第五章

5.4移動接入資源發布技術Contents5.4.1移動接入資源發布需求5.4.2移動接入資源發布技術5.4.3用戶、角色、資源、策略組需求背景需求：出差或在家能接入企業/單位內網的應用系統需要支持電腦接入訪問B/S、C/S類所有應用支持在移動終端（手機、平板）使用windows上的應用解決方案：允許電腦接入后訪問授權的業務系統（地址、協議、端口）遠程應用發布實現windows應用在移動終端上使用Contents5.4.1移動接入資源發布需求5.4.2移動接入資源發布技術5.4.3用戶、角色、資源、策略組資源分類資源是指遠程接入SSLVPN后授權終端允許訪問的網絡服務根據實現機制和應用服務的不同將資源分為4類：WEB應用TCP應用L3VPN遠程應用WEB應用技術原理Web資源需求背景要求實現：用戶在外手機辦公，已經和總部建立了SSLVPN?，F在用戶需要通過手機訪問總部的web資源。用戶不希望在手機上安裝額外的控件。發布Web資源給該用戶！WEB應用WEB應用通過SSL設備將內網服務轉換成HTTPS協議。支持應用類型：HTTP，HTTPS，MAIL，FTP和FileShare。優點：客戶端免控件，所有瀏覽器均支持。建議：常規測試不建議使用WEB應用，適用于手機，無IE瀏覽器等無法安裝ActiveX控件條件的環境接入。注意：客戶端接入SSLVPN訪問WEB應用，不能打開新窗口輸入地址訪問，只能點擊鏈接或者利用WEB全網服務的地址欄訪問。WEB應用技術原理Web應用技術原理客戶端和SSL設備建立SSLVPN鏈接，SSLVPN中新建OA系統的資源。SSLVPN設備把Server的服務轉換為Client瀏覽器可以打開的鏈接，如：，轉換為：客戶端登錄VPN后，點擊資源連接列表，訪問OA資源。訪問的是。直接走VPN隧道。數據發送到SSLVPN設備后，SSLVPN解封裝，原本的HTTPS協議轉換成HTTP，以SSLVPN設備自身的IP（默認）或用戶的虛擬IP為源IP，重新發送請求給發送給OA服務器把資源加載到SSLVPN設備本地。而后SSLVPN應答客戶端的請求。【修改源IP是為了解決路由回包的問題】213IP頭部傳輸頭數據SIP：0DIP：8Sport：SSL9000Dport：SSL443請求獲取/web/1/http/0/00/的網頁資源IP頭部傳輸頭數據SIP：00DIP：00Sport：TCP9000Dport：TCP80請求獲取http://00的網頁資源WEB資源發布配置1.【SSLVPN設置】【資源管理】新建WEB應用，添加OA系統應用資源，類型為HTTP，IP為00WEB資源發布配置登錄成功初始化完成后，可以在資源列表看到對應的資源，點擊資源可以打開對應的系統，如下圖：從地址欄可以看到設備進行了協議轉換。TCP應用技術原理TCP資源需求背景要求實現：用戶在外電腦辦公，需要通過電腦遠程登錄總部的web服務器進行資源更新。發布TCP資源給該用戶！Web資源無法支持Telnet應用類型！TCP應用技術原理TCP應用TCP應用的實現是通過在Client安裝Proxy控件，由控件抓取訪問服務器的TCP連接并對數據進行封裝，將普通的TCP連接轉換成SSL協議數據實現的。支持應用類型：所有基于TCP傳輸協議的應用。優點：適用范圍廣，僅自動在Client安裝一個小控件建議：所有基于TCP的應用，建議首選添加TCP應用TCP應用案例客戶需求：1.出差的用戶需要通過SSLVPN安全接入使用內網的OA系統2.總部發布的是OA系統的TCP應用資源。需求確認：OA系統使用瀏覽器訪問，地址為：TCP應用技術原理客戶端和SSL設備建立SSLVPN鏈接，SSLVPN中新建OA系統的資源客戶端安裝ProxyIE控件（必須在資源已經建立的情況下安裝該控件，新建資源則要退出重新登錄以更新ProxyIE控件）。該控件可以辨別哪些流量走VPN隧道?？蛻舳说卿沄PN后，訪問00。ProxyIE識別該數據包是訪問TCP應用資源，是VPN流量，把數據包抓取并封裝到隧道中。把原來的整個數據包加密封裝到新數據包的應用層數據中。數據發送到SSLVPN設備后，SSLVPN解封裝，將源IP改為VPN設備自身IP（默認）或用戶的虛擬IP并把原始數據包發送給OA服務器?！拘薷脑碔P是為了解決路由回包的問題】21IP頭部傳輸頭數據SIP：0DIP：00Sport：TCP9000Dport：TCP80請求獲取http://00的網頁資源3IP頭部傳輸頭數據SIP：0DIP：8Sport：SSL6000Dport：SSL443DFH%$156445ProxyIE監視抓取IP頭部傳輸頭數據SIP：00DIP：00Sport：TCP9000Dport：TCP80請求獲取http://00的網頁資源TCP應用案例1.【SSLVPN設置】【資源管理】新建TCP應用，添加OA系統應用資源，類型為HTTP，IP為00，端口為80TCP應用案例登錄成功初始化完成后，可以在資源列表看到對應的資源，點擊資源或者在瀏覽器輸入地址都可以打開對應的系統，如下圖：L3VPN技術原理L3VPN資源需求背景要求實現：用戶在外電腦辦公，需要通過電腦訪問總部的SNMP服務器進行管理。發布L3VPN資源給該用戶！Web資源和TCP資源均無法支持SNMP的應用類型！L3VPN技術原理L3VPN應用L3VPN應用的實現是通過在Client安裝虛擬網卡，虛擬網卡在客戶端生成路由表指向虛擬網卡，由虛擬網卡抓取訪問服務器的數據，進行封裝后通過虛擬網卡和SSL設備建立的隧道將數據傳遞到Server。支持應用類型：支持所有基于TCP、UDP、ICMP的應用特點：Client需安裝虛擬網卡，較TCP的控件包大一些。首次登錄接入SSLVPN需安裝虛擬網卡，實現方式類似于IPsec的移動客戶端。建議：基于UDP，ICMP的應用或Server需主動訪問Client端的應用的時候使用L3VPN資源。L3VPN案例客戶需求：用戶需要通過SSLVPN安全接入內網。用戶希望以L3VPN資源訪問總部OA資源（00）。需求確認：IM通訊軟件是C/S架構，終端需要安裝IM客戶端IM服務器內網地址為：00使用協議端口為：UDP80L3VPN應用技術原理客戶端和SSL設備建立SSLVPN鏈接，SSLVPN中新建OA系統的資源客戶端安裝虛擬網卡控件（必須在資源已經建立的情況下安裝該控件，新建資源則要退出重新登錄以更新虛擬網卡控件）。該控件可以把去往L3VPN資源的路由條目下發到客戶端的本地路由表中。客戶端登錄VPN后，訪問00。通過查詢路由表，客戶端發現去往00的數據包應該給虛擬網卡進行處理。虛擬網卡對數據包進行封裝并送入SSLVPN隧道。把原來的整個數據包加密封裝到新數據包的應用層數據中，源IP改為虛擬網卡IP。數據發送到SSLVPN設備后，SSLVPN解封裝，源IP改為VPN設備自身IP（默認）或用戶的虛擬IP并把原始數據包發送給OA服務器。【修改源IP是為了解決路由回包的問題】21IP頭部傳輸頭數據SIP：DIP：00Sport：TCP9000Dport：TCP80請求獲取http://00的網頁資源3IP頭部傳輸頭數據SIP：0DIP：8Sport：SSL6000Dport：SSL443DFH%$15644IP頭部傳輸頭數據SIP：00DIP：00Sport：TCP9000Dport：TCP80請求獲取http://00的網頁資源5虛擬網卡監視抓取L3VPN案例在設備控制臺添加對應的L3VPN資源，如下圖：L3VPN案例登錄過程會自動安裝必須的對應SSLVPN組件，如下圖為登錄過程初始化過程：L3VPN案例登錄成功后，客戶端獲取到虛擬IP地址（），并且在系統自動生成了一條DIP為00的資源路由，如下圖：遠程應用技術原理遠程應用技術原理采用基于服務器計算的應用模式，應用程序的安裝、配置、管理、維護以及應用的執行均集中在服務器上進行，用戶通過遠程客戶端登錄服務器進行操作，輸入輸出的內容通過網絡傳輸到客戶端。技術特點客戶端無需安裝應用程序，只需要安裝EasyConnect客戶端；終端服務器需要安裝RemoteServerAgent組件。減少C/S應用系統使用的局限性，提高易用性；某些B/S架構的應用需要在客戶端瀏覽器安裝插件才能訪問，但是該插件對手機或者平板不兼容，不支持安裝等情況，可以通過遠程應用發布的方式來使用。遠程應用技術原理遠程應用案例客戶需求：移動終端用戶、PC通過SSLVPN安全接入內網，在用戶本地不需要安裝對應的應用系統軟件，可以使用企業內部運行在windows平臺的辦公系統應用。需求確認：應用系統軟件是C/S、B/S架構，不支持移動終端，比如IE瀏覽器、ERP系統、MSoffice應用等遠程應用案例1.通過終端服務器登錄SSLVPN，并通過[SSLVPN設置]—[終端服務器管理]—下載終端服務器程序SFRemoteAppServerInstall.exe，并在服務器上雙擊運行安裝。遠程應用案例在[SSLVPN設置]—[終端服務器管理]--新建--服務器，填寫服務器名稱、WindowsServer的IP地址、用戶名和密碼，點擊“測試鏈接”測試SSLVPN設備與終端服務器的連接情況。正常會提示“連接并認證終端服務器成功”如下圖：點擊“添加預設”，選擇需要發布的應用程序，選擇要發布的IE瀏覽器遠程應用案例完成添加配置后，點擊保存；點擊右上角“立即生效”后，可以查看已添加的終端服務器在線狀態，如下圖：遠程應用案例配置資源名稱、應用程序類型、啟動參數等，如下圖：配置好后，在資源組里面可以查看配置好的遠程應用資源，如下圖：遠程應用案例登錄成功后，顯示資源頁面，點擊該遠程應用資源，即可打開發布的遠程應用資源，如下圖：遠程應用案例移動終端通過EasyConnect登錄成功后，在資源頁面，點擊遠程應用資源，即可打開發布的遠程應用資源，如下圖：遠程應用案例移動終端通過EasyConnect登錄成功后，在資源頁面，點擊遠程應用資源，即可打開發布的遠程應用資源，如下圖：Contents5.4.1移動接入資源發布需求5.4.2移動接入資源發布技術5.4.3用戶、角色、資源、策略組用戶、角色、資源【角色】名詞解釋：SANGFORSSL角色是用戶和資源之間的紐帶，它用于給不同的用戶關聯不同的內網資源，以實現更細致化的遠程接入控制。用戶資源角色角色配置策略組用來設置用戶的接入VPN的安全策略。包括以下內容：客戶端相關選項，帳號屬性和安全桌面相關信息。策略組設置完成后，需被用戶或者用戶組關聯才生效。根據需求的不同，可設置不同的策略組分別與用戶，用戶組關聯。策略組客戶端選項用來設置客戶端的隱私保護，帶寬會話，是否允許PPTP方式接入，SSL專線，硬件特征碼個數限制。用戶退出SSLVPN后，客戶端電腦自動清除緩存文件，cookies和瀏覽歷史等。為了防止某用戶接入SSLVPN耗費了大量的帶寬和服務器資源，