SANGFOR_SSL_v7.0_2016年度渠道高级认证培训03_VPN资源进阶培训
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
192.200.200.X/24 GW:192.200.200.254 OA:192.200.200.20/24 GW:192.200.200.254
EasyLink资源介绍
配置思路:
1.添加用户账号“张三” (添加用户的配置,此PPT不再赘述)
2.资源配置: 根据前面的讲解,将业务系统配置成WEB应用,开启站点映射,将SSL
HTTP DATA
解密数据包发现目 的IP以及目的端口是 IP1:8080,于是设备 向10请求数据
LAN:192.168.1.1
HTTP DATA
http://192.168.1.10
http://192.168.1.11
同理,如果客户端访问的是 IP1:8081,则SSL会向11请求 数据。
EasyLink资源介绍
资源服务选项
• 资源服务模式
1、使用设备的IP地址作为源地址:则访问资源时,数据到达内网服务器时看到的 源IP地址是SSL设备的LAN口地址 2、使用分配的虚拟IP地址作为源地址:则访问资源时,数据到达内网服务器时看 到的源IP地址是客户端PC获取的虚拟IP地址
资源服务选项
• 资源服务模式(单臂模式)
192.200.200.X/24 GW:192.200.200.254
OA:192.200.200.20/24 GW:192.200.200.254
问题思考
1.EasyLink资源的实现方式有哪两种模式?这两种模式是如何实现的? 2.请简述EasyLink资源的应用场景? 3.资源服务选项支持哪两种模式?各有什么不同?
SANGFOR SSL VPN 资源、角色、策略组
培训内容 EasyLink资源
培训目标 1、掌握EasyLink应用资源的实现原理以及配置
资源服务选项
1、掌握SSL VPN资源服务选项的概念及作用
案例结合
1、掌握EasyLink资源的配置方法
EasyLink资源介绍
资源服务选项介绍
SANGFOR SSL
典型案例及配置
深信服公司简介 练练手
EasyLink资源介绍
什么是EasyLink资源? EasyLink资源是一种特殊的WEB资源,它通过将SSL设备的接入域名 指向WEB应用,或是在SSL设备上新开端口映射给WEB应用。EasyLink资 源又叫做站点映射。 EasyLink资源解决的问题: 使用EasyLink的WEB资源可以支持更多的WEB应用。尤其适合于解决 企业OA等逻辑复杂、大量使用Applet 、ActiveX控件的资源类型。
如左图所示: 1、设备单臂部署,LAN口地址192.168.1.2,虚拟IP池范 围2.0.1.1 - 2.0.1.254 2、防火墙内网口地址192.168.1.1 3、web服务器地址192.168.1.3,网关指向192.168.1.1 思考:如果资源服务模式选择“使用分配的虚拟IP地址 作为源地址”,此时通过SSLVPN访问web服务器资 源是否有问题?该如何解决这个问题? 原因:数据到达web服务器时源IP是2.0.1.x网段的, 服务器的网关指向前面防火墙,回包时,数据直接从 公网出去了,而不会回到SSL设备LAN口。 方法1:直接将web服务器的网关指向SSL的LAN口地址 方法2:在前置三层设备(3SW或FW)添加到虚拟IP池 2.0.1.X网段的路由,下一跳指给SSL的LAN口地址
EasyLink资源介绍
在使用EasyLink资源时,有以下几点注意事项:
1.资源地址伪装与站点映射(即EasyLink)无法同时启用,两者只能任选其一。
2.将SSL的端口映射给WEB应用时,该端口不能被其他应用占用。 3.将SSL的接入域名映射给WEB应用后,客户端不能使用该域名接入SSL,但可 以通过SSL设备的IP地址或者是没有做域名映射的域名接入SSL。SSL的一 个接入域名只能对应内网的一个WEB应用。 4.SSL单臂模式部署时,启用了端口映射后,如某个WEB应用映射了SSL的8080 端口,前置防火墙除了映射默认的TCP443端口外,还需要映射8080端口 给SSL设备的LAN口以及放通8080端口的访问。 5.用户访问时,需要通过点击web资源进行访问(不支持新开浏览器输入域名)
EasyLink数据流走向TA
映射给10 映射给11 解密数据包发现 http头部是 ,于是设 备向10请求数据
WAN:IP1 SSL将数据通过SSL 隧道传送给客户端
HTTP DATA
WAN:202.96.137.75/24 LAN:192.200.200.254/24
员访问,客户的业务系统是用JSP所写的,系
统交互复杂,并且大量使用了ActiveX控件。 客户希望出差在外的人员能够通过手机接入 SSL VPN访问到此业务系统。 解决方案:客户的业务系统是用JSP所写的、 大量使用了ActiveX控件且要求使用手机进行 访问,建议除使用普通的WEB应用外,还需 要启用EasyLink,即站点映射。
LAN:192.168.1.1
HTTP DATA
http://192.168.1.10
同理,如果客户端访问的是, 则SSL会向11请求数据。和 需要在域名服务商处用A记 http://192.168.1.11 录指向IP1
EasyLink资源介绍
【SSL VPN设置】【资源管理】,新建WEB应用,并开启“站点映射”。站 点映射支持两种模式,一种是VPN端口模式,通过将SSL设备的端口映射给 WEB应用;另一种叫接入域名模式,通过将SSL的接入域名映射给WEB应用。
练练手
WAN:202.96.137.75/24 LAN:192.200.200.254/24
某客户网络拓扑如右图所示,SSL网关模式 部署,客户内部有一业务系统提供给公司成 员访问,客户的业务系统是用JSP所写的, 系统交互复杂,并且大量使用了ActiveX控 件。客户希望出差在外的人员能够通过手机 接入SSL VPN访问到此业务系统。
EasyLink资源介绍
EasyLink数据流走向—端口模式
IP1的8080端口映 射给192.168.1.10 IP1的8081端口映 射给192.168.1.11
登录SSL VPN
IP1:8080 DATA
https://IP1:8080
WAN:IP1 SSL将数据通过SSL 隧道传送给客户端
设备的8181端口映射给业务系统,为了加入对JS脚本函数的修正
和重写,同时需要开启内容重写。 3. 新建“角色”,关联用户“张三”和资源。(有关角色的配置,请参 考前面的案例,此处不再赘述)
EasyLink资源介绍
EasyLink资源配置如下:
此时,用户登录SSL VPN访 问该业务系统时,可看到 业务系统的URL为 https://202.96.137.75:8181
将SSL的接入域 名 映射给OA系统 勾选“启用 站点映射” 启用内容重写后,会加 入对JS脚本函数的修正 和重写,可以弥补对一 些包含大量 将SSL 的8080 JS脚本函数 的交互式页面修正不足 端口映射给 的情况。建议启用。 OA系统
EasyLink资源介绍
案例背景:
某客户网络拓扑如右图所示,SSL网关模式 部署,客户内部有一业务系统提供给公司成
EasyLink资源介绍
配置思路:
1.添加用户账号“张三” (添加用户的配置,此PPT不再赘述)
2.资源配置: 根据前面的讲解,将业务系统配置成WEB应用,开启站点映射,将SSL
HTTP DATA
解密数据包发现目 的IP以及目的端口是 IP1:8080,于是设备 向10请求数据
LAN:192.168.1.1
HTTP DATA
http://192.168.1.10
http://192.168.1.11
同理,如果客户端访问的是 IP1:8081,则SSL会向11请求 数据。
EasyLink资源介绍
资源服务选项
• 资源服务模式
1、使用设备的IP地址作为源地址:则访问资源时,数据到达内网服务器时看到的 源IP地址是SSL设备的LAN口地址 2、使用分配的虚拟IP地址作为源地址:则访问资源时,数据到达内网服务器时看 到的源IP地址是客户端PC获取的虚拟IP地址
资源服务选项
• 资源服务模式(单臂模式)
192.200.200.X/24 GW:192.200.200.254
OA:192.200.200.20/24 GW:192.200.200.254
问题思考
1.EasyLink资源的实现方式有哪两种模式?这两种模式是如何实现的? 2.请简述EasyLink资源的应用场景? 3.资源服务选项支持哪两种模式?各有什么不同?
SANGFOR SSL VPN 资源、角色、策略组
培训内容 EasyLink资源
培训目标 1、掌握EasyLink应用资源的实现原理以及配置
资源服务选项
1、掌握SSL VPN资源服务选项的概念及作用
案例结合
1、掌握EasyLink资源的配置方法
EasyLink资源介绍
资源服务选项介绍
SANGFOR SSL
典型案例及配置
深信服公司简介 练练手
EasyLink资源介绍
什么是EasyLink资源? EasyLink资源是一种特殊的WEB资源,它通过将SSL设备的接入域名 指向WEB应用,或是在SSL设备上新开端口映射给WEB应用。EasyLink资 源又叫做站点映射。 EasyLink资源解决的问题: 使用EasyLink的WEB资源可以支持更多的WEB应用。尤其适合于解决 企业OA等逻辑复杂、大量使用Applet 、ActiveX控件的资源类型。
如左图所示: 1、设备单臂部署,LAN口地址192.168.1.2,虚拟IP池范 围2.0.1.1 - 2.0.1.254 2、防火墙内网口地址192.168.1.1 3、web服务器地址192.168.1.3,网关指向192.168.1.1 思考:如果资源服务模式选择“使用分配的虚拟IP地址 作为源地址”,此时通过SSLVPN访问web服务器资 源是否有问题?该如何解决这个问题? 原因:数据到达web服务器时源IP是2.0.1.x网段的, 服务器的网关指向前面防火墙,回包时,数据直接从 公网出去了,而不会回到SSL设备LAN口。 方法1:直接将web服务器的网关指向SSL的LAN口地址 方法2:在前置三层设备(3SW或FW)添加到虚拟IP池 2.0.1.X网段的路由,下一跳指给SSL的LAN口地址
EasyLink资源介绍
在使用EasyLink资源时,有以下几点注意事项:
1.资源地址伪装与站点映射(即EasyLink)无法同时启用,两者只能任选其一。
2.将SSL的端口映射给WEB应用时,该端口不能被其他应用占用。 3.将SSL的接入域名映射给WEB应用后,客户端不能使用该域名接入SSL,但可 以通过SSL设备的IP地址或者是没有做域名映射的域名接入SSL。SSL的一 个接入域名只能对应内网的一个WEB应用。 4.SSL单臂模式部署时,启用了端口映射后,如某个WEB应用映射了SSL的8080 端口,前置防火墙除了映射默认的TCP443端口外,还需要映射8080端口 给SSL设备的LAN口以及放通8080端口的访问。 5.用户访问时,需要通过点击web资源进行访问(不支持新开浏览器输入域名)
EasyLink数据流走向TA
映射给10 映射给11 解密数据包发现 http头部是 ,于是设 备向10请求数据
WAN:IP1 SSL将数据通过SSL 隧道传送给客户端
HTTP DATA
WAN:202.96.137.75/24 LAN:192.200.200.254/24
员访问,客户的业务系统是用JSP所写的,系
统交互复杂,并且大量使用了ActiveX控件。 客户希望出差在外的人员能够通过手机接入 SSL VPN访问到此业务系统。 解决方案:客户的业务系统是用JSP所写的、 大量使用了ActiveX控件且要求使用手机进行 访问,建议除使用普通的WEB应用外,还需 要启用EasyLink,即站点映射。
LAN:192.168.1.1
HTTP DATA
http://192.168.1.10
同理,如果客户端访问的是, 则SSL会向11请求数据。和 需要在域名服务商处用A记 http://192.168.1.11 录指向IP1
EasyLink资源介绍
【SSL VPN设置】【资源管理】,新建WEB应用,并开启“站点映射”。站 点映射支持两种模式,一种是VPN端口模式,通过将SSL设备的端口映射给 WEB应用;另一种叫接入域名模式,通过将SSL的接入域名映射给WEB应用。
练练手
WAN:202.96.137.75/24 LAN:192.200.200.254/24
某客户网络拓扑如右图所示,SSL网关模式 部署,客户内部有一业务系统提供给公司成 员访问,客户的业务系统是用JSP所写的, 系统交互复杂,并且大量使用了ActiveX控 件。客户希望出差在外的人员能够通过手机 接入SSL VPN访问到此业务系统。
EasyLink资源介绍
EasyLink数据流走向—端口模式
IP1的8080端口映 射给192.168.1.10 IP1的8081端口映 射给192.168.1.11
登录SSL VPN
IP1:8080 DATA
https://IP1:8080
WAN:IP1 SSL将数据通过SSL 隧道传送给客户端
设备的8181端口映射给业务系统,为了加入对JS脚本函数的修正
和重写,同时需要开启内容重写。 3. 新建“角色”,关联用户“张三”和资源。(有关角色的配置,请参 考前面的案例,此处不再赘述)
EasyLink资源介绍
EasyLink资源配置如下:
此时,用户登录SSL VPN访 问该业务系统时,可看到 业务系统的URL为 https://202.96.137.75:8181
将SSL的接入域 名 映射给OA系统 勾选“启用 站点映射” 启用内容重写后,会加 入对JS脚本函数的修正 和重写,可以弥补对一 些包含大量 将SSL 的8080 JS脚本函数 的交互式页面修正不足 端口映射给 的情况。建议启用。 OA系统
EasyLink资源介绍
案例背景:
某客户网络拓扑如右图所示,SSL网关模式 部署,客户内部有一业务系统提供给公司成