Citrix=安全接入平台

工欲善其事，必先利其器。在注重效率的今天，信息有效、安全、快速的传递，是保证业务连续性的基本诉求。

如何确保信息能够在任何时间、任何地点、任何应用中，进行快速、安全且低成本的往来交互，是人们迫切的要求，这些需求的实现，其实很简单，只需拥有安全接入平台！安全接入平台是什么？它又能做些什么呢？

引用思杰（Citrix）公司大中华区总经理孙志伟的话，“无论你在任何地点、任何时间操作任何应用（包括Client/Server应用、Web应用、桌面应用和文件/多媒体访问应用等）的过程中，客户端与服务器之间的对话、信息交互传递的过程，就是安全接入平台工作的时间，安全接入平台会在这期间为您实现安全、快速、低成本的全程管理。”如此可以参考图1。

图1 安全接入平台架构

众所周知，在信息爆炸的今天，人与人之间的交流变得快捷和方便，信息交互传递的种类也变得较为复杂，但涉及的具体应用无外乎Client/Server、Web、桌面以及文件/多媒体应用等方式。下面，我们来分别讲述安全接入平台在各种应用中发挥着怎样的功效？

Client/Server应用

客户端/服务器应用的模式，相对而言，在信息化普及的初期，就已经被大众所接受了，也是目前应用较多的方式之一。为了避免上述潜在的风险，部署C/S应用的最好方式就是虚拟化，应用都被安装在安全的数据中心“Presentation Server”上，然后以虚拟化方式发送给各地用户。

Citrix Presentation Server是C/S应用中用于集中部署和管理的服务器设备，在异构环境中尤为受到青睐，同时借助Citrix接入安全管理和控制策略，确保终端用户能够安全接入和访问企业内部的各种信息资源。

简单来讲，在C/S应用中，应用系统都安装在Presentation Server上，企业无需考虑原有接入设备、软件语言、计算体系结构和网络的多样性，只要终端用户可以访问Presentation Server，就能够实现快速部署新的应用的目标。此外，Citrix采用专有技术提高C/S应用中信息交互的速度，即在服务器接收到客户端的请求时，只传送差异化的画面格式文件，由于画面格式文件非常小，从而降低了对系统带宽的要求，实现了企业要求信息快速传递的目标；在成本控制方面，非常显著的是，由于新的应用系统都安全在Presentation Server上，终端用户只需使用浏览器就可以访问，减少了相应客户端软件的安装和维护，从而大大节省了成本。

Web应用

在Web应用中，Citrix提供了Citrix NetScaler应用交付解决方案，它采用Citrix Netscaler AppCompress Extreme差异压缩技术，通过清除冗余应用数据的传输，同时只将近期变化的数据传送给用户，将标准页面下载速度提高到原有的23倍，并将企业网络应用数据的部署提高到原有的45倍。此外，Citrix Netscaler应用部署系统提供了经验证过的安全防御措施，可阻止普通的和破坏性的应用层攻击，包括自动蠕虫攻击和有目的的拒绝服务攻击，而不会影响合法应用流量。

简单来讲，在网络页面访问中，据统计也存在一个“二八原则”，也就是说，20%的页面被80％甚至更多的用户访问。此时，在服务器前端放置Citrix Netscaler后，设备会自动将这20%的页面放入缓存，当有新的面向此页面的访问时，就把这个页面直接推送给用户，无需经过后台的服务器处理，这样既加快了用户的访问速度，同时减少了后台服务器的处理压力。有数据显示，安装Citrix Netscaler之后，服务器的使用数量可以减少3/4以上，大大节约了成本支出。在安全方面，以拒绝服务攻击为例，当前端的Citrix Netscaler收到大量的访问请求时，将判断是否为拒绝服务攻击，如果是，将直接阻断，避免殃及后台服务器。

桌面应用

“瘦客户端”主要面向制造业等工作比较简单的行业使用，使用者主要是知识工人和蓝领阶层；简单来说，在这些行业，客户端的性能要求不需要太高，只要能够完成简单的流程操作即可。因此，Citrix安全接入平台构建了Project Tarpon模块，即当瘦客户端访问应用服务器时，Project Tarpon模块的Application Streaming功能将相关应用数据信息推送给瘦客户端完成操作。如此一来，节省了硬件购置成本、维护成本等，同时由于操作单一，确保了安全性。

“胖客户端”主要面向有复杂应用需求的用户群体，比如企业分支机构的白领阶层，他们有复杂的应用需求――需要安装Office、Outlook、Oracle、SAP等。举例来说，作为IT管理人员，如果借助Application Streaming功能，能够自动在胖客户端上的私有区域安装Outlook的客户端程序，既不会造成与其他应用程序的冲突，也节省了维护成本，同时实现了统一控制；另一方面，一旦胖客户端的某个应用程序发生错误，胖客户端直接通过网络发出维护申请，Project Tarpon模块即可自动将修复程序或者更新的程序推送到胖客户端上完成修复或更新，这样既节省了使用者的时间，也减轻了IT管理人员的工作压力。

文件/多媒体应用

安全接入平台构建了WanScaler模块，当客户端有数据访问需求时，借助该模块的File/Video Streaming功能，将集中管理在中心服务器的、有被访问需求的文件或者视频推送给客户端，完成信息的交互。如此，节省了数据信息维护的成本，而集中管理和控制确保了信息的安全。为了实现数据快速交互，Citrix采用独有的技术，该技术改进了TCP/IP三次握手的机制，当收到合法用户的数据请求信息之后，即把数据直接发送给你，无论客户端是否收到这一帧，服务器都将继续发送后续信息，直到客户端确认收到全部信息，完成数据的交互，从而减少了握手确认环节，有效地提高了传输速度。

新应用 需安全护航

在“Citrix安全接入平台”这个大的概念之中，有一部分不可或缺――接入安全管理和控制策略，总体来讲，它是由Citrix Access Gateway、Citrix Password Manageer和Citrix Application Firewall三部分组成的，如图2中“安全接入部分图标”所示。他们共同组建了一道屏障，确保用户能够安全地访问系统的各种应用、安全地获取信息。

图2 接入平台产品

Citrix Access Gateway是一款通用的SSL VPN设备，为信息资源提供了安全、且始终在线的单点接入支持。它具备IPSec和常见SSL VPN的所有优势，同时是市场上惟一一个采用Advanced Access Control（AAC）的产品，其中AAC是Citrix的独有组件，使得IT管理员能够对应用、文件、Web内容、电子邮件附件和打印实现全面的控制。该组件能够根据用户的角色、位置、设备类型、设备设置和连接，确定可以访问何种信息资源以及在授予访问权限后允许采取哪些措施。

Citrix Password Manager是企业单点登录解决方案（Single-Sign On），它从根本上改变了传统的多口令管理方式。Password Manager的部署使用户只需一次身份验证，就能以一个口令登录所有受口令保护的应用程序，而其余的工作将由Password Manager完成。它将自动接入受口令保护的信息资源，执行严密的口令策略，监控口令相关事项，自动化最终用户工作，例如口令变更。

Citrix Application Firewall，简单理解是一款应用防火墙，可以帮助实现Web应用的安全。孙志伟透露，思杰正在研究一个新的项目，在明年年初之后，企业使用了这款产品，公司内部的所有终端上的操作都会被记录下来。当有违规事件发生时，就可以在第一时间进行定位。

采访手记

截止记者发稿时，以“思杰系统”作为关键字，用Google搜索，可以查到的相关的中英文网页条目为36.2万条；而以“Citrix”作为关键字，则可查到4420万条。以同样的规则，在百度中搜索得到的结果分别为1.05条、9.87万条。

可以看出“Citrix”品牌的知名度要高于思杰，这也是我为什么将标题定为“Citrix＝安全接入平台”的原因之一，尽管这个原因非常片面。而真正的原因在于：Citrix，全球惟一一家100％专注于开发接入解决方案的公司，它对于应用安全、业务连续性的贡献值得我们期待！

事实上，思杰的用户遍布全球。据悉，财富500强的企业中，有97%都是思杰的用户，但相对来说，他们的品牌推广做得并不是特别出色，因为“思杰（Citrix）这个品牌还没有为多数人知晓，而更多人还不知道思杰（Citrix）一直在为安全接入平台努力着。”

口说无凭，举例为证！思杰公司大中华区总经理孙志伟先生在来Citrix之前，就职于IBM公司某要职，当他提出辞职要求时，并说明自己将要去Citrix时，当时孙志伟的中国区领导困惑地问：Citrix是什么公司？而亚太区的领导知道孙志伟的动向后，恭喜孙说，Citrix是家不错的公司，祝贺你。

再有一个例子，可以帮助你了解思杰：在采访结束之后，我曾经问孙志伟，思杰在中国的拓展日益扩大，安全接入市场的前景也很明朗，你们的效益也会越来越好，员工的考核制度是怎样的？孙总笑着说，考核制度比较复杂，我只告诉你一个重要指标，我们的员工在用户那里装了多少套安全接入平台的系统，就能得到相应的考核分数，装得越多，分数越高。原因就是：只要是装了我们的安全接入系统的用户，一般都会选择我们的产品。

可以这么理解，套用电影《大腕》里的一句话：不怕你用，就怕不用！（文/吴作鹏）