深信服渠道初級(jí)認(rèn)證培訓(xùn)04VPN資源、角色和策略組

深信服渠道初級(jí)認(rèn)證培訓(xùn)04VPN資源、角色和策略組第一頁，共42頁。培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)SSLVPN資源1、掌握SSLVPN所有應(yīng)用資源的實(shí)現(xiàn)原理以及支持的應(yīng)用類型（WEB、TCP、L3VPN和遠(yuǎn)程應(yīng)用發(fā)布）2、掌握SSLVPN所有資源類型的特點(diǎn)SSLVPN角色1、掌握SSLVPN角色的概念及作用SSLVPN策略組1、掌握SSLVPN策略組的概念及作用案例結(jié)合1、掌握三種基本應(yīng)用資源（WEB、TCP和L3VPN）的配置方法2、掌握EasyLink資源的使用場(chǎng)景以及配置方法3、掌握角色在用戶與資源之間的關(guān)系和具體配置第二頁，共42頁。SSLVPN應(yīng)用資源介紹深信服公司簡(jiǎn)介典型案例及配置EasyLink資源介紹以及注意事項(xiàng)SANGFORSSLSSLVPN角色、策略組介紹第三頁，共42頁。SSLVPN應(yīng)用資源介紹

名詞解釋：

SANGFORSSL資源是指遠(yuǎn)程接入SSLVPN后可供訪問的服務(wù)。根據(jù)實(shí)現(xiàn)機(jī)制和應(yīng)用服務(wù)的不同將資源分為4類，分別為WEB應(yīng)用，TCP應(yīng)用，L3VPN應(yīng)用和遠(yuǎn)程應(yīng)用。第四頁，共42頁。SSLVPN應(yīng)用資源介紹WEB應(yīng)用WEB應(yīng)用通過SSL設(shè)備將內(nèi)網(wǎng)服務(wù)轉(zhuǎn)換成HTTPS協(xié)議。支持應(yīng)用類型：HTTP，HTTPS，MAIL，F(xiàn)TP和。優(yōu)點(diǎn)：客戶端免控件，所有瀏覽器均支持。建議：常規(guī)測(cè)試不建議使用WEB應(yīng)用，較常用于手機(jī)，無IE瀏覽器等無法安裝ActiveX控件條件的環(huán)境接入。注意：客戶端接入SSLVPN訪問WEB應(yīng)用，不能打開新窗口輸入地址訪問，只能點(diǎn)擊鏈接或者利用WEB全網(wǎng)服務(wù)的地址欄訪問。第五頁，共42頁。SSLVPN應(yīng)用資源介紹WEB應(yīng)用數(shù)據(jù)流示意圖：1.客戶端和SSL設(shè)備建立SSLVPN鏈接2.SSL設(shè)備進(jìn)行協(xié)議轉(zhuǎn)換，把Server的服務(wù)轉(zhuǎn)換為Client瀏覽器可以打開的鏈接，如：，轉(zhuǎn)換為：132SSL設(shè)備地址：6服務(wù)器地址：第六頁，共42頁。SSLVPN應(yīng)用介紹TCP應(yīng)用TCP應(yīng)用的實(shí)現(xiàn)是通過在Client安裝ProxyIE控件，由控件抓取訪問服務(wù)器的數(shù)據(jù)并對(duì)數(shù)據(jù)進(jìn)行封裝，將普通的TCP連接轉(zhuǎn)換成SSL協(xié)議數(shù)據(jù)實(shí)現(xiàn)的。支持應(yīng)用類型：所有TCP應(yīng)用。優(yōu)點(diǎn)：適用范圍廣，僅自動(dòng)在Client安裝一個(gè)小控件建議：所有基于TCP的應(yīng)用，建議首選添加TCP應(yīng)用。第七頁，共42頁。SSLVPN應(yīng)用資源介紹TCP應(yīng)用數(shù)據(jù)流示意圖：1.客戶端和SSL設(shè)備建立SSLVPN鏈接，客戶端的ProxyIE控件抓取訪問服務(wù)器的數(shù)據(jù)并對(duì)數(shù)據(jù)進(jìn)行封裝，將普通的TCP連接轉(zhuǎn)換成SSL數(shù)據(jù)，傳到SSL設(shè)備。2.數(shù)據(jù)到達(dá)SSL設(shè)備后，由SSL設(shè)備自身發(fā)起對(duì)服務(wù)器的訪問，注意：源IP可以是虛擬IP池中的IP，也可以是設(shè)備的IP，默認(rèn)是SSL設(shè)備的IP。12第八頁，共42頁。SSLVPN應(yīng)用資源介紹L3VPN應(yīng)用L3VPN應(yīng)用的實(shí)現(xiàn)是通過在Client安裝虛擬網(wǎng)卡，由虛擬網(wǎng)卡抓取訪問服務(wù)器的數(shù)據(jù)，進(jìn)行封裝后通過虛擬網(wǎng)卡和SSL設(shè)備建立的隧道將數(shù)據(jù)傳遞到Server。支持應(yīng)用類型：支持所有TCP、UDP、ICMP應(yīng)用特點(diǎn)：Client需安裝虛擬網(wǎng)卡，較TCP的控件包大一些。首次遠(yuǎn)程接入SSL設(shè)備需安裝虛擬網(wǎng)卡，實(shí)現(xiàn)方式類似于IPSEC的移動(dòng)客戶端。建議：基于UDP，ICMP的應(yīng)用或Server需主動(dòng)訪問Client端的應(yīng)用的時(shí)候使用L3VPN資源。第九頁，共42頁。L3VPN應(yīng)用數(shù)據(jù)流示意圖：1.客戶端和SSL設(shè)備建立SSLVPN鏈接，客戶端虛擬網(wǎng)卡獲得虛擬IP并建立SSL隧道，通過抓取訪問服務(wù)器的數(shù)據(jù)并對(duì)數(shù)據(jù)進(jìn)行封裝傳到SSL設(shè)備。2.數(shù)據(jù)到達(dá)SSL設(shè)備后解封裝，由虛擬IP或設(shè)備自身IP發(fā)起對(duì)Server的訪問。注意：源IP可以是Client端獲得的虛擬IP，也可以是設(shè)備的IP，默認(rèn)是SSL設(shè)備的IP。SSLVPN應(yīng)用資源介紹12第十頁，共42頁。SSLVPN應(yīng)用資源介紹遠(yuǎn)程應(yīng)用概念：遠(yuǎn)程應(yīng)用采用基于服務(wù)器計(jì)算的應(yīng)用模式，應(yīng)用程序的安裝、配置、管理、維護(hù)以及應(yīng)用的執(zhí)行均集中在服務(wù)器上進(jìn)行，用戶通過遠(yuǎn)程客戶端登錄服務(wù)器進(jìn)行操作，輸入輸出的內(nèi)容通過網(wǎng)絡(luò)傳輸?shù)娇蛻舳?。特點(diǎn)：客戶端無需安裝應(yīng)用程序，只需要安裝RemoteAppClient組件；終端服務(wù)器需要安裝RemoteAppAgent組件。第十一頁，共42頁。SSLVPN應(yīng)用資源介紹遠(yuǎn)程應(yīng)用資源總體部署示意圖：客戶端在訪問遠(yuǎn)程應(yīng)用發(fā)布資源時(shí)就會(huì)安裝上RemoteAppClient組件，RemoteAppAgent組件需要管理員在終端服務(wù)器上進(jìn)行手動(dòng)安裝。第十二頁，共42頁。SSLVPN應(yīng)用資源介紹遠(yuǎn)程應(yīng)用資源總體部署示意圖：

RemoteAppAgent：安裝在Windows2003或Windows2008服務(wù)器上的服務(wù)程序，將服務(wù)器上的程序以遠(yuǎn)程應(yīng)用的形式發(fā)布出來，管理遠(yuǎn)程發(fā)布的應(yīng)用程序、與WebUI交互一些控制信息和狀態(tài)信息。RemoteAppClient:遠(yuǎn)程應(yīng)用的客戶端組件，利用該組件可以訪問安裝了RemoteAPPAgent的虛擬終端服務(wù)器的應(yīng)用程序。SSLVPNWebUI：集中對(duì)安裝了RemoteAppAgent的遠(yuǎn)程終端服務(wù)器進(jìn)行管理，配置需要發(fā)布的應(yīng)用。第十三頁，共42頁。SSLVPN角色介紹名詞解釋：

SANGFORSSL角色是用戶和資源之間的紐帶，它用于給不同的用戶分配不同的內(nèi)網(wǎng)資源，以實(shí)現(xiàn)更細(xì)致化的遠(yuǎn)程接入控制。用戶資源角色第十四頁，共42頁。策略組用來設(shè)置用戶的接入客戶端相關(guān)選項(xiàng)，賬號(hào)屬性和安全桌面相關(guān)信息。策略組設(shè)置完成后，需被用戶或者用戶組關(guān)聯(lián)才生效。根據(jù)需求的不同，可設(shè)置不同的策略組分別與用戶，用戶組關(guān)聯(lián)。SSLVPN策略組第十五頁，共42頁?？蛻舳诉x項(xiàng)用來設(shè)置客戶端的隱私保護(hù)，帶寬會(huì)話，是否允許PPTP方式接入，SSL專線，硬件特征碼個(gè)數(shù)限制。

用戶退出SSLVPN后，客戶端電腦自動(dòng)清除緩存文件，cookies和瀏覽歷史等。為了防止某用戶接入SSLVPN耗費(fèi)了大量的帶寬和服務(wù)器資源，可對(duì)客戶端進(jìn)行帶寬和會(huì)話限制。允許手機(jī)用戶通過系統(tǒng)自帶的PPTPVPN接入和訪問資源。用戶接入SSLVPN后，不允許上外網(wǎng)。用戶擁有的硬件特征碼個(gè)數(shù)策略組-客戶端選項(xiàng)第十六頁，共42頁。賬號(hào)控制用來設(shè)置賬號(hào)相關(guān)的權(quán)限。啟用系統(tǒng)托盤登錄SSL后，自動(dòng)跳轉(zhuǎn)到某個(gè)資源的頁面僅允許用戶在指定時(shí)間內(nèi)登錄SSLVPN記錄用戶訪問資源的日志賬號(hào)失效時(shí)間和賬號(hào)無流量自動(dòng)斷開時(shí)間允許私有用戶修改相關(guān)信息，提高易用性。策略組-賬號(hào)控制第十七頁，共42頁。典型案例及配置用戶資源資源角色第十八頁，共42頁。典型案例及配置客戶需求：出差的用戶張三需要通過安全接入使用內(nèi)網(wǎng)的OA系統(tǒng)、ERP系統(tǒng)和即時(shí)通訊工具RTX。需求確認(rèn)：客戶OA系統(tǒng)使用IE打開，地址為：ERP系統(tǒng)也是使用IE打開，地址為：內(nèi)網(wǎng)通訊工具RTX是使用客戶端，服務(wù)器IP：8，端口是TCP8000，還有一些其他未知端口。第十九頁，共42頁。典型案例及配置配置思路：1.添加用戶賬號(hào)“張三”（添加用戶的配置，此PPT不再贅述）2.資源配置：根據(jù)前面的講解，客戶所有的應(yīng)用全部為TCP，所以選擇新增TCP應(yīng)用：a.添加OA系統(tǒng)，類型選擇HTTP，IP為6，端口80b.添加ERP系統(tǒng)，類型選擇HTTP，IP:7，端口8080。c.添加RTX，類型選擇Other，IP為：8，因?yàn)橛形粗?，為保險(xiǎn)起見，端口添加為1-65535。3.新建“角色”，關(guān)聯(lián)用戶“張三”和資源。第二十頁，共42頁。典型案例及配置1.【SSLVPN設(shè)置】【資源管理】新建TCP應(yīng)用，添加OA系統(tǒng)應(yīng)用資源，類型為HTTP，IP為6，端口為80第二十一頁，共42頁。典型案例及配置2.【SSLVPN設(shè)置】【資源管理】新建TCP應(yīng)用，添加ERP系統(tǒng)應(yīng)用資源，類型為HTTP，IP為7，端口為8080第二十二頁，共42頁。典型案例及配置3.【SSLVPN設(shè)置】【資源管理】新建TCP應(yīng)用，添加RTX資源，類型為Other，IP為8，端口為1-65535第二十三頁，共42頁。典型案例及配置配置完以后，在資源管理頁面可以看到以下資源列表：第二十四頁，共42頁。典型案例及配置

4.【SSLVPN設(shè)置】【角色授權(quán)】新建角色，選擇授權(quán)用戶，關(guān)聯(lián)用戶張三，編輯授權(quán)資源列表，關(guān)聯(lián)OA系統(tǒng)&ERP系統(tǒng)&RTX。此時(shí)，就可以將用戶與資源關(guān)聯(lián)起來。第二十五頁，共42頁。典型案例及配置客戶端登錄訪問：使用用戶名“張三”登錄SSLVPN，看到關(guān)聯(lián)了三個(gè)資源有關(guān)遠(yuǎn)程應(yīng)用資源的應(yīng)用場(chǎng)景以及相關(guān)配置請(qǐng)參考《遠(yuǎn)程應(yīng)用發(fā)布》培訓(xùn)PPT第二十六頁，共42頁。EasyLink資源介紹什么是EasyLink資源？EasyLink資源是一種特殊的WEB資源，它通過將SSL設(shè)備的接入域名指向WEB應(yīng)用，或是在SSL設(shè)備上新開端口映射給WEB應(yīng)用。EasyLink資源又叫做站點(diǎn)映射。EasyLink資源解決的問題：使用EasyLink的WEB資源可以支持更多的WEB應(yīng)用。尤其適合于解決企業(yè)OA等邏輯復(fù)雜、大量使用Applet

、ActiveX控件的資源類型。第二十七頁，共42頁。IP1的8080端口映射給10IP1的8081端口映射給11登錄SSLVPNWAN：IP1LAN：IP1:8080DATA解密數(shù)據(jù)包發(fā)現(xiàn)目的IP以及目的端口是IP1:8080，于是設(shè)備向10請(qǐng)求數(shù)據(jù)HTTPDATASSL將數(shù)據(jù)通過SSL隧道傳送給客戶端HTTPDATA同理，如果客戶端訪問的是IP1:8081，則SSL會(huì)向11請(qǐng)求數(shù)據(jù)。EasyLink資源介紹EasyLink數(shù)據(jù)流走向—端口模式第二十八頁，共42頁。映射給10映射給11登錄SSLVPNWAN：IP1LAN：DATA解密數(shù)據(jù)包發(fā)現(xiàn)http頭部是，于是設(shè)備向10請(qǐng)求數(shù)據(jù)HTTPDATASSL將數(shù)據(jù)通過SSL隧道傳送給客戶端HTTPDATA同理，如果客戶端訪問的是，則SSL會(huì)向11請(qǐng)求數(shù)據(jù)。和需要在域名服務(wù)商處用A記錄指向IP1EasyLink資源介紹EasyLink數(shù)據(jù)流走向—域名模式第二十九頁，共42頁。EasyLink資源介紹【SSLVPN設(shè)置】【資源管理】，新建WEB應(yīng)用，并開啟“站點(diǎn)映射”。站點(diǎn)映射支持兩種模式，一種是VPN端口模式，通過將SSL設(shè)備的端口映射給WEB應(yīng)用；另一種叫接入域名模式，通過將SSL的接入域名映射給WEB應(yīng)用。勾選“啟用站點(diǎn)映射”將SSL的8080端口映射給OA系統(tǒng)將SSL的接入域名映射給OA系統(tǒng)啟用內(nèi)容重寫后，會(huì)加入對(duì)JS腳本函數(shù)的修正和重寫，可以彌補(bǔ)對(duì)一些包含大量JS腳本函數(shù)的交互式頁面修正不足的情況。建議啟用。第三十頁，共42頁。EasyLink資源介紹案例背景：某客戶網(wǎng)絡(luò)拓?fù)淙缬覉D所示，SSL網(wǎng)關(guān)模式部署，客戶內(nèi)部有一業(yè)務(wù)系統(tǒng)提供給公司成員訪問，客戶的業(yè)務(wù)系統(tǒng)是用JSP所寫的，系統(tǒng)交互復(fù)雜，并且大量使用了ActiveX控件?？蛻粝Ｍ霾钤谕獾娜藛T能夠通過手機(jī)接入SSLVPN訪問到此業(yè)務(wù)系統(tǒng)。解決方案：客戶的業(yè)務(wù)系統(tǒng)是用JSP所寫的、大量使用了ActiveX控件且要求使用手機(jī)進(jìn)行訪問，建議除使用普通的WEB應(yīng)用外，還需要啟用EasyLink，即站點(diǎn)映射。第三十一頁，共42頁。EasyLink資源介紹配置思路：1.添加用戶賬號(hào)“張三”（添加用戶的配置，此PPT不再贅述）2.資源配置：根據(jù)前面的講解，將業(yè)務(wù)系統(tǒng)配置成WEB應(yīng)用，開啟站點(diǎn)映射，將SSL設(shè)備的8181端口映射給業(yè)務(wù)系統(tǒng)，為了加入對(duì)JS腳本函數(shù)的修正和重寫，同時(shí)需要開啟內(nèi)容重寫。3.新建“角色”，關(guān)聯(lián)用戶“張三”和資源。（有關(guān)角色的配置，請(qǐng)參考前面的案例，此處不再贅述）第三十二頁，共42頁。EasyLink資源介紹EasyLink資源配置如下：此時(shí)，用戶登錄SSLVPN訪問該業(yè)務(wù)系統(tǒng)時(shí)，可看到業(yè)務(wù)系統(tǒng)的URL為第三十三頁，共42頁。EasyLink資源介紹在使用EasyLink資源時(shí)，有以下幾點(diǎn)注意事項(xiàng)：1.資源地址偽裝與站點(diǎn)映射（即EasyLink）無法同時(shí)啟用，兩者只能任選其一。2.將SSL的端口映射給WEB應(yīng)用時(shí)，該端口不能被其他應(yīng)用占用。3.將SSL的接入域名映射給WEB應(yīng)用后，客戶端不能使用該域名接入SSL，但可以通過SSL設(shè)備的IP地址或者是沒有做域名映射的域名接入SSL。SSL的一個(gè)接入域名只能對(duì)應(yīng)內(nèi)網(wǎng)的一個(gè)WEB應(yīng)用。4.SSL單臂模式部署時(shí)，啟用了端口映射后，如某個(gè)WEB應(yīng)用映射了SSL的8080端口，前置防火墻除了映射默認(rèn)的TCP443端口外，還需要映射8080端口給SSL設(shè)備的LAN口以及放通8080端口的訪問。5.用戶訪問時(shí)，需要通過點(diǎn)擊web資源進(jìn)行訪問（不支持新開瀏覽器輸入域名）第三十四頁，共42頁。1.TCP應(yīng)用和L3VPN應(yīng)用通過組件抓包實(shí)現(xiàn)，登錄SSL后，默認(rèn)不會(huì)自動(dòng)安裝TCP和L3VPN組件，但是可以通過設(shè)置實(shí)現(xiàn)自動(dòng)安裝組件?！維SLVPN選項(xiàng)】【系統(tǒng)選項(xiàng)】【客戶端選項(xiàng)】，勾選“用戶登錄后，自動(dòng)安裝TCP、L3VPN應(yīng)用組件”，如圖：注意事項(xiàng)第三十五頁，共42頁。2.如果是ADSL撥號(hào)環(huán)境，可以使用WebAgent技術(shù)來實(shí)現(xiàn)SSLVPN的接入訪問。如果該設(shè)備同時(shí)使用IPSecVPN和SSLVPN，那么WebAgent地址可以用同一個(gè)?？蛻舳溯斎胪暾腤ebAgent地址到瀏覽器即可訪問。注意事項(xiàng)第三十六頁，共42頁。注意事項(xiàng)資源服務(wù)模式1、使用設(shè)備的IP地址作為源地址：則訪問資源時(shí)，數(shù)據(jù)到達(dá)內(nèi)網(wǎng)服務(wù)器時(shí)看到的源IP地址是SSL設(shè)備的LAN口地址2、使用分配的虛擬IP地址作為源地址：則訪問資源時(shí)，數(shù)據(jù)到達(dá)內(nèi)網(wǎng)服務(wù)器時(shí)看到的源IP地址是客戶端PC獲取的虛擬IP地址第三十七頁，共42頁。注意事項(xiàng)資源服務(wù)模式（單臂模式）如左圖所示：1、設(shè)備單臂部署，LAN口地址,虛擬