《深信服渠道初级认证培训04VPN资源、角色和策略组》由会员分享,可在线阅读,更多相关《深信服渠道初级认证培训04VPN资源、角色和策略组(41页珍藏版)》请在金锄头文库上搜索。
1、SANGFOR SSL VPN 资源、角色、策略组培训内容培训目标SSL VPN资源1、掌握SSL VPN所有应用资源的实现原理以及支 持的应用类型(WEB、TCP、L3VPN和远程应用 发布)2、掌握SSL VPN所有资源类型的特点SSL VPN角色1、掌握SSL VPN角色的概念及作用SSL VPN策略组1、掌握SSL VPN策略组的概念及作用案例结合1、掌握三种基本应用资源(WEB、TCP和L3VPN )的配置方法2、掌握EasyLink资源的使用场景以及配置方法3、掌握角色在用户与资源之间的关系和具体配置SSL VPN 应用资源介绍深信服公司简介典型案例及配置EasyLink资源介绍以
2、及注意事项SANGFOR SSLSSL VPN角色、策略组介绍SSL VPN应用资源介绍名词解释:SANGFOR SSL资源是指远程接入SSL VPN后可供访问的服务。根据实现机制和应用服务的不同将资源分为4类,分别为WEB应用,TCP应用,L3VPN应用和远程应用。SSL VPN应用资源介绍 WEB应用WEB应用通过SSL设备将内网服务转换成HTTPS协议。支持应用类型:HTTP,HTTPS,MAIL,FTP和FileShare。优点:客户端免控件,所有浏览器均支持。建议: 常规测试不建议使用WEB应用,较常用于手机,无IE浏览器等无 法安装ActiveX控件条件的环境接入。注意:客户端接入
3、SSL VPN访问WEB应用,不能打开新窗口输入地址访问,只能点击链接或者利用WEB全网服务的地址栏访问。SSL VPN应用资源介绍WEB应用数据流示意图:1. 客户端和SSL设备建立SSLVPN链接2. SSL设备进行协议转换,把Server的服务转换为Client浏览器可以打开的链接,如:http:/192.168.1.66,转换为:https:/218.241.145.36/web/1/http/0/192.168.1.66/132SSL设备地址:218.241.145.36 服务器地址:http:/192.168.1.66SSL VPN应用介绍 TCP应用TCP应用的实现是通过在Cli
4、ent安装Proxy IE控件,由控件抓取访问服务器的数据并对数据进行封装,将普通的TCP连接转换成SSL协议数据实现的。支持应用类型:所有TCP应用。优点:适用范围广,仅自动在Client安装一个小控件建议: 所有基于TCP的应用,建议首选添加TCP应用。SSL VPN应用资源介绍TCP应用数据流示意图:1. 客户端和SSL设备建立SSLVPN链接,客户端的Proxy IE控件抓取访问服务器的数据并对数据进行封装,将普通的TCP连接转换成SSL数据,传到SSL设备。2. 数据到达SSL设备后,由SSL设备自身发起对服务器的访问,注意:源IP可以是虚拟IP池中的IP,也可以是设备的IP,默认是
5、SSL设备的IP。12SSL VPN应用资源介绍 L3VPN应用L3VPN应用的实现是通过在Client安装虚拟网卡,由虚拟网卡抓取访问服务器的数据,进行封装后通过虚拟网卡和SSL设备建立的隧道将数据传递到Server。支持应用类型:支持所有TCP、UDP、ICMP应用特点:Client需安装虚拟网卡,较TCP的控件包大一些。首次远程接入SSL设备需安装虚拟网卡,实现方式类似于IPSEC的移动客户端。建议: 基于UDP,ICMP的应用或Server需主动访问Client端的应用的时候使用L3VPN资源。L3VPN应用数据流示意图:1. 客户端和SSL设备建立SSLVPN链接,客户端虚拟网卡获得
6、虚拟IP并建立SSL隧道,通过抓取访问服务器的数据并对数据进行封装传到SSL设备。2. 数据到达SSL设备后解封装,由虚拟IP或设备自身IP发起对Server的访问。注意:源IP可以是Client端获得的虚拟IP,也可以是设备的IP,默认是SSL设备的IP。SSL VPN应用资源介绍12SSL VPN应用资源介绍 远程应用概念:远程应用采用基于服务器计算的应用模式,应用程序的安装、配置、管理、维护以及应用的执行均集中在服务器上进行,用户通过远程客户端登录服务器进行操作,输入输出的内容通过网络传输到客户端。特点:客户端无需安装应用程序,只需要安装RemoteAppClient组件;终端服务器需要
7、安装RemoteAppAgent组件。SSL VPN应用资源介绍 远程应用资源总体部署示意图:客户端在访问远程应用发布资源时就会安装上RemoteAppClient组件,RemoteAppAgent组件需要管理员在终端服务器上进行手动安装。SSL VPN应用资源介绍 远程应用资源总体部署示意图: RemoteApp Agent:安装在Windows 2003或Windows 2008服务器上的服务程序, 将服务器上的程序以远程应用的形式发布出来,管理远程发布的应用程序、与WebUI交互一些控制信息和状态信息。RemoteApp Client: 远程应用的客户端组件,利用该组件可以访问安装了Re
8、moteAPP Agent的虚拟终端服务器的应用程序。SSL VPN WebUI:集中对安装了RemoteApp Agent的远程终端服务器进行管理,配置需要发布的应用。SSL VPN角色介绍名词解释:SANGFOR SSL角色是用户和资源之间的纽带,它用于给不同的用户分配不同的内网资源,以实现更细致化的远程接入控制。用户资源角色策略组用来设置用户的接入客户端相关选项,账号属性和安全桌面相关信息。策略 组设置完成后,需被用户或者用户组关联才生效。根据需求的不同,可设置不同的 策略组分别与用户,用户组关联。SSL VPN策略组客户端选项用来设置客户端的隐私保护,带宽会话,是否允许PPTP方式 接
9、入,SSL专线,硬件特征码个数限制。 用户退出SSL VPN后,客户端电脑自动 清除缓存文件,cookies和浏览历史等 。为了防止某用户接入SSL VPN耗费了大量的带宽和 服务器资源,可对客户端 进行带宽和会话限制。 允许手机用户通过系统自带的 PPTP VPN接入和访问资源。用户接入SSL VPN 后,不允许上外网 。用户拥有的硬件特征码个数策略组-客户端选项账号控制用来设置账号相关的权限。启用系统托盘 登录SSL后,自动跳转到某个资源的页面仅允许用户在指定时间内登录SSL VPN记录用户访问资源的日志账号失效时间和账号 无流量自动断开时间 允许私有用户修改相关信息,提高易用性 。策略组
10、-账号控制典型案例及配置用户资源资源 角色典型案例及配置客户需求:出差的用户张三需要通过安全接入使用内网的OA系统、ERP系统和即时通讯工具RTX。需求确认:客户OA系统使用IE打开,地址为:http:/192.168.1.66ERP系统也是使用IE打开,地址为:http:/192.168.1.67:8080内网通讯工具RTX是使用客户端,服务器IP:192.168.1.68,端口是TCP8000,还有一些其他未知端口。典型案例及配置配置思路:1.添加用户账号“张三” (添加用户的配置,此PPT不再赘述)2.资源配置:根据前面的讲解,客户所有的应用全部为TCP,所以选择新增TCP应用:a. 添
11、加OA系统,类型选择HTTP,IP为 192.168.1.66 ,端口80b. 添加ERP系统,类型选择HTTP,IP:192.168.1.67,端口8080。c. 添加RTX,类型选择Other,IP为:192.168.1.68,因为有未知端,为保险起见,端口添加为1-65535。3. 新建“角色”,关联用户“张三”和资源。典型案例及配置1. 【SSL VPN设置】【资源管理】新建TCP应用,添加OA系统应用资源,类型为HTTP,IP为192.168.1.66,端口为80典型案例及配置2.【SSL VPN设置】【资源管理】新建TCP应用,添加ERP系统应用资源,类型为HTTP,IP为192.
12、168.1.67,端口为8080典型案例及配置3.【SSL VPN设置】【资源管理】新建TCP应用,添加RTX资源,类型为Other,IP为192.168.1.68,端口为1-65535典型案例及配置配置完以后,在资源管理页面可以看到以下资源列表:典型案例及配置4.【SSL VPN设置】【角色授权】新建角色,选择授权用户,关联用户张三,编辑授权资源列表,关联OA系统&ERP系统&RTX。此时,就可以将用户与资源关联起来。典型案例及配置客户端登录访问:使用用户名“张三”登录SSLVPN,看到关联了三个资源有关远程应用资源的应用场景以及相关配置请参考远程应用发布培训PPTEasyLink资源介绍什
13、么是EasyLink资源?EasyLink资源是一种特殊的WEB资源,它通过将SSL设备的接入域名指向WEB应用,或是在SSL设备上新开端口映射给WEB应用。EasyLink资源又叫做站点映射。EasyLink资源解决的问题:使用EasyLink的WEB资源可以支持更多的WEB应用。尤其适合于解决企业OA等逻辑复杂、大量使用Applet 、ActiveX控件的资源类型。http:/192.168.1.10IP1的8080端口映 射给10 IP1的8081端口映 射给11http:/192.168.1.11登录SSL VPNWAN:IP1LAN:192.168.1.1https:/IP1:808
14、0IP1:8080 DATA解密数据包发现目 的IP以及目的端口是 IP1:8080,于是设备 向10请求数据HTTP DATASSL将数据通过SSL 隧道传送给客户端HTTP DATA同理,如果客户端访问的是 IP1:8081,则SSL会向11请求 数据。EasyLink资源介绍EasyLink数据流走向端口模式http:/映射给10 映射给11http:/192.168.1.11登录SSL VPNWAN:IP1LAN:192.168.1.1http:/ DATA解密数据包发现 http头部是 ,于是设 备向10请求数据HTTP DATASSL将数据通过SSL 隧道传送给客户端HTTP DA
15、TA同理,如果客户端访问的是 ,则SSL会向11请求数据。 和需要在域名服务商处用A 记录指向IP1EasyLink资源介绍EasyLink数据流走向域名模式EasyLink资源介绍【SSL VPN设置】【资源管理】,新建WEB应用,并开启“站点映射”。站点映射支持两种模式,一种是VPN端口模式,通过将SSL设备的端口映射给WEB应用;另一种叫接入域名模式,通过将SSL的接入域名映射给WEB应用。勾选“启用 站点映射”将SSL的8080 端口映射给 OA系统将SSL的接入域 名 映射给OA系统启用内容重写后,会加 入对JS脚本函数的修正 和重写,可以弥补对一 些包含大量JS脚本函数 的交互式页
16、面修正不足 的情况。建议启用。EasyLink资源介绍案例背景:某客户网络拓扑如右图所示,SSL网关模式部署,客户内部有一业务系统提供给公司成员访问,客户的业务系统是用JSP所写的,系统交互复杂,并且大量使用了ActiveX控件。客户希望出差在外的人员能够通过手机接入SSL VPN访问到此业务系统。解决方案:客户的业务系统是用JSP所写的、大量使用了ActiveX控件且要求使用手机进行访问,建议除使用普通的WEB应用外,还需要启用EasyLink,即站点映射。EasyLink资源介绍配置思路:1.添加用户账号“张三” (添加用户的配置,此PPT不再赘述)2.资源配置:根据前面的讲解,将业务系统配置成WEB应用,开启站点映射,将SSL设备的8181端口映射给业务系统,为了加入对JS脚本函数的修正和重写,同时需要开启
