桌面及应用虚拟化与海关对外接入模式改进探讨_桌面虚拟化发展现状

桌面及应用虚拟化与海关对外接入模式改进探讨由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“桌面虚拟化发展现状”。

桌面及应用虚拟化与海关对外接入模式改进探讨

张明磊

摘要：本文对基于云计算的桌面与应用虚拟化进行了阐述，并结合海关对外接入的现状，提出海关对外接入模式改进的方案，对海关移动办公指导方案提出建议

关键词：虚拟化；桌面；应用；对外接入； 1 桌面及应用虚拟化技术 1.1 桌面及应用虚拟化技术

1.1.1 桌面及应用虚拟化技术简介

桌面虚拟化是一种基于服务器的计算模型，它是指将计算机的桌面进行虚拟化，以达到桌面使用的安全性和灵活性。桌面虚拟化技术概念最早由虚拟化厂商VMware提出，目前已经成为标准的技术术语。虽然借用了传统的瘦客户端的模型，但是让管理员与用户能够同时获得两种方式的优点：将所有桌面虚拟机在数据中心进行托管并统一管理；同时用户能够获得完整PC的使用体验。用户可以通过客户端，或者类似的设备在局域网或者远程访问获得与传统PC一致的用户体验。

应用虚拟化，技术原理是基于应用/服务器计算A/S架构，采用类似虚拟终端的技术，把应用程序的人机交互逻辑（应用程序界面、键盘及鼠标的操作、音频输入输出、读卡器、打印输出等）与计算逻辑隔离开来。在用户访问一个服务器虚拟化后的应用时，用户计算机只需要把人机交互逻辑传送到服务器端，服务器端为用户开设独立的会话空间，应用程序的计算逻辑在这个会话空间中运行，把变化后的人机交互逻辑传送给客户端，并且在客户端相应设备展示出来，从而使用户获得如同运行本地应用程序一样的访问感受。

桌面及应用虚拟化是在物理服务器上安装虚拟主机系统，由虚拟主机系统模拟出操作系统运行所需要的硬件资源，如：CPU、内存、网卡、存储等。操作系统运行在这些虚拟的硬件资源之上，可以达到多个操作系统共享物理服务器的硬件资源，从而提高资源利用率。虚拟桌面的存储和执行（包括操作系统、应用程序和用户数据）都集中在数据中心，用户使用终端设备通过远程协议（如：RDP、ICA、PCoIP）进行访问。桌面虚拟化将所有桌面虚拟机在数据中心进行托管并统一管理；同时用户能够获得完整PC的使用体验。用户可以通过瘦客户端，或者类似的设备在局域网或者远程访问获得与传统PC一致的用户体验。是一种仅将操作系统桌面呈现在用户面前的技术，由服务器端完成运算。可以结合服务器虚拟化和应用虚拟化进行。

1.1.2 桌面、应用虚拟化技术功能及差异

桌面及应用虚拟化解决方案提供的功能主要包括基本功能、用户使用便利要求、应用虚拟化、维护管理和可靠性等方面。其中，基本功能包括多种方式接入、支持无差别的多应用访问、支持多虚拟机、支持主流操作系统、支持主流存储技术；用户便利使用要求包括系统可随时随地访问且支持个性化桌面，支持SSO，支持网络存储空间的动态分配，支持音频输入输出等；应用虚拟化指将应用程序从底层操作系统分离出来，支持虚拟桌面与应用软件虚拟化间的无缝集成； 桌面虚拟化与应用虚拟化的区别类似于C/S、B/S应用程序架构的区别，桌面虚拟化需要在客户终端上安装客户端应用，部署较应用虚拟化复杂，但性能优于应用虚拟化，能方便实现复杂客户端功能；应用虚拟化部署快捷，能方便实现对用户虚拟化应用的限制，安全性能高。

1.1.3 桌面及应用虚拟化技术优势

桌面及应用虚拟化优势在于一是能快速、灵活部署，能按需申请、快速发放、无需搬运沉重的PC主机，统一接入、随时随地访问；二是能提高资源利用率，能统一管理后台数据中心资源，并统一进行调度管理，将资源的利用率最大化；三是数据存放安全可靠，数据存放在后台数据中心，安全可靠。且访问虚拟桌面时在网络上传输的都是图片信息，不易被他人通过网络窃取信息；四是维护便利：瘦终端无须软件维护；虚拟桌面维护工作可在后台统一进行，非常便利。1.2

桌面及应用虚拟化技术现状 近年来，桌面虚拟化业务在国内开始蓬勃发展，很多公司、机构用户均已经采用桌面虚拟化技术来替代传统PC的使用。其发展势头有超过服务器虚拟化的趋势。

近几年来，海关在逐步推广服务器虚拟化的同时，也在积极开展桌面虚拟化的探索，“海关信息化十二五规划”中也对海关桌面虚拟化推广做出了部署。

当前在桌面虚拟化领域，主要有三个厂商，也是主要的服务器虚拟化厂商：

微软（Microsoft）

微软的桌面虚拟化技术一种利用了桌面的VPC产品创建和“下载”虚拟机镜像，而实际上提供给用户使用的是安装在虚拟机中的应用，目标是用来解决桌面系统对遗留应用不兼容的问题；另一种采用VDI方案应该是真正意义上的桌面虚拟化或者精确地说是虚拟桌面解决方案。

思杰（Citrix）

思杰作为应用虚拟化领域的绝对领导者（2007年份额在70%以上），由于桌面虚拟化的本质更接近应用虚拟化，其独有的高效的ICA协议和积累了20年的对外设重定向等技术的积累，使得其在桌面远程（包括广域网和互联网）访问的效率和外设的广泛支持性上，占有绝对的领先位置。尤其最新推出的HDX技术，能够广泛地支持标准USB设备，双向语音（VOIP应用），高清视频播放，使得虚拟桌面的体验真正达到了和PC类似的水平。

而在后端，其成功的对服务器虚拟化厂商XenSource和无盘工作站厂商Ardence的兼并，使之具有独立的服务器虚拟化平台，和更加灵活的虚机管理方式（使用单一的镜像技术批量动态生成虚拟机），加之其自有的应用虚拟化产品，使得整个桌面逻辑组成部分实现了完整的分离，实现了彻底的虚拟化，最大程度上地实现了灵活性。

VMware Vmware作为服务器虚拟化的老大，为了拉动其虚拟服务器的销售，并扩大产品线，也有自己的桌面虚拟化产品View。其后台架构在Vmware Sphere上，虚拟机的远程访问使用了自有的PCOIP协议（与传统的远程桌面协议相比，PCoIP提供了与真实PC机相媲美的用户体验，并兼容99.99%的应用程序以及外设），而应用虚拟化方面，兼并了原名Thin install的厂商，现在更名叫Thinapp。实现了与Citrix类似的架构体系。

由于Vmware服务器虚拟化龙头的地位，推动桌面虚拟化也是顺风顺水，尤其是在其服务器虚拟化产品的技术优势之上，例如采用内存over commit技术，可以提高服务器上同时运行桌面的数量等等。随着Thin App的加入，使用“流”方式的应用部署结构，虽然只实现了微软App-v功能，或者Citrix XenApp产品中的“stream”功能，但是一定程度上实现了应用的拆离，使得整个体系变得灵活了很多，大大弥补了架构上的不足，整体的得到了很大的提高。2 海关对外接入现状分析 2.1 海关对外接入现状

海关的对外接入方案主要遵从《海关管理网对外接入局域网安全建设指导方案》（2007年发布）、《海关移动办公系统网络接入建设指导方案》（2009年发布）。《海关管理网对外接入局域网安全建设指导方案》将对外方式分为数据交换、授权用户访问两种建设方式。其中数据交换采用数据多级数据交换的方案实现，而授权用户访问采用多级控制的方式实现经海关授权持数字证书的用户访问缓冲区域的应用。《海关移动办公系统网络接入建设指导方案》规定外部网络都不能与业务管理网直接相连，必须采用VPN经对外接入局域网接入业务管理网，接入客户端都在联接业务管理网后，无法同时访问互联网。外接入局域网必须配置客户端信任检测系统（TDS）或健康检查系统以及访问控制机制。

2.2 存在的问题

近几年来，海关各单位都是遵循以上两份指导方案开展海关外联及移动办公项目建设，基本保证海关系统安全，但随着新技术的的发展，海关及外联单位（包括地方政府、进出口企业等）的需求多样化发展，在具体应用中，各海关普遍反映《海关管理网对外接入局域网安全建设指导方案》、《海关移动办公系统网络接入建设指导方案》存在不少问题：

一是各种安全方案、措施堆砌，系统过于臃肿。以上《指导方案》中的方案或要求的设备实现的安全功能有重叠部分，如《海关管理网对外接入局域网安全建设指导方案》要求的多级数据交换的方案并未能成倍的加强系统的安全性能，但却造成部署困难、传输节点过多、故障发生的概率增加、故障点难于确定、方案建设费用过高等问题。二是难于适应新技术的发展。随着移动技术的发展，以手机、平台为终端的移动设备已成为移动设备主流，《海关移动办公系统网络接入建设指导方案》中要求客户端健康检查、客户端管理等功能，现阶段根本没有科技公司提供相应解决方案；随着技术进步，很多安全设备都具有多种安全功能，这为用户简化方案设计、减少投入提供便利，但海关方案规定过于呆板，各安全设备所处位置太固定，以上优化难于实施；海关指导方案以数据交换为基础，云计算、3G网络等新技术要求实时连接方案难于开展。

笔者认为要解决以上出现的问题，需重新重视对安全原则把握，宽泛对安全细节、安全设备选择等规范，重新整合《海关管理网对外接入局域网安全建设指导方案》、《海关移动办公系统网络接入建设指导方案》两个方案，加强对各关安全理念指导，实现既能保障安全，又能满足海关不断发展的业务和技术要求。3 采用桌面及应用虚拟化技术对外接入方案改进

笔者在长沙海关移动办公项目建设中采用了桌面和应用虚拟化技术，在遵循《海关管理网对外接入局域网安全建设指导方案》、《海关移动办公系统网络接入建设指导方案》建设原则的基础上，对以上指导方案的建设细节进行改进，较好的实现了实时数据传输与移动终端等用户的安全接入。3.1 项目需求简介

“长沙海关移动办公系统”是基于电信3G无线网络，同时借助最新的移动通信技术，通过长沙海关对外接入局域网进行数据交换及授权应用访问而开发的移动办公系统；该移动办公系统具有3G智能终端的移动性、便捷性和普及性，方便广大海关关员在任何时间、任何地点随时访问内部办公系统，及时获取内部动态信息，并快速处理日常事务；同时该移动办公系统还能为关领导及部分处领导提供及时处理系统公文的能力。3.2 桌面接入方案介绍

该项目终端（笔记本、台式机、手机、平板等）接入采取双VPN机制，一个IPsecVPN负责接入安全与加固，一个SSL VPN负责与桌面虚拟化服务器通讯，外部接入终端（带用户Usbkey）只有拥有两个VPN证书方可与桥头堡终端服务器实现联通。

桥头堡安装Windows2008终端服务器，负责桌面虚拟化用户桌面环境存储和处理，SSL VPN兼做应用虚拟化管理服务器，管理员可在VPN虚拟化管理服务管理器上设置各用户可运行的Windows2008终端服务器上的应用。

一般用户不到Winsows终端界面，他使用浏览器连接进入VPN虚拟化应用服务器界面，只能看到被授权应用的应用程序界面，浏览器将远程用户界面的鼠标、键盘的操作传输到终端服务器，服务器将

对外接入局域网外部网络手机、PDA（安全缓冲区）管理网VPN安全管理中心（集中监控）无线接入用户有线接入用户Internet客户端管理服务器（健康检查）短信平台互联网专线ACS认证服务器（AAA）防火墙FWIPsecVPN防火墙FW桥头堡终端服务器管理网服务器对外接入路由器SSL VPN界面图形传回用户浏览器，网络传输过程只有加密图形，无实际数据。3.3 方案优点

该方案能利用桌面及应用虚拟化实现系统笔记本、台式机、手机、平板等终端用户快速、灵活部署，统一接入、随时随地访问；能提高资源利用率，能统一管理后台数据中心资源，并统一进行调度管理，将资源的利用率最大化；数据存放安全可靠，数据存放在后台数据中心，安全可靠。且访问虚拟桌面时在网络上传输的都是图片信息，不易被他人通过网络窃取信息；维护便利，虚拟桌面维护工作可在后台统一进行，非常便利 4 结束语

笔者认为任何一个技术指导方案的制定都必须重视对原则的把握，宽泛对细节、设备选择，采取内方外圆的规范，建立混合型的安全策略，为新设备、新技术的发展留出空间。