在应用服务器架构（A/S架构）中，尤其是广域网远程应用时，安全是应用的前提，瑞友天翼在网络边缘防护、传输过程加密、身份认证、访问控制、操作系统安全等方面有着全面的防护设计与保护措施，可确保远程应用的网络安全及访问安全。下面我们全面阐述瑞友天翼在安全方面的防护处理措施

安全连接网关功能

功能说明：

选择“集群设置”、“服务器地址设置”、“安全认证网关模式”，启用该功能。该功能使客户端和服务器之间增加一道网关，用于简化网络配置，隔离服务器真实IP地址、端口，网关内部屏蔽非法连接减少企业内部外部有意无意的对服务器进行攻击。

价值体现：

简化实施和维护：多台天翼服务器共享一个网关端口，不需要在连接外网的路由器上对每台天翼服务器配置一个映射端口，只需要在路由器上做网关端口的映射即可。该网关端口甚至容许做为天翼Web端口使用（做Web端口使用时，浏览器打开Web页面速度略有降低），那么对外网将只需要开放一个端口，直接简化实施和维护时工作内容。

安全价值：

由于对外界只暴露一个端口，并且该端口是网关的端口，将真正地服务器地址和端口隐藏在后台，使得受攻击的机会减少到最低。网关内部屏蔽了各种非法连接，提高了攻击者检测网关端口信息的难度。

1、接入架构安全

瑞友天翼系统是基于应用服务器架构的应用虚拟化平台，在这种应用架构下，所有的计算功能都是在服务器上完成的，服务器与客户机之间的网络中只传输键盘、鼠标移动变化指令和图像矢量信息，这些信息包即使被侦听和截获，也是一堆无用的信息，所以天翼接入架构的安全性是有保障的。

2、天翼接入系统架构安全

天翼采用一体化产品设计架构，无需依赖Microsoft IIS服务、Microsoft SQL数据库等第三方产品，这种经过严格安全处理的独立产品架构，能有效的杜绝第三方产品存在的安全漏洞而给用户带来安全隐患，同时也不会出现因第三方软件升级带来的产品兼容性问题，从而有效保障应用的安全。

1）天翼WEB服务安全

使用标准浏览器（IE）访问应用系统，WEB服务的安全处理至关重要，所以天翼系统WEB服务没有选择通用的第三方WEB服务产品来作为天翼的WEB服务，而是投入巨大的财力，针对远程应用的WEB安全特点，进行了专项开发，并通过了高强度的安全攻击测试，可完全让用户摒弃对WEB安全隐患的担忧。

2）天翼数据库服务安全

由于通用数据库的安全漏洞难以有效防范，所以天翼也没有选用第三方通用的数据库，而是针对网络应用的安全特性，进行专项开发，采用了内置安全数据库设计，并进行了高强度的加密处理，让用户无需担心数据库安全漏洞，放心使用。

3、边缘网关安全

瑞友长期专注于网络应用及网络安全的研究，可为用户提供网络的整体安全解决方案，如企业还没有防火墙设备，瑞友网络安全加速服务器（RSA Server）可承担这一重任，它是集深度防护型防火墙、快速VPN部署工具、网络访问管理系统、WEB缓存服务器的综合应用系统，完全能满足用户网络安全的防护需求。

RSA Server可以对网络进行多层安全检查和深入应用层的安全防护，具有可靠的防攻击、防欺骗以及防网络病毒能力；其强大的安全访问控制能力和网络在线监控和信息分析功能，帮助企业及时了解网络运行中的安全状况并进行管理；RSA Server中的WEB网关缓存以及分布式缓存功能，可以加速对常用的WEB网站的访问，节约访问时间和节省带宽成本；RSA Server还可以轻松快速的部署VPN系统，实现总部与异地分支机构的安全互联。

RSA Server通过了国家公安部计算机信息系统安全质量监督检验中心的检验，取得了计算机信息系统安全专用产品销售许可证，在2005年的中国计算机报“一年一等待”网络产品评选活动中，RSA Server以其先进的防护设计、细粒度的防护措施以及优良的性能，获得广大用户及专家的一致好评，并获得年度优秀产品奖项。

4、网络数据传输安全

虽然在瑞友天翼应用服务器架构下，客户机与服务器之间通讯不传输真实数据，只传输鼠标、键盘的点击动作及图像的矢量信息，但瑞友天翼应用虚拟化系统的RAP协议仍然在对传输在客户端和服务器之间的数据包加密，且可由用户自行设置SSL（Secure Sockets Layer）和TLS的加密强度，加密强度可高达到128位，最大限度的保障了传输过程的安全性。

SSL/TLS是基于PKI（Public Key Infrastructure）信息安全技术，是目前Internet上广泛采用的安全服务。可以提供通讯中的数据保密性、完整性保护；通过强制客户端证书认证的TLS服务，同时可以实现对客户端身份和服务器端身份的双向验证。

5、天翼远程访问安全及身份认证

1）、图形验证码设计

使用图形附加码也是一种双因子认证技术手段，每次用户登录时，系统都会产生一个包含随机数字的图片，这个图片显示在用户的登录页面上，用户输入了用户名、密码之外还需要输入附加码以保证认证信息的新鲜性，从而为系统提供了更安全的认证手段，这种认证措施提供了双因素认证的手段，同时也不需要用户购买任何的硬件令牌，节省了用户的开支。

2）用户访问身份认证

天翼系统除了自带用户名密码认证控制外，还提供用户名密码＋令牌、用户名密码＋USBKey以及用户名密码＋手机短信等多种三方身份认证接口，为用户提供高安全的访问保障。

在选择采用IKey模式后的登陆界面

6、细粒度的应用程序访问策略控制

1）、访问安全策略

天翼系统可将每个应用连接做到细粒度访问控制，可以设置到某一个应用程序的访问策略，包括允许访问的客户端是采用什么网络协议连接、客户端的IP地址或硬件ID、在哪一天的什么时间段可以访问等综合策略，为天翼系统所发布的应用程序提供访问安全保障，防止被恶意用户不正当的访问。

2）、应用系统授权访问

天翼系统可针对发布的某一个应用系统或关键资源进行用户（组）权限授权，完全满足用户细致的访问权限管理，如您可以设置到哪一个用户能访问哪一个应用程序。

如上图所示，可设定6个天翼用户中的user01、user02、user03等三个用户有权限操作发布的word2003程序。

7、天翼安全事件管理

天翼系统可为用户提供所有用户及网络访问活动监控，可记录所有用户的全部访问与操作信息，可通过安全事件、审计事件、报警日志、会话日志等多角度去监控与管理整个应用安全状态，做到可记录、可追溯、动态报警的安全管理，从而帮助系统管理员及时发现及解决安全应用问题。见下图

8、服务器系统安全

天翼系统全面兼容Windwos系统的安全策略，它包括3项内容：用户策略、AD策略、NTFS设置（个别文件的设置、非系统盘的设置、系统盘的设置），这些安全策略可与天翼系统紧密结合起来，用户可根据自身情况，限制用户的各种行为，如隐匿硬盘、限制打印、存储等操作行为，并可通过天翼5的安全策略，实现对接入客户端电脑的各种USB、硬盘、串口、并口资源的使用限制，保障系统的安全、可靠、持续运行，将Windows操作系统B2级的安全管理完完全全的发挥出来。且天翼系统提供常见的安全策略模板，让用户快速实现系统安全策略配置。