集成應用解決方案介紹

1、 集成應用解決方案ArrayNetworks (Beijing) Inc中國北京朝陽區(qū)霄云路26號鵬潤大廈A座2308室 郵編：100016電話 Tel:(010)84580500 傳真 Fax:(010) 84580560集成應用解決方案利用Array SSL VPN安全部署用友ERP/NC應用Array Networks,Inc應用類型：用友ERP/NC產(chǎn)品：Array SSL VPN SP摘要：為領先于競爭對手，許多組織正大力提高雇員的生產(chǎn)力。通過Internet部署用友ERP/NC應用是重要舉措之一；同時允許雇員隨時訪問重要的業(yè)務資源，這也是提高生產(chǎn)力的關鍵。要在任何時間及任何地點進行

2、訪問，需要部署有助于雇員保持聯(lián)網(wǎng)及保證安全的網(wǎng)絡。Array Networks通過先進的通用安全訪問解決方案（SSL VPN解決方案），為組織提供安全且靈活的資源訪問平臺。本解決方案概述了如何通過Array Networks的SSL VPN解決方案安全且靈活的部署用友ERP/NC應用。用戶有責任遵守所有適用的版權法。在不限制版權許可的權利的前提下，未經(jīng)Array Networks,Inc 的明確書面許可，無論出于何種目的，均不得以任何形式或借助任何手段（包括電子、機械、影印、錄制或其它形式）復制或傳播本文檔的任何部分或全部、或者將其存儲或引入檢索系統(tǒng)。Array Networks,Inc的專利

3、、專利申請、商標、版權或其他知識產(chǎn)權可能涉及本文檔中的版權問題。除非 Array Networks,Inc的書面許可協(xié)議作出了明確規(guī)定，提供本文檔并不意味著賦予您這些專利、商標、版權或其他知識產(chǎn)權的任何許可。 Array Networks,Inc。保留所有權利。本文中提及的實際的公司和產(chǎn)品名稱可能是其各自所有者的商標。目錄TOC o 1-3 h z u HYPERLINK l _Toc133330920 一.應用概述 PAGEREF _Toc133330920 h 4 HYPERLINK l _Toc133330921 二.應用部署的挑戰(zhàn)和安全需求 PAGEREF _Toc133330921

4、h 5 HYPERLINK l _Toc133330922 三.解決方案 PAGEREF _Toc133330922 h 7 HYPERLINK l _Toc133330923 四.業(yè)務優(yōu)勢 PAGEREF _Toc133330923 h 12應用概述用友ERP/NC是國家863計劃“新一代ERP”的領航產(chǎn)品，為中國集團企業(yè)和企業(yè)集團提供了個性化的經(jīng)營管理平臺，它是全面基于J2EE技術體系，采用B/S架構，按“協(xié)同商務、集中管理”管理理念設計的產(chǎn)品。NC的目標客戶主要為集團企業(yè)和企業(yè)集團，它是中國第一個集團級的高端ERP產(chǎn)品，提供面向互聯(lián)網(wǎng)時代電子商務需要的集團管理解決方案，包括：1、集團財務

5、管理2、集團分銷業(yè)務管理3、集團采購業(yè)務管理4、集團資產(chǎn)管理5、集團人力資源管理6、集團客戶關系管理7、集團知識管理與辦公自動化8、集團戰(zhàn)略與績效管理用友ERP/NC應用的技術特點包括：J2EE技術體系B/S多層結構跨操作系統(tǒng)平臺，WINDOWS、UNIX、LINUX跨數(shù)據(jù)庫平臺，適配SQL SERVER 、ORACLE、 DB2等工作流平臺預警平臺動態(tài)會計平臺自定義查詢、動態(tài)報表基于XML技術的系統(tǒng)集成平臺模型化設計，提供表單、查詢、賬表、打印模板數(shù)據(jù)字典支持提供動態(tài)企業(yè)建模和基于企業(yè)參考模型的快速客戶化工具多組織模型支持國際化支持應用部署的挑戰(zhàn)和安全需求NC的核心管理理念是“協(xié)同商務、集中

6、管理”。協(xié)同商務“協(xié)同商務”是指集團企業(yè)各組織間以及企業(yè)與供應商、客戶、合作伙伴在信息共享的基礎上協(xié)同工作。在集團企業(yè)內(nèi)部各工廠、分銷、物資等部門之間的業(yè)務計劃、流程、資源的協(xié)同。企業(yè)間協(xié)同包括供應鏈計劃協(xié)同和計劃執(zhí)行監(jiān)控，通過整個供應鏈資源和計劃的協(xié)調(diào)，形成整體供應鏈協(xié)同計劃，依托于供應鏈協(xié)同計劃，驅(qū)動從下游企業(yè)到制造企業(yè)再到上游企業(yè)的物流的順暢和反向資金流，以實現(xiàn)供應鏈的協(xié)同運作，實現(xiàn)整個供應鏈的價值增值。集中管理 “集中管理”不僅是數(shù)據(jù)管理的集中，而是在數(shù)據(jù)集中的基礎上實現(xiàn)資源和業(yè)務的集中管理和監(jiān)控，例如集中財務核算與資金管理、集中庫存管理、集中采購管理、網(wǎng)絡分銷等。今天，企業(yè)局部的、分

7、散的系統(tǒng)到處存在，維護成本居高不下，業(yè)務流程難以協(xié)調(diào)一致，管理數(shù)據(jù)支離破碎。企業(yè)需要構建一個集中管理、協(xié)同商務平臺。通過Internet部署集團管理解決方案時，要貫徹“協(xié)同商務、集中管理”的理念，必須解決好以下的問題：安全發(fā)布NC應用越來越多的集團客戶在部署ERP時需要借助Internet。集團客戶的分支機構眾多，實現(xiàn)各分支機構之間的互連互通的最佳方案是通過無處不在的Internet；移動商務的發(fā)展使得集團客戶需要考慮外出辦事或出差的員工通過Internet對企業(yè)內(nèi)部系統(tǒng)訪問的需求。但是，企業(yè)ERP系統(tǒng)涉及企業(yè)的商業(yè)機密和數(shù)據(jù)安全性問題，在實現(xiàn)基于Internet的用友NC應用發(fā)布時必須考慮數(shù)

8、據(jù)的安全性和訪問的合法性，因此建設集團客戶NC系統(tǒng)時，存在以下幾個安全方面的需求：需要保障NC數(shù)據(jù)傳輸?shù)陌踩詫Ω魇褂谜叩脑L問的合法性和操作合法性進行檢查記錄各個用戶的操作，便于查詢和核實保護NC系統(tǒng)的安全性，避免惡性攻擊或者病毒感染更重要的，在獲得安全性的同時不能犧牲應用的性能集中管理用戶和安全策略用友NC的核心概念之一是“集中管理”，其中不僅涉及到對企業(yè)數(shù)據(jù)、資源、業(yè)務的集中管理和監(jiān)控，而且應該包含對應用使用者的身份、權限和安全策略的集中管理。在現(xiàn)代企業(yè)管理的理念下，集團各種信息系統(tǒng)越來越趨向于集中化，集團IT部門需要解決包括NC應用在內(nèi)的多系統(tǒng)的用戶管理分散的問題，實現(xiàn)對使用者的用戶名、

9、口令和權限的統(tǒng)一集中管理，并且盡量實現(xiàn)一套用戶名/口令即可對多個應用系統(tǒng)進行訪問的單點登錄操作。NC應用使用者多數(shù)來自Internet（包括分支機構、移動人員、合作伙伴等等），地理位置雖然分散，但整體的安全策略卻需要統(tǒng)一制定和管理，涉及到的安全策略包括：客戶端的位置客戶端的安全配置客戶端安全操作客戶端證書簽名適應供應鏈各環(huán)節(jié)的需求集團業(yè)務的供應鏈包括供應商、企業(yè)自身、合作伙伴、客戶，企業(yè)內(nèi)部又分為工廠、分銷、物資等部門，他們都會與ERP系統(tǒng)發(fā)生聯(lián)系。這些NC應用的使用者所處的環(huán)境和需求大不一樣：業(yè)務關注點不同使用習慣不同訪問速度不同安全環(huán)境和策略不同審美和喜歡不同集團客戶在部署NC應用時，除了

10、完成基本的功能開通外，還應考慮如何為各類不同使用者創(chuàng)造個性化服務。方便NC用戶使用NC應用的使用者類型多樣，由于各類使用者從事的行業(yè)不同，IT操作水平差距大；終端使用的訪問設備不同（PC、筆記本、PDA等等）；而且分布地域廣泛，因此解決以上需求時，必須同時考慮以下幾個問題：提供易于操作的界面，便于用戶迅速上手對客戶端的沒有預安裝客戶端軟件的要求必須能穿透各企業(yè)的Firewall或者Proxy設備總結：關鍵的挑戰(zhàn)和需求具體描述安全發(fā)布NC應用NC應用涉及企業(yè)的商業(yè)機密和數(shù)據(jù)安全性問題，在實現(xiàn)基于Internet的NC應用發(fā)布時必須考慮數(shù)據(jù)的安全性和訪問的合法性。集中管理用戶和安全策略集團IT部門

11、需要實現(xiàn)對使用者的用戶名、口令和權限的統(tǒng)一集中管理，并且盡量實現(xiàn)單點登錄操作；NC應用使用者多數(shù)來自Internet，地理位置雖然分散，但整體的安全策略卻需要統(tǒng)一制定和管理。適應供應鏈各環(huán)節(jié)的需求NC應用的使用者所處的環(huán)境和需求大不一樣，集團客戶在部署NC應用時，應考慮如何為各類不同使用者創(chuàng)造個性化服務。方便NC用戶使用NC應用的使用者類型多樣化的特點要求集團客戶必須考慮使用者的操作方便性和易部署、易維護等需求解決方案最適合NC應用集團客戶需求的解決方案是基于SSL協(xié)議的通用安全訪問解決方案，既Array SSL VPN解決方案。Array Networks公司與用友公司合作，在現(xiàn)有用友ERP

12、/NC應用體系中，利用Array Networks SSL VPN解決方案，支持B/S架構的NC應用，最大程度的簡化和加快NC應用的實施和部署，給用戶提供便捷的通用安全訪問方案，實現(xiàn)用友公司所提倡的“協(xié)同商務、集中管理”的核心管理理念，幫助用戶建立與信息系統(tǒng)之間的高效安全通路，讓客戶在任何時間、任何地點、在任何設備上，通過任何形式的網(wǎng)絡連接，高效獲取各種資源、信息及數(shù)據(jù)，真正實現(xiàn)應用和信息的價值，并且為當前與未來的IT服務帶來更佳的可控性、靈活性和更多的價值?；赟SL協(xié)議的通用安全訪問解決方案具有以下幾個特點：可以實現(xiàn)高強度數(shù)據(jù)加密，保護數(shù)據(jù)在傳輸過程中不被竊?。恢С挚蛻舳俗C書的認證，并可以

13、和USB Key結合使用，唯一的鑒定每一個使用者的合法性支持多種認證方式，提供對NC應用訪問的合法性檢查；支持多種授權方式，保護企業(yè)的商業(yè)機密數(shù)據(jù)只能被“正確”的用戶訪問支持多層安全控制機制，保護后臺服務器的安全性；不需要安裝任何客戶端程序，所有訪問操作都通過瀏覽器實現(xiàn)，因此非常方便用戶使用；可以透明穿透Firewall或者Proxy設備；在用友NC應用的解決方案體系中，Array SSL VPN解決方案介于終端使用者和NC應用系統(tǒng)之間，利用多種應用安全技術，實現(xiàn)NC應用的通用安全訪問。應用層次結構圖如下： SKIPIF 1 0 Array SSL VPN解決方案與NC應用的結合體現(xiàn)在以下幾個

14、方面：對NC應用的支持NC雖然是B/S架構的應用，但由于廣泛利用了JavaApplet技術，因此傳統(tǒng)的SSL VPN產(chǎn)品無法全面支持NC應用；Array SSL VPN具有支持復雜應用的能力，通過以下兩種方式可以全面支持NC應用。（1）CliengAPP模式：通常，通過JavaApplet實現(xiàn)的應用系統(tǒng)的訪問都是通過幾個固定TCP端口，對于這幾個TCP端口，Array SSL VPN啟動ClientAPP功能時，客戶端將下載JavaApplet將作為TCP PROXY運行在客戶端，它偵聽客戶端的特定ERP TCP端口的請求，并把請求通過SSL連接發(fā)給Array SSL VPN, Array S

15、SL VPN將終結SSL連接并和內(nèi)網(wǎng)的應用服務器建立連接，發(fā)送請求。（2）L3 VPN模式：此項功能是在客戶端和SSL VPN之間通過SSL的連接建立一條虛擬通道，客戶端將會生成一個虛擬網(wǎng)卡，并修改本機的路由表。這樣，客戶端虛擬網(wǎng)卡上就會配備一個和內(nèi)網(wǎng)地址體系一致的網(wǎng)址，并通過這條虛擬通道直連到內(nèi)網(wǎng)，就好像客戶端機器在內(nèi)部一樣。保護NC應用的安全性NC應用通過Internet進行部署必須考慮防范無孔不入的黑客攻擊，Array SSL VPN是一個基于狀態(tài)的安全代理網(wǎng)關，可以抵御SYN-FLOOD攻擊（通過SYN-Cookies技術）Smurf攻擊、碎片攻擊和DoS攻擊等惡意行為，具有整體狀態(tài)數(shù)

16、據(jù)包檢測和單數(shù)據(jù)包攻擊防護等功能。Array SSL VPN還是一個基于狀態(tài)的安全代理網(wǎng)關，可以實現(xiàn)四到七層防火墻功能，可以支持上千條訪問控制列表，同時性能消耗不到1；可以設置靈活的七層訪問控制，包括檢測七層包頭中的關鍵字和包長度等，通過這些訪問控制，可以保護后臺服務器免受非法訪問或者攻擊。虛擬化技術滿足供應鏈各個環(huán)節(jié)的成員的不同使用要求的最好方法就是通過Array虛擬化技術為他們開放不同的訪問門戶，并設定不同的用戶管理和安全策略。Array Networks是全球唯一一家支持真正的虛擬化技術的SSL VPN廠家，可以幫助集團客戶實現(xiàn)NC應用的個性化部署。Array SSL VPN支持多達25

17、6個獨立的虛擬站點（VS），可以實現(xiàn)多個獨立的可管理的門戶，集團客戶可應用虛擬化技術為不同NC用戶建立隔離的資源訪問體系。統(tǒng)一認證授權集團客戶在部署NC應用后，必須能夠管理使用者的用戶名、口令和權限，并且盡量實現(xiàn)單點登錄操作。Array SSL VPN作為安全網(wǎng)關，可以完成用戶接入的統(tǒng)一認證授權，支持SecurID, LDAP, RADIUS, LocalDB等多種認證方式；可以靈活控制分層認證，方便認證擴展。Array SSL VPN還可以控制用戶訪問，可以按特定用戶、組、位置或所請求的數(shù)據(jù)進行分組授權設置，支持外部LDAP、Radius組映射對用戶組授權。Array SSL VPN有多種方

18、式實現(xiàn)一次性登錄，包括：由SPX完成集中認證授權后臺系統(tǒng)支持基礎的HTTP認證或者NTLM認證SPX通過X-SSO向后臺傳送已登錄的用戶名客戶端安全策略通過Internet部署NC應用后，由于訪問的各類客戶端來自不同地方，甚至屬于不同企業(yè)，因此原本在一個企業(yè)內(nèi)網(wǎng)中采用的為每個PC預裝防火墻+防病毒的安全管理策略顯然不再適用。Array SSL VPN可以幫助集團客戶遠程對客戶端的安全屬性進行管理，保護NC應用不受非法訪問或操作。Array SSL VPN支持全面的客戶端安全完整性檢查，包括對客戶端的接入權限的檢查；確定客戶端的屬性或訪問級別；檢查客戶端安全軟件配置等等。數(shù)據(jù)加密和PKI體系通過

19、Internet部署NC應用，必須考慮數(shù)據(jù)傳輸?shù)陌踩珕栴}，因此SSL加密是最好的解決方案，但當客戶需要通過SSL方式發(fā)布應用時，處理性能和速度始終是一大難題；Array SSL VPN可以幫助客戶實現(xiàn)高效的SSL加密：Array SSL VPN采用基于專用硬件卡加速的SSL加密技術，并結合軟件上的內(nèi)核處理設計，可以實現(xiàn)業(yè)界最佳的SSL處理性能。ARRAY SSL VPN的證書管理完全符合PKI體系：支持X.509 標準協(xié)議。支持客戶端證書認證。支持Certificate Revocation List (證書撤銷列表)支持intermediate CA Certificate支持與各種存儲數(shù)字

20、證書的USB Key的互操作NC應用的集團用戶可以向國內(nèi)的合法CA機構申請數(shù)字證書，并為每個使用者也申請客戶數(shù)字證書，將它們存儲在USB Key中，分發(fā)給各個用戶。用戶在需要訪問NC應用時，只需要將USB Key插在一臺電腦上，啟動瀏覽器訪問URL，存儲在內(nèi)的數(shù)字證書就會自動傳遞給Array SSL VPN；Array SSL VPN會檢查該證書是否由合法CA頒發(fā)，或者結合證書中的某些字段，確認用戶的身份。通過這種方式，結合用戶名/口令認證，實現(xiàn)了雙因素認證，大大提供了系統(tǒng)的整體安全性。Array SSL VPN解決方案的部署示意圖如下： SKIPIF 1 0 在Array SSL VPN連接

21、Intranet/Internet的一側是不安全的網(wǎng)絡，因此任何NC應用客戶都需要通過SSL的方式才能訪問NC應用，通過SSL協(xié)議，所有訪問數(shù)據(jù)都被加密傳輸；在Array SSL VPN連接局域網(wǎng)的一側是相對安全的網(wǎng)絡，因此Array SSL VPN和后臺NC服務器之間的通信可以采用標準的HTTP協(xié)議，傳送明文數(shù)據(jù)?？偨Y：關鍵的挑戰(zhàn)和需求解決方案描述安全發(fā)布NC應用通過SSL協(xié)議加密ERP數(shù)據(jù)，保護數(shù)據(jù)傳輸安全；通過ClientAPP或者L3 VPN支持NC應用；Reverse Proxy和應用層防火墻保護NC應用系統(tǒng)安全。集中管理用戶和安全策略Array SSL VPN支持多種認證授權方式，

22、可以對NC用戶進行統(tǒng)一用戶管理，并可以和后臺服務器完成單點登錄操作；通過客戶端安全檢查等手段，Array SSL VPN可以幫助NC集團客戶遠程對客戶端的安全屬性進行管理，保護NC應用不受非法訪問或操作；Array SSL VPN支持完善的PKI證書管理操作。適應供應鏈各環(huán)節(jié)的需求虛擬化技術可以幫助NC集團客戶為不同的供應鏈使用者建立個性化服務門戶，并根據(jù)使用者的特點設定不同的安全策略和認證授權方式。方便NC用戶使用SSL VPN是典型的無客戶端解決方案，所有訪問操作都通過瀏覽器實現(xiàn)，因此非常方便用戶使用；SSL VPN可以透明穿透Firewall或者Proxy設備，對系統(tǒng)的整體部署非常方便簡單。業(yè)務優(yōu)勢Array SSL VPN解決方案可以為用友ERP/NC的集團客戶帶來以下業(yè)務優(yōu)勢：隨時隨地的安全訪問：基于瀏覽器的通用安全訪問解決方案，實現(xiàn)對NC應用的便捷訪問保護核心數(shù)據(jù)：通過SSL加密，避免ERP核心數(shù)據(jù)泄露加快業(yè)務流程速度：基于用戶的身份驗證和權限管理，讓供應商和合作伙伴實現(xiàn)安全受限的NC訪問；實現(xiàn)從IT層面整合供應鏈管理降低管理成本：無客戶端的解決方案，集中控制管理保護NC核心系統(tǒng)：基于代理的架構、應用層的防火墻和客戶端的安全檢測，提供最佳的安全保護組合系統(tǒng)的集中部署和管理： ArrayNetworks的解決方案中，系統(tǒng)管理員可單點控制整個