年度渠道初级认证培训 资源和角色

SANGFORSSLVPN资源和角色 SSLVPN资源介绍 名词解释 SANGFORSSL资源是指远程接入SSLVPN后可供访问的内网服务 根据实现机制将资源分为3类 分别为WEB资源 APP资源 IP资源 SSLVPN资源介绍 WEB资源WEB资源通过SSL设备将内网服务转换成HTTPS协议 支持应用类型 仅支持部分HTTP HTTPS应用 MAIL FTP 优点 客户端免控件 所有浏览器均支持 建议 常规测试不建议使用WEB资源 较常用于手机 无IE浏览器等无法安装ActiveX控件条件的环境接入 SSLVPN资源介绍 WEB资源数据流示意图 1 客户端和SSL设备建立SSLVPN链接2 SSL设备进行协议转换 把Server的服务转换为Client浏览器可以打开的链接 如 http 192 168 1 66 转换为 https 218 241 145 36 web 1 http 0 192 168 1 66 3 由SSL设备自身发起对Server的访问请求 注意源是SSL设备IP 目标是Server 1 3 2 SSL设备地址 218 241 145 36服务器服务 http 192 168 1 66 SSLVPN资源介绍 APP资源APP资源的实现是通过在Client安装ProxyIE控件 由控件抓取访问服务器的数据并对数据进行封装 将普通的TCP连接转换成SSL协议数据实现的 支持应用类型 所有TCP应用 优点 适用范围广 仅自动在Client安装一个小控件建议 所有基于TCP的应用 建议首选添加APP资源 SSLVPN资源介绍 APP资源数据流示意图 1 客户端和SSL设备建立SSLVPN链接 客户端的ProxyIE控件抓取访问服务器的数据并对数据进行封装 将普通的TCP连接转换成SSL数据 传到SSL设备 2 数据到达SSL设备后 由SSL设备自身发起对服务器的访问 注意 源是SSL设备的IP 目标是Server 1 2 SSLVPN资源介绍 IP资源IP资源的实现是通过Client安装虚拟网卡 由虚拟网卡抓取访问服务器的数据 进行封装后通过虚拟网卡和SSL设备建立的隧道将数据传递到Server 支持应用类型 支持所有TCP UDP ICMP应用特点 Client需安装虚拟网卡 较APP的控件包大一些 首次远程接入SSL设备需安装虚拟网卡 实现方式类似于IPSEC的移动客户端 建议 基于UDP ICMP的应用或Server需主动访问Client端的应用的时候使用IP资源 IP资源数据流示意图 1 客户端和SSL设备建立SSLVPN链接 客户端虚拟网卡获得虚拟IP并建立SSL隧道 通过抓取访问服务器的数据并对数据进行封装传到SSL设备 2 数据到达SSL设备后解封装 由虚拟IP或设备自身IP发起对Server的访问 注意 源IP可以是Client端获得的虚拟IP 也可以是设备IP SSLVPN资源介绍 1 2 名词解释 SANGFORSSL角色是用户和资源之间的纽带 它用于给不同的用户分配不同的内网资源 以实现更细致化的远程接入控制 SSLVPN角色介绍 典型案例及配置 资源 角色 典型案例及配置 客户需求 出差的用户张三需要通过安全接入使用内网的OA系统 ERP系统和即时通讯工具RTX 需求确认 客户OA系统使用IE打开 地址为 http 192 168 1 66ERP系统也是使用IE打开 地址为 http 192 168 1 67 8080内网通讯工具RTX是使用客户端 服务器IP 192 168 1 68 端口是TCP8000 还有一些其他未知端口 典型案例及配置 配置思路 SSL设备部署好之后 实现一个简单而有效的远程接入 需要3要素 用户 资源 角色 用户 资源 角色 典型案例及配置 添加用户账号 张三 添加用户的配置 此PPT不再累述 资源配置 根据前面的讲解 客户所有的应用全部为TCP 所以选择新增APP资源 a 添加OA系统 类型选择HTTP IP为192 168 1 66 端口80b 添加ERP系统 类型选择HTTP IP 192 168 1 67 端口8080 c 添加RTX 类型选择Other IP为 192 168 1 68 因为有未知端口 为保险起见 端口添加为1 65535 3 新建 角色 关联用户 张三 和资源 典型案例及配置 1 SSLVPN配置 资源管理 APP资源 点击 新增资源 设置如下图 配置完成后 点击网页底部的 确定 典型案例及配置 2 添加ERP系统 类型选择HTTP IP 192 168 1 67 端口8080 点击 确定 典型案例及配置 3 添加RTX 类型选择Other IP为 192 168 1 68 因为有未知端口 为保险起见 端口添加为1 65535 典型案例及配置 角色配置 SSLVPN配置 角色管理 点击 新增角色 关联用户张三和资源OA系统 ERP系统 RTX 所有配置完成后 点击 配置生效 典型案例及配置 客户端登录访问 使用用户名 张三 登录SSLVPN 看到关联了三个资源 注意事项 用户关联APP资源和IP资源 默认登录后 APP控件和IP控件不会自动安装 您可以设置自动安装APP和IP服务 设置方法 SSLVPN设置 高级配置 系统选项 勾选 自动安装APP和IP服务 典型案例及配置 练练手 客户希望普通办公人员可以访问的内部的CS客户端的OA系统 IP 172 10 10 100 使用端口为TCP8088 8089 8090 邮件系统 IP 172 10 10 250 使用端口为TCP25 110 同时 客户希望网络管理员还能够通过SSL可以PINGOA和邮件服务器并能远程桌面管理 请问该如何配