SRAP高效傳輸協(xié)議，顯著提升了用戶的訪問體驗；然后又陸續(xù)推出虛擬安全桌面平臺VSP、上網(wǎng)安全桌面SD等不同產(chǎn)品的虛擬化版本，最終對虛擬化相關(guān)技術(shù)有了更深厚的積累，也對資源優(yōu)化、虛擬機架構(gòu)、操作系統(tǒng)底層、安全隔離技術(shù)等有了更深刻的認識。因此，深信服在當前的市場環(huán)境下順勢而發(fā)，推出涵蓋服務(wù)器虛擬化+桌面虛擬化+瘦客戶機一站式aDesk桌面云方案。本文主要講述此方案的和技術(shù)架構(gòu)和產(chǎn)品亮點，通過展示深信服桌面云方案的特點與優(yōu)勢，您將了解到性價比最高、管理最簡化、用戶體驗最佳的虛擬桌面方案，為后期的桌面交付環(huán)境建設(shè)提供一種全新的方案思路。3.2 體系架構(gòu)概述企事業(yè)單位中，不同員工對桌面的需求是不一樣的，有些需要簡易、標準化的桌面，有些需要高性能、個性化的桌面，有些可能僅需通過訪問個別應用程序進行移動辦公。利用深信服SRAP桌面交付技術(shù)可以滿足多種類型的桌面，實現(xiàn)具備靈活性、安全性、可擴展性的一站式桌面云解決方案。 虛擬機管理軟件VMS：將服務(wù)器的CPU、內(nèi)存、磁盤、I/O等硬件資源轉(zhuǎn)換成可以動態(tài)管理的“資源池”，讓一臺服務(wù)器變成幾臺甚至上百臺虛擬服務(wù)器（虛擬機），從而提升服務(wù)器資源利用率，并實現(xiàn)具有透明負載均衡、動態(tài)遷移、故障自動隔離、系統(tǒng)自動重構(gòu)的高可靠服務(wù)器集群環(huán)境。 虛擬桌面控制器VDC：提供桌面用戶認證管理、桌面/應用資源訪問控制、虛擬桌面創(chuàng)建及啟動、桌面監(jiān)控等功能，實現(xiàn)以更低成本、更安全、更可靠地交付Windows桌面；需與VMS協(xié)同工作，并提供軟件和硬件兩種類型。 瘦終端aDesk：外觀小巧精致，采用ARM架構(gòu)和A9芯片，性能強勁，處理速度快。3.3 方案組件說明SANGFOR aDesk桌面云方案以桌面托管的方式實現(xiàn)統(tǒng)一的云桌面平臺，可將任何桌面/應用交付給用戶，并提供最佳的性能、最高的安全性、最低的成本和最強的靈活性。具體需要的方案組件如下：組件名稱具體描述虛擬機管理軟件VMS構(gòu)建一個功能強大、高可靠性、高可擴展性的桌面云基礎(chǔ)技術(shù)平臺，實現(xiàn)對物理資源的完全控制及性能監(jiān)控，實現(xiàn)虛擬機的快速部署、統(tǒng)一桌面資源池管理。并且結(jié)合故障自動遷移、數(shù)據(jù)自動化備份、資源負載均衡等特性實現(xiàn)桌面及數(shù)據(jù)的可用性和高性能，從而構(gòu)建最簡捷、最有效的桌面交付中心。虛擬桌面控制器VDC與VMS協(xié)同工作，提供桌面用戶認證管理、桌面/應用資源訪問控制、虛擬桌面創(chuàng)建及啟動、桌面監(jiān)控等功能，實現(xiàn)以更低成本、更安全、更可靠地交付Windows桌面。不僅能增強控制能力和可管理性，還可以提供與PC一致的桌面體驗，虛擬桌面控制器VDC能簡化虛擬桌面的管理、調(diào)配和部署。用戶能夠通過虛擬桌面控制器VDC安全而方便地訪問虛擬桌面，升級和修補工作都可以集中進行，因此可以有效地管理數(shù)百甚至數(shù)千個桌面，從而節(jié)約時間和資源。瘦客戶機aDeskaDesk瘦客戶機是一種理想的替換傳統(tǒng)桌面PC的設(shè)備，它外形小巧，無噪音運行，日常耗電量僅需10瓦，是真正意義上的經(jīng)濟環(huán)保型電腦。aDesk允許隨時隨地連接深信服桌面云平臺，不僅可獲得與傳統(tǒng)PC一致的訪問體驗，而且提供了額外的安全性和廣泛的可擴展性；同時通過虛擬桌面控制器VDC進行中央管控，極大簡化aDesk瘦客戶機管理工作。VDC與VMS的功能區(qū)別VMS主要提供桌面云方案的基礎(chǔ)架構(gòu)，著重于網(wǎng)絡(luò)基礎(chǔ)設(shè)備、主機、存儲、模板的管理；VDC提供用戶角色、權(quán)限、虛擬機實例、瘦客戶機的管理，主要包括常用的，或具備批量操作特性的用戶相關(guān)功能的管理。3.4 桌面交付模式介紹交付說明： 首先用戶啟動終端設(shè)備上的客戶端應用程序或打開瀏覽器，輸入虛擬桌面控制器VDC的地址/域名跳轉(zhuǎn)至登錄界面，然后在界面上輸入正確的用戶名和密碼進行登錄。 一旦登錄成功，用戶可通過提前分配好的桌面、應用資源自動創(chuàng)建可用的桌面或應用實例，然后將此實例在虛擬化基礎(chǔ)架構(gòu)（VMS）上進行啟動。 最后，虛擬化基礎(chǔ)架構(gòu)（VMS）能夠通過高效傳輸協(xié)議SRAP將桌面/應用界面直接交付給用戶（如圖所示），減少對虛擬桌面控制器VDC的性能壓力；如果是在互聯(lián)網(wǎng)環(huán)境中進行桌面/應用資源交付，則依然需要通過虛擬桌面控制器VDC進行中轉(zhuǎn)，以保證傳輸安全性。3.5 桌面云方案價值體現(xiàn) 運維成本大幅降低桌面云的應用將極大的減少后期的運維成本，采用模板化的部署方式后，一個新的桌面用戶可以在10分鐘左右就完成交付使用，而故障的排查和修復時間更是大幅度減少，原來只能管理100臺終端的管理員，現(xiàn)在可以輕松的管理上千臺的虛擬桌面。保守估計，算上設(shè)備更替和運維的成本，5年的IT總成本可以節(jié)省40%以上。 節(jié)能降噪，綠色辦公傳統(tǒng)PC每小時耗電量大概在190W左右，而瘦終端的能耗只有10W。以1000臺的部署規(guī)模為例，按一天開機10小時、每年240個工作日、每度電按0.75元的工商業(yè)用電價格來折算，即使算上數(shù)據(jù)中心新增服務(wù)器的電力成本，把1000臺PC換成瘦終端每年至少可節(jié)省25萬元電費。 保護信息資產(chǎn)安全桌面云將所有的數(shù)據(jù)集中存儲在數(shù)據(jù)中心，筆記本、瘦終端等前端設(shè)備只接收圖像，整個業(yè)務(wù)過程里數(shù)據(jù)不落地，確保安全。而集中化的部署方式也更有利于IT部門對信息資產(chǎn)進行統(tǒng)一管理。不僅如此，桌面云還能夠輕易的在組織內(nèi)部建立起相互邏輯隔離的多張網(wǎng)絡(luò)、來滿足不同類型業(yè)務(wù)的使用需求。 桌面隨身行辦公模式適應移動信息化建設(shè)趨勢，在策略許可的情況下，用戶可以實現(xiàn)在任意時間、任意地點、通過任意終端訪問自己的個人桌面，真正做到桌面隨身行，在任一終端上的桌面操作可以在另一個終端中繼續(xù)開展，從而提升員工的工作效率。第4章 產(chǎn)品精彩亮點解析4.1 良好用戶體驗4.1.1 高清視頻體驗深信服桌面云方案允許在虛擬桌面中查看或編輯圖像和多媒體信息，且可以支持1980*1200分辨率和32位彩色桌面顯示。另外，傳統(tǒng)桌面虛擬化方案在播放高清視頻時主要采用服務(wù)器解碼和播放，然后將變化中的圖像按幀傳輸給前端顯示設(shè)備，但這種方式對服務(wù)器性能要求高，且非常占用帶寬資源，往往效果不好。而深信服提出音視頻重定向技術(shù)，將1080P高清視頻流在服務(wù)器上進行編碼和壓縮，然后直接傳輸?shù)角岸嗽O(shè)備，利用基于高清視頻處理器和本地解碼技術(shù)流暢地播放高清視頻，給客戶帶來極佳的視頻觀看體驗。4.1.2 高效SRAP協(xié)議云桌面需要通過網(wǎng)絡(luò)交付給前端設(shè)備，其中最重要的組成部分就是桌面交付協(xié)議。SANGFOR SRAP協(xié)議發(fā)展于2011年，是專門為虛擬桌面或遠程應用程序的高效交付而設(shè)計的，能夠滿足低帶寬的傳輸需求，同時具有最佳的外設(shè)兼容性。SRAP協(xié)議主要通過高效流式壓縮算法、有損壓縮、圖像緩存匹配、動態(tài)內(nèi)容識別過濾、文字圖像識別智能壓縮等優(yōu)化技術(shù)提升6倍以上的傳輸效率。最低帶寬要求僅需2030K/s，在丟包和延遲都比較高的網(wǎng)絡(luò)環(huán)境下依然能夠正常使用，最大程度保障用戶桌面體驗。4.1.3 單點登錄技術(shù)客戶有可能使用多個虛擬應用程序或Windows虛擬桌面，而每套應用系統(tǒng)或桌面系統(tǒng)都會有單獨的身份認證措施，一般情況下是需要多次認證才能正常辦公，這種工作非常繁瑣且容易出錯，影響工作效率。為了提升終端用戶的滿意度，深信服引入單點登錄技術(shù)，在通過VDC嚴格認證之后，無需再次進行虛擬應用和虛擬桌面的認證，采用“一鍵化”模式開啟桌面和應用的操作界面。目前支持BS和CS類型的遠程應用和Windows虛擬桌面的單點登錄功能，實現(xiàn)多系統(tǒng)和多桌面整合，避免用戶重復輸入賬號或口令的繁瑣操作，提升員工工作效率和操作滿意度。同時，對已經(jīng)開啟了單點登錄的虛擬應用程序，用戶可在登錄成功后在個人設(shè)置中對這些應用進行單點登錄帳號、密碼自設(shè)定，所設(shè)置的數(shù)據(jù)將以加密的方式進行傳遞，并對管理員不可見，保證用戶帳號的安全性。4.1.4 自動化桌面部署在DHCP環(huán)境下，用戶使用瘦終端，可在無人指導的情況下，快速接入云桌面，實現(xiàn)即插即用的終端操作體驗。另外，相對傳統(tǒng)PC上線前需要經(jīng)過硬件采購、系統(tǒng)安裝、桌面運維等一系列的繁瑣、復雜的過程，在部署好桌面云平臺之后，管理員可以通過虛擬機模板來快速、自動地為新用戶派生虛擬桌面，同時管理員不僅可在控制臺查看用戶虛擬機的CPU、內(nèi)存、磁盤的詳細情況，還可以對用戶虛擬機進行開機、關(guān)機、掛起、重啟等電源級別操作。當用戶虛擬機出現(xiàn)故障后，管理員既可以通過新的虛擬機模板進行快速替換，也可以在控制臺遠程接入用戶虛擬桌面，協(xié)助處理系統(tǒng)故障問題。4.2 最優(yōu)的靈活性4.2.1 廣泛終端支持用戶可以通過任意終端設(shè)備來訪問屬于自己的個人虛擬桌面，而且可以實現(xiàn)終端遷移功能，在多個終端間切換，不會影響原先的桌面操作行為，真正做到桌面隨身行。目前支持PC、筆記本、瘦終端、iPad、iPhone、Android手機或智能終端等設(shè)備接入訪問虛擬桌面；支持Windows 7（32位和64位）、Windows XP（32位）、Windows 8（32位和64位）、Windows XPE、iOS、Android等客戶端操作系統(tǒng)。4.2.2 豐富的桌面類型不同的場景、不同的崗位上的員工需要不同類型的桌面，深信服通過SRAP交付技術(shù)提供多種不同類型的虛擬桌面，來滿足用戶多樣化的桌面需求，具體如下：共享桌面：利用服務(wù)器操作系統(tǒng)的多用戶會話共享功能，允許多個用戶同時遠程連接到同一個操作系統(tǒng)，并為每個用戶提供不同的桌面，用戶可擁有自己的桌面配置和個人數(shù)據(jù)，并共享同一套完整的桌面系統(tǒng)；標準化的桌面辦公環(huán)境，可以提供一組核心應用，適用于不需要（不允許）個性化安裝軟件或無自主桌面控制權(quán)限的任務(wù)型員工，比如辦事大廳、職能辦公、生產(chǎn)線、培訓中心等。遠程應用：利用服務(wù)器操作系統(tǒng)的用戶會話共享和應用程序多實例功能，允許多個用戶同時遠程連接到同一個應用程序，用戶可擁有自己的應用配置和個人數(shù)據(jù)，并共享同一套應用程序；特定的應用程序交付，適合于應用數(shù)量較少，日常辦公時僅需操作某幾類軟件，或需要移動辦公的員工，如營業(yè)廳、生產(chǎn)線、銷售部門及管理層移動辦公等。獨享桌面：基于服務(wù)器虛擬化提供的可遠程訪問的桌面，即服務(wù)器可以根據(jù)模板自動為每用戶分配一個虛擬機（安裝Windows XP、Windows 7等桌面操作系統(tǒng)，并且每個獨享桌面相互隔離），用戶遠程訪問自己的虛擬機，并可擁有獨立、完全的桌面使用和控制權(quán)限。適用于有系統(tǒng)個性化需求、對性能要求高的桌面用戶，當然部署獨享桌面對服務(wù)器和存儲資源的要求比較高。無論企業(yè)內(nèi)的各種用戶應用場景以及用戶的需求如何多樣化，通過SRAP交付技術(shù)，總能找出一種適合的技術(shù)來滿足各種場景和用戶的需求。IT部門能夠交付各種虛擬桌面 每種桌面都經(jīng)過專門定制，可滿足每位用戶的性能、安全性和靈活性要求。4.2.3 外設(shè)的總線映射技術(shù)深信服桌面云方案允許將外設(shè)連接到終端上，外設(shè)驅(qū)動安裝于服務(wù)器上，然后可以如本地桌面一樣使用各種外設(shè)，盡管虛擬桌面是在服務(wù)器上運行的。通過總線映射技術(shù)在終端連接外設(shè)的接口如USB或串口與服務(wù)器上的虛擬桌面構(gòu)建一條專有的隧道，用于傳輸各種外設(shè)的控制指令，可以支持包括掃描槍、掃描儀、攝像頭、密碼小鍵盤、二代身份證讀卡器、手寫板、打印機映射、USB-key等常見總線辦公設(shè)備，并且保持會話間的隔離。另外，深信服推出專有的虛擬打印技術(shù)，通過在服務(wù)端選擇SANGFOR虛擬打印機，在客戶端本地打印機即可打印文件，且服務(wù)器端的虛擬機上無需安裝本地打印機驅(qū)動。4.2.4 智能開關(guān)機智能開關(guān)機能夠真正實現(xiàn)對用戶虛擬桌面開、關(guān)機進行自動控制。即使瘦終端已經(jīng)關(guān)閉，用戶可能會忘記關(guān)閉位于服務(wù)器上的虛擬機，此時便可以實現(xiàn)對虛擬機的自動關(guān)閉功能，從而可以節(jié)省服務(wù)器的硬件資源。同時，通過軟件內(nèi)置的定時開機功能，可以指定在任意時間開啟個人的虛擬機，且開機時可將用戶虛擬機自動調(diào)度至資源充足的服務(wù)器上，一方面通過此技術(shù)可以避免IO風暴，加快系統(tǒng)登錄時間，另一方面，通過自動化技術(shù)來簡化用戶訪問虛擬桌面的操作步驟，讓用戶體驗到簡約、便捷的桌面操作。4.3 端到端安全設(shè)計虛擬桌面從防范非法用戶和惡意系統(tǒng)管理員的角度進行全方位的安全防范，保證接入虛擬桌面的用戶和數(shù)據(jù)高度安全性，深信服aDesk桌面云方案集成了豐富的VPN安全特性，針對各分層采用安全措施具體如下：4.3.1 終端安全采用精簡加固基于Android OS，瘦客戶機無本地存儲，可以說數(shù)據(jù)總是存放在最安全的地方。用戶接入虛擬桌面資源時通過合法性認證、USB靈活可控策略、應用策略化控制、還原模式等方式保證終端安全。 集成本地認證、短信認證、動態(tài)令牌、數(shù)字證書、第三方認證等身份認證機制，而且多種身份認證方式可以自由組合，以確保接入用戶的身份唯一性； 基于靈活策略設(shè)置USB端口使用權(quán)限，比如是否允許使用USB設(shè)備（包括打印機、掃描儀等），還可以靈活控制USB硬盤的單向使用權(quán)限（比如僅允許訪問終端往虛擬桌面拷貝數(shù)據(jù)，而不允許桌面到終端的數(shù)據(jù)拷貝）； 基于策略的訪問控制：可以根據(jù)用戶、網(wǎng)絡(luò)、服務(wù)、設(shè)備、系統(tǒng)等，通過關(guān)聯(lián)的策略為他們分配合適的訪問權(quán)限。支持客戶端安全檢查功能，可以根據(jù)客戶接入終端的系統(tǒng)版本、接入IP，接入時間，殺毒軟件的安裝更新情況等，指定用戶的訪問控制策略； 桌面注銷時還原至原始狀態(tài)，該模式下，除了指定的一些目錄外，用戶所做的操作都會在重啟后被還原。模板升級后，用戶重新打開的虛擬機包含模板升級的內(nèi)容，可以降低終端中毒風險。4.3.2 傳輸安全通過VLAN隔離，并內(nèi)置企業(yè)級防火墻模塊進行狀態(tài)化ACL訪問控制，管理員登錄時采用HTTPS加密傳輸、用戶訪問虛擬桌面采用傳輸加密等手段，保證業(yè)務(wù)運行和維護安全。 終端到虛擬桌面之間僅傳輸圖像變化和指令信息，不直接傳輸實際數(shù)據(jù)，也即是說，“瘦終端+云桌面”讓數(shù)據(jù)不落地，保障傳輸安全性； 可對傳輸加密通道進行基于IP、服務(wù)的訪問控制策略，減少異常流量的傳輸，且支持同一傳輸通道不同會話的隔離控制，包括存儲會話、虛擬打印會話、總線映射會話等等，從而提升傳輸通道的靈活度； 通過對終端到虛擬桌面進行全程流量加密，杜絕中間人攻擊行為，目前支持AES、DES、3DES、MD5、SHA、DH、RSA等算法，并且支持擴展國密辦SCB2（SM1）等其他加密算法，確保通信的安全性； 在桌面云接入平臺上內(nèi)置了企業(yè)級防火墻模塊，通過靈活的ACL訪問控制策略和DDoS設(shè)置，為整個平臺提供狀態(tài)包過濾和基本安全保護。4.3.3 平臺安全虛擬化基礎(chǔ)架構(gòu)（VMS）的安全性關(guān)系到整個虛擬桌面訪問的穩(wěn)定性和數(shù)據(jù)安全性，本方案首先通過高可用性設(shè)計滿足業(yè)務(wù)穩(wěn)定性需求，然后再通過虛擬機隔離、數(shù)據(jù)盤加密控制、管理員權(quán)限細化等安全機制保證用戶數(shù)據(jù)的安全。 在獨享桌面的情況下，每用戶獨占一個虛擬機，通過VMS底層機制實現(xiàn)CPU調(diào)度、內(nèi)存、網(wǎng)絡(luò)訪問、磁盤IO、存儲空間的隔離，用戶虛擬機的故障和安全問題不會影響到其他用戶，保證虛擬機之間的隔離安全； 每用戶都會分配個人數(shù)據(jù)盤來存放文檔，當用戶遷移至虛擬桌面的使用模式后，所有數(shù)據(jù)都集中存儲于數(shù)據(jù)中心。因此，通過為個人數(shù)據(jù)盤進行加密存儲，讓其他用戶包括管理員都無法訪問，可以保證用戶個人穩(wěn)私安全； 不同管理員角色，授予合適的管轄權(quán)限范圍，并保存操作日志。支持分級管理權(quán)限，包括上級管理員有權(quán)操作下級管理員的配置行為，相反則無權(quán)；支持上級管理員將虛擬桌面資源授權(quán)給下級管理員。通過終端安全、傳輸安全、平臺安全三大層次的端到端、多方位安全機制，可以完善保障用戶接入安全、數(shù)據(jù)安全、管理安全、虛擬化安全、基礎(chǔ)設(shè)施安全等多個建設(shè)環(huán)節(jié)，輕松應對虛擬桌面在建設(shè)過程中所面臨的安全威脅及挑戰(zhàn)。4.4 最低的IT總體成本4.4.1 高效率、低能耗瘦終端深信服aDesk瘦終端是一種理想的桌面設(shè)備，它外形小巧，無噪音運行，日常耗電量僅需10瓦，經(jīng)濟環(huán)保。aDesk允許隨時隨地連接SANGFOR虛擬桌面平臺，不僅可獲得與傳統(tǒng)PC一致的訪問體驗，而且提供了可靠的安全性；同時通過虛擬桌面控制器VDC進行中央管控，極大簡化aDesk瘦終端管理工作。深信服aDesk瘦終端適用于金融、運營商、企業(yè)、政府、教育、醫(yī)療等行業(yè)的多種辦公場景，故障排除、軟件安裝和系統(tǒng)升級都在服務(wù)器端完成，提高了安全性和管理的便捷性，并為企業(yè)節(jié)約了大量的IT 投資。4.4.2 內(nèi)存頁合并技術(shù)在桌面云的建設(shè)方案中，服務(wù)器的投資占較大比例，硬件資源的節(jié)省可降低整套方案的投資成本，更好地推動云桌面應用模式的落地。因此，深信服創(chuàng)新性地提出內(nèi)存頁合并技術(shù)，因為我們發(fā)現(xiàn)，一臺服務(wù)器承載了幾十臺甚至上百臺用戶虛擬機，但這些虛擬機都有相同的只讀內(nèi)存頁面，比如操作系統(tǒng)執(zhí)行代碼等，針對相同的頁面，深信服內(nèi)存頁合并技術(shù)實現(xiàn)內(nèi)存區(qū)域的共享，從而發(fā)揮內(nèi)存的最大效率，節(jié)省服務(wù)器的物理內(nèi)存空間，提升用戶虛擬機的部署密度。通過實際測試數(shù)據(jù)表明，此技術(shù)至少可以節(jié)省20%服務(wù)端成本。4.4.3 鏡像分離和IO加速一般情況下，每個用戶的虛擬桌面和個人數(shù)據(jù)都是獨占一份存儲空間，其實大家都可能使用的是同一套Windows操作系統(tǒng)，無非就是應用程序和個人數(shù)據(jù)不同而已。因此，深信服aDesk桌面云方案將操作系統(tǒng)鏡像和個人數(shù)據(jù)（包含應用程序）進行分離，通過模板化系統(tǒng)鏡像技術(shù)實現(xiàn)集中化、快速的桌面交付，此技術(shù)不僅可節(jié)省存儲空間，而且管理員只需維護同一操作系統(tǒng)鏡像，日常系統(tǒng)升級、軟件更新將會非常高效，工作量較少。另外，由于多用戶共享同一套模板鏡像，可以利用服務(wù)器的內(nèi)存或緩存卡進行重復數(shù)據(jù)IO加速，能夠消除相同OS類型的桌面同時啟動時的重復IO，以提升虛擬桌面啟動速度和運行效率。4.4.4 桌面服務(wù)器群集設(shè)計如上圖所示，在每臺X86服務(wù)器上安裝虛擬機管理軟件VMS，通過VMS軟件可為虛擬桌面平