一 项目背景

随着近些年网络技术的迅速发展，越来越多的信息化系统及云计算、大数据的兴起，给企业生产及管理创造了越来越多的价值，从以前的传统PC办公到当前云桌面办公，为企业创造了巨大生产价值同时大幅提升了工作效率与辅助管理决策，越来越多的企业在信息化转型的风口浪尖，且取得了巨大的成功。

山东嘉美泰科技新材料有限公司总部和分支目前办公采用的是传统PC，在办公效率及数据安全等方面有明显的弊端，因此，公司考虑采用桌面云+分支组网方式来解决这个问题。

二 传统PC问题分析

企业信息化已成为企业实现可持续化发展和提高市场竞争力的重要保障，而PC的使用是其中不可或缺的一部分。然而，随着信息化的推进和业务规模的扩张，PC这种分散化、固定式的桌面模式，使得业务数据难管控、运营成本不断攀升、办公位置受限，已经难以满足企业对信息安全、高效运维和移动办公的要求。

2.1 业务数据易失密

职能办公人员在日常工作中经常有大量财务报表、人事编制、招聘计划、采购物资等重要业务数据遗留在PC本地磁盘，而传统PC在USB设备管控、数据管控等方面的实现手段都很复杂，较难在大规模场景中落地生效，职员在误操作或其他原因下导致这些重要数据外泄，给企业带来难以估量的损失。因此，PC往往成为企业网络安全中最薄弱的一个环节。

2.2 运营成本高

运维成本：新购一批PC后，需要管理员投入大量的时间和精力，逐台进行系统及软件的安装。而且，职能办公人员大多非计算机专业毕业，对于PC的使用过程中出现的notes邮件系统异常、office卡死、打印机驱动安装等问题，都需要管理员到对应的工位上进行处理排障。

硬件更换成本：随着运行过程中硬件的不断老化，PC上的风扇、内存和硬盘也经常出问题，不仅需要管理员到现场进行维修和更换，每年还需要投入大量的资金进行PC及其配件的采购。

电力能源成本：PC运行的时候，CPU、显卡等组件发热量大、功耗高，平均每台主机功耗在260W左右，常年下来，PC工作所带来的电费支出也是一笔不小的费用。

2.3 办公灵活性差

PC模式下，桌面系统绑定在主机上，而主机位置相对固定，不能随人员流动。受地点限制，员工若不在自己的工位上，就无法使用自己的电脑进行办公，影响办公效率。

2.4 办公环境不标准

各类办公PC上存放了各类办公数据，且当人员变动时，原有PC不好进行规划处理，存在一定的困难，特别是针对一些重要文件没有手段进行管控，当终端出现故障时，也会造成数据的丢失。

三 深信服桌面云解决方案

3.1 方案概述

深信服桌面云方案采用低能耗云终端+桌面云服务器的方式，将职员桌面都迁移到数据中心的服务器上，并在工位上放置云终端用于桌面接入，替代原有数量众多的PC，实现业务数据安全方防护，提升桌面整体运营成本及办公灵活性。

图：整体架构设计

桌面云方案架构由前段和后端两部分组成，后端由标准的服务器组成，服务器之上利用超融合架构搭建桌面云系统VMP，VMP之上运行虚拟机，虚拟机内部安装WIN7等个人操作系统，所有对于个人桌面的操作实际上都是在后端进行的，前端利用桌面云瘦客户机（ARM架构），接受后端通过网络传来的图像信息，在普通办公场景下，每个瘦客户端需要占用约2Mbps带宽资源，对于网络有一定的要求。

3.2 架构与规划

图：办公架构

1、本次按照总部20点、分支40点桌面云办公，在总部部署1台标准服务器，分支部署2台标准服务器。并利用深信服下一代防火墙进行总部与分支之间的组网，实现总部与分支的互联互通。

2、深信服桌面云方案采用低能耗云终端+桌面云服务器的方式，将职员桌面都迁移到数据中心的服务器上，并在工位上放置云终端用于桌面接入，替代原有数量众多的PC，实现业务数据安全方防护，提升桌面整体运营成本及办公灵活性。

3、本方案通过虚拟存储替代成本较高的独立存储设备，每台VDS服务器配备2块SDD+6块HDD，其中SSD用于热点缓存，HDD用于数据持久存储，从而获得较高的IOPS性能，同时采用多副本技术确保数据在多主机有实时备份存储，无需担忧数据丢失。

3.3 组件介绍

3.3.1 硬件平台

3.3.1.1 云终端（ARM）

图：云终端

ARM架构：硬件架构采用ARM A9芯片，其优势在于系统运行效率更高，而且长期使用更为稳定。

一体化设计：设备采用集成化设计模式，无多余零部件，并且运行过程中发热少，所以寿命更长，高达5~8年。

绿色环保：平均功耗仅10W，相对PC可节省10倍电力成本，并且无风扇运行，全程无噪音。

3.3.1.2 桌面云一体机（VDS）

图：桌面云一体机

桌面云一体机是一款专为“云桌面”量身定制的软硬件一体化服务器（包括虚拟桌面控制器、服务器虚拟化、存储虚拟化等软件平台），通过提供简单、一站式交付方案，极大降低部署难度，从而帮助用户加快桌面云项目进度。

高性价比：深信服桌面云方案无需购置独立存储，通过虚拟存储技术提供高性能、低成本的存储方案，效果与独立存储一样，但可以节省存储成本。

极致体验：传统方案采用纯机械硬盘设计，多桌面并发使用时容易卡顿。深信服采用SSD+HDD混合设计方式，同时利用高效缓存技术可以提升多倍IO性能，保障云桌面流畅体验。

良好扩展：普通服务器方案，扩容时需要停机做复杂配置。桌面云一体机在扩容时无需停机，只需在线加入集群，即可自动实现资源平衡，扩容非常轻松方便。

高稳定性：深信服桌面云一体机采用全集群架构设计，主机和磁盘硬盘均有冗余设计机制，能够实现故障自动迁移，确保桌面业务稳定运行。

3.3.2 软件平台

3.3.2.1 虚拟桌面控制器

提供用户认证管理、细粒度策略控制、桌面/云终端统一监控及管理等功能，实现更安全、更可靠地交付云桌面。

3.3.2.2 服务器虚拟化

祼金属架构，可为云桌面提供高性能负载平台和先进管理功能，包括虚拟机快速部署、资源管理及监控、集群高可用、动态迁移、数据备份及恢复等功能。

3.3.2.3 存储虚拟化

将服务器直连硬盘形成分布式共享数据存储，通过内置冗余机制可透明存储多个数据副本，以确保磁盘和服务器故障时，数据不会丢失，且依然可用。

3.4 网络出口规划-下一代防火墙

1、七层一站式安全防护

NGAF防护类别有以下几种:IPS漏洞防护、服务器防护、病毒防护、Web安全防护。

除此之外，NGAF不仅在防护种类上不断积累，在防护准确度上也一直不懈的努力。我们知道，黑客的攻击往往是分为若干步骤的，每个步骤之间都是有时序和逻辑上联系的，若单一割裂的看每个步骤，忽略他们之间的联系，势必会使威胁有可乘之机，降低防护精度。NGAF的灰度威胁关联分析引擎，可以对用户的多个网络行为进行关联，比如一个用户首先对HTTP服务进行了慢速CGI扫描，传统防护设备反馈的结果证明其运行了可能含有漏洞的某个CGI，之后该用户又发送了包含ShellCode的请求。若分别看这两次行为，每个都不能绝对地将其界定为恶意行为；如果将两个行为联系起来，则基本可以确定该行为的高风险等级。通过这种方式，大大提高了应用防护的精度。

2、用户/业务安全状况可视

NGAF提供的实时漏洞分析功能，可以根据经过设备的web业务流量主动分析其中存在的风险并实时展示出来，实时监控界面上可以根据服务器真实存在的漏洞多少进行排名，同时会给出各个业务系统风险情况的评估，并给出建议解决方案。

NGAF还提供强大的综合风险报表功能，从业务和用户两个维度对网络中的安全状况进行整体分析，按照受攻击类型、漏洞类型和威胁类型进行统计分析，并根据每个业务对应的服务器IP进行针对性的安全分析，提供相应的服务安全说明，使得报表的可读性更高，方便用户从报告中分析出下一步的安全加固策略。

NGAF可通过应用可视化功能与用户识别技术结合制定L3-L7一体化应用控制策略, 可以为用户提供更加精细和直观化控制界面，在一个界面下完成多套设备的运维工作，提升工作效率。同时通过对终端用户威胁的分析以直观可视的界面展现终端用户的风险，让终端用户的安全风险一目了然。

3、先进的僵尸网络检测与沙箱分析技术

NGAF独有的僵尸网络检测隔离功能，能够实时对外发流量进行检测，协助用户定位内网被黑客控制的服务器或终端。该功能融合了僵尸网络识别库，利用业界领先的僵尸网络识别检测技术对黑客的攻击行为进行有效识别，针对以反弹式木马为代表的恶意软件进行深度防护。僵尸网络识别库数量超过15万条，并由深信服攻防团队实时更新。

同时，NGAF建立完善安全云平台，在云平台中结合沙箱技术可以捕获流量中的异常流量。将这些流量在沙箱虚拟化环境中运行，通过监控注册表修改、进程创建、文件系统修改来发现未知威胁、“0day”漏洞攻击。通过云联动技术，将同时形成新的恶意软件识别策略下发到全球所有设备的规则库上，共同抵御未知威胁和令人生畏的APT攻击。

4、完整的攻击防御

3.5 方案价值

深信服为职能办公人员提供了一套前后端软硬件深度融合的桌面云架构，从而打造出流畅、稳定、安全、高效的用户体验，满足运维高效、业务灵活、数据安全及性价比高的要求。

1、办公体媲美PC：深信服SRAP协议针对桌面图像传输提供了高效流压缩、硬件芯片图形渲染等优化手段，从而保障职员在日常办公中，像窗口拖动、网页浏览、文档编辑、系统访问等桌面操作体验流畅、不卡顿。

2、办公外设广泛兼容：深信服基于“0总线映射技术”，通过深度融合在虚拟化和硬件底层去做外设映射，保留了和PC一样的总线通道，让职员可以像在PC一样使用打印机、金蝶K3认证key、网银key、扫描仪、U盘等各种外设。

3、办公桌面高效运维：简洁易懂的web控制界面，使管理员不需要长时间培训，就能快速上手进行全公司终端的集中管理、即时排障和高效运维，运维效率提升80%以上，将管理员从繁杂的终端运维中解放出来，减少人力资源的投入。

4、办公桌面随身行：深信服桌面云相互之间不会干扰。职员只需要记住账号密码，就可以使用任意网络、任何终端登录自己的办公桌面，实现在哪都是办公室，随时随地随需办公。

3.6 方案实现效果

3.6.1 云安全：全面保护业务数据

过去，数据放置在每台终端上，面临数据丢失和外泄的风险。现在，通过桌面云将数据从PC本地迁移到数据中心，便于集中备份，而且集中化模式使得所有的数据计算与业务交付都在后台完成，敏感数据不再需要离开数据中心，从根本上降低数据安全风险。另外，借助桌面云IT部门可以通过设置集中化策略控制用户对数据的访问权限，例如控制用户是否能将文件从数据中心的桌面拷贝到本地设备或U盘。

3.6.2 云管理：提升IT运营效率

过去，桌面支持与管理成为IT部门“大负担”之一，随着桌面数量增多，这种情况变得越来越严重。现在，借助模板部署、派生及更新技术，IT人员可以轻松、快速地创建多个桌面，并在几分钟内将应用程序和配置文件推送到上千个虚拟桌面。在日常维护方面，IT人员也只需要维护几台服务器、几套模板和一些应用程序，提升IT管理效率，节省支持成本。

3.6.3 云灾备：确保桌面连续性

桌面云构建了一套高可用的桌面架构，借助自动化备份和集中式运维，可以简化终端硬件管理，使故障恢复从传统PC的几小时缩短至几分钟，提升用户办公体验，员工不需要担心因客户端丢失或故障而造成工作中断，因为用户的数据和应用程序均存储在数据中心，即便设备丢失或发生故障，用户可以从其他设备登录，并快速衔接中断的工作。

3.6.4 云办公：实现工作自由高效

借助桌面云，员工只需要记住1套账号密码，不管是在办公室、在家还是在出差，只要网络是可达的，用户就可以使用云终端、笔记本、智能终端等不同设备随时访问桌面，而且可以获得一致的办公桌面体验。这种模式，实现办公的无边界，工作不会因为场所的变化而中断，有效提升员工的工作效率。

3.6.5 云规范：实现管控与标准化

借助桌面云，能规范办公环境的标准化，不会存在随意使用终端造成管控困难与终端分散，标准化的架构更能提高员工的工作效率，从而提高企业效益。

3.7 配置清单

四 成功案例

4.1 深信服虚拟化为金能科技搭建办公桌面云

【客户简介】

金能科技属中国化工企业500强，列2013年中国专用化学品制造业百强企业第16位，居2013年中国炼焦制造业50强企业第17名，先后荣获全国“技术创新型煤化工企业”、“山东省先进民营企业”。产品在占领国内市场的同时，远销欧、美、非、日、韩等国家和地区。

【项目背景】

金能集团拥有数量庞大的桌面数量，PC的运维消耗了消耗了信息中心大量的人力。金能集团的领导一直支持信息化的发展，信息中心不断探索简化运维，高效，稳定的信息化系统。桌面虚拟化以在桌面运维方面、数据集中，统一管理等方面的独特优势，获得了金能科技领导的重视。公司先后接触了包括Citrix、VMWare、云端时代、京华、深信服等桌面虚拟化厂家。经过金能集团领导和信息中心层层考察，最后选择了深信服的aDesk一站式桌面云解决方案。项目一期部署了500个并发桌面，涉及9台服务器，以及存储，备份。

【项目简介】

经过与金能集团信息中心的沟通，部署了深信服的虚拟化软件VMS、虚拟化控制器VDC、云终端aDesk-STD。后端采用9台高端戴尔服务器，以及存储、备份。部署示意图如下：

【方案亮点】

部署简单，高效运维。本次桌面虚拟化方案架构清晰，只有两个模块：一是虚拟化软件VMS，采用裸金属架构，直接部署在服务器上，另外一个是硬件的虚拟化控制器无需单独部署域控制器，数据库等。一站式的完整方案有助于提高运维效率；

端到端的安全考虑。本次桌面虚拟化支持多因属认证，个人盘加密，支持互联网云桌面接入，数据传输的SSL加密（无需增加额外组建）；

高稳定性，通过虚拟化软件只身HA架构，在物理服务器、操作系统、应用程序出现故障时，自动在正常服务器上重启，本方案配置共享存储，以及存储备份。

高效性，通过深信服自有交付协议SRAP，实现数据压缩，缓存，加速，有效解决终端外设的映射。通过数据重定向，实现云终端GPU解码，流畅播放1080P视频。

4.2 其他案例

已成功交付50万+台终端、60万+个虚拟桌面，处于业界领先地位。

上千规模案例100+个，拥有丰富的交付经验和完善的实施方法