VPN资源角色和策略组

注意事项
2. 如果是ADSL拨号环境，可以使用WebAgent技术来实现SSL VPN的接入访问。如 果该设备同时使用IPSec VPN和SSL VPN ，那么WebAgent地址可以用同一个。客 户端输入完整的WebAgent地址到浏览器即可访问。
问题思考
***应用、TCP应用、L3VPN应用三种资源的实现原理是怎样的？各支持哪 些应用？ 2.请描述用户、资源、角色三者之间的关系？ 3.某客户登录SSL VPN之后发现要点击“启用TCP服务控件”后，某些灰色 的资源才能够正常访问，请问应该怎样设置实现自动安装这些控件？
策略组-账号控制
账号控制用来设置账号相关的权限。
记录用户访问资源的日志 启用系统托盘
登录SSL后，自动跳转到某个资源的页面 仅允许用户在指定时间内登录SSL VPN
账号失效时间和账号 无流量自动断开时间 允许私有用户修改相关信息，提高易用性。
典型案例及配置
资源
角色
用户 资源
典型案例及配置
客户需求： 出差的用户张三需要通过安全接入使用内网的OA系统、ERP系统和即 时通讯工具IM。
支持应用类型：所有TCP应用。
优点：适用范围广，仅自动在Client安装一个小控件
建议： 所有基于TCP的应用，建议首选添加TCP应用。
SSL VPN应用资源介绍
TCP应用数据流示意图： 1. 客户端和SSL设备建立SSLVPN链接，客户端的Proxy IE控件抓取访问 服务器的数据并对数据进行封装，将普通的TCP连接转换成SSL数据，传 到SSL设备。 2. 数据到达SSL设备后，由SSL设备自身发起对服务器的访问，注意：源 IP可以是虚拟IP池中的IP，也可以是设备的IP，默认是SSL设备的IP。
SSL VPN应用资源介绍
L3VPN应用数据流示意图： 1. 客户端和SSL设备建立SSLVPN链接，客户端虚拟网卡获得虚拟IP并建 立SSL隧道，通过抓取访问服务器的数据并对数据进行封装传到SSL设备。 2. 数据到达SSL设备后解封装，由虚拟IP或设备自身IP发起对Server的访 问。注意：源IP可以是Client端获得的虚拟IP，也可以是设备的IP，默认 是SSL设备的IP。
1
Biblioteka Baidu
2
SSL VPN应用资源介绍
➢ 远程应用
• 概念：远程应用采用基于服务器计算的应用模式，应用程序的安装、 配置、管理、维护以及应用的执行均集中在服务器上进行，用户通过 远程客户端登录服务器进行操作，输入输出的内容通过网络传输到客 户端。
• 特点：客户端无需安装应用程序，只需要安装RemoteAppClient组件； 终端服务器需要安装RemoteAppAgent组件。
SSL VPN角色介绍
名词解释： SANGFOR SSL角色是用户和资源之间的纽带，它用于给不同的用户
分配不同的内网资源，以实现更细致化的远程接入控制。
用户
资源
角色
SSL VPN策略组
策略组用来设置用户的接入客户端相关选项，账号属性和安全桌面相关信息。策略 组设置完成后，需被用户或者用户组关联才生效。根据需求的不同，可设置不同的 策略组分别与用户，用户组关联。
WEB应用数据流示意图： 1. 客户端和SSL设备建立SSLVPN链接 2. SSL设备进行协议转换，把Server的服务转换为Client浏览器可以打开
的链接，如：***，转换为：***
1
2
3
SSL设备地址：218.241.145.36 服务器地址：***
SSL VPN应用介绍
➢ TCP应用
TCP应用的实现是通过在Client安装Proxy IE控件，由控件抓取访问服 务器的数据并对数据进行封装，将普通的TCP连接转换成SSL协议数 据实现的。
服务程序， 将服务器上的程序以远程应用的形式发布出来，管理远程 发布的应用程序、与WebUI交互一些控制信息和状态信息。 • RemoteApp Client: 远程应用的客户端组件，利用该组件可以访问安装 了RemoteAPP Agent的虚拟终端服务器的应用程序。 • SSL VPN WebUI：集中对安装了RemoteApp Agent的远程终端服务器 进行管理，配置需要发布的应用。
1
2
SSL VPN应用资源介绍
➢ L3VPN应用
L3VPN应用的实现是通过在Client安装虚拟网卡，由虚拟网卡抓取访 问服务器的数据，进行封装后通过虚拟网卡和SSL设备建立的隧道将 数据传递到Server。 支持应用类型：支持所有TCP、UDP、ICMP应用
特点：Client需安装虚拟网卡，较TCP的控件包大一些。首次远程接入 SSL设备需安装虚拟网卡，实现方式类似于IPSEC的移动客户端。
策略组-客户端选项
客户端选项用来设置客户端的隐私保护，带宽会话，是否允许PPTP方式
接入，SSL专线，硬件特征码个数限制。
用户接入SSL VPN 后，不允许上外网。
用户退出SSL VPN后，客户端电脑自动 清除缓存文件，cookies和浏览历史等。
为了防止某用户接入SSL VPN耗费了大量的带宽和 服务器资源，可对客户端 进行带宽和会话限制。 允许手机用户通过系统自带的 PPTP VPN接入和访问资源。 用户拥有的硬件特征码个数
典型案例及配置
3.【SSL VPN设置】【资源管理】新建TCP应用，添加RTX资源，类 型为Other，IP为192.168.1.68，端口为1-65535
典型案例及配置
配置完以后，在资源管理页面可以看到以下资源列表：
典型案例及配置
4.【SSL VPN设置】【角色授权】新建角色，选择授权用户，关联用 户张三，编辑授权资源列表，关联OA系统&ERP系统&RTX。此时，就 可以将用户与资源关联起来。
练练手
客户希望普通办公人员可以访问到内部的CS客户端的OA系统（ IP:172.10.10.100, 使用端口为TCP 8088,8089,8090），邮件系统 (IP:172.10.10.250, 使用端口为TCP25,110)。 同时，客户希望网络管理员还能够通过SSL PING OA和邮件服务器， 并能通过远程桌面管理，请问该如何配置实现呢？
SANGFOR SSL VPN 资源、角色、策略组
培训内容 SSL VPN资源
SSL VPN角色 SSL VPN策略组 案例结合
培训目标 1、掌握SSL VPN所有应用资源的实现原理以及支 持的应用类型（WEB、TCP、L3VPN和远程应用 发布） 2、掌握SSL VPN所有资源类型的特点 1、掌握SSL VPN角色的概念及作用
建议： 基于UDP，ICMP的应用或Server需主动访问Client端的应用的 时候使用L3VPN资源。
SSLVPN全网资源介绍
用户如果关联了L3VPN全网资源或web全网资源，默认可以访问设备LAN 口和DMZ口相同网段的所有主机。 如果内网是三层环境，且需要通过全网资源访问到与设备不同的其他网段， 需要将这些网段都添加到本地子网中。
1、掌握SSL VPN策略组的概念及作用
1、掌握三种基本应用资源（WEB、TCP和L3VPN ）的配置方法 2、掌握角色在用户与资源之间的关系和具体配置
SANGFOR SSL
SSL VPN 应用资源介绍 SSL VPN角色、策略组介绍 典型案例及配置 练习和深思信考服公司简介
SSL VPN应用资源介绍
需求确认： 客户OA系统使用IE打开，地址为：*** ERP系统也是使用IE打开，地址为：*** 内网通讯工具IM是使用客户端，服务器IP：192.168.1.68， 端口是TCP8000，还有一些其他未知TCP端口。
典型案例及配置
配置思路： 1.添加用户账号“张三” （添加用户的配置，此PPT不再赘述） 2.资源配置： 根据前面的讲解，客户所有的应用全部为TCP，所以选择新增TCP应用： a. 添加OA系统，类型选择HTTP，IP为 192.168.1.66 ，端口80 b. 添加ERP系统，类型选择HTTP，IP:192.168.1.67，端口8080。 c. 添加IM系统，类型选择Other，IP为：192.168.1.68，因为有未知端， 为保险起见，端口添加为1-65535。 3. 新建“角色”，关联用户“张三”和资源。
名词解释： SANGFOR SSL资源是指远程接入SSL VPN后可供访问的 服务。
根据实现机制和应用服务的不同将资源分为4类，分别为 WEB应用，TCP应用，L3VPN应用和远程应用。
SSL VPN应用资源介绍
➢ WEB应用
WEB应用通过SSL设备将内网服务转换成HTTPS协议。 支持应用类型：HTTP，HTTPS，MAIL，FTP和FileShare。
典型案例及配置
1. 【SSL VPN设置】【资源管理】新建TCP应用，添加OA系统应用资 源，类型为HTTP，IP为192.168.1.66，端口为80
典型案例及配置
2.【SSL VPN设置】【资源管理】新建TCP应用，添加ERP系统应用资 源，类型为HTTP，IP为192.168.1.67，端口为8080
优点：客户端免控件，所有浏览器均支持。
建议： 常规测试不建议使用WEB应用，较常用于手机，无IE浏览器等无 法安装ActiveX控件条件的环境接入。
注意：客户端接入SSL VPN访问WEB应用，不能打开新窗口输入地址访 问，只能点击链接或者利用WEB全网服务的地址栏访问。
SSL VPN应用资源介绍
典型案例及配置
客户端登录访问： 使用用户名“张三”登录SSLVPN，看到关联了三个资源
有关远程应用资源的应用场景以及相关 配置请参考《远程应用发布》培训PPT
注意事项
***应用和L3VPN应用通过组件抓包实现，登录SSL后，默认不会自动安装TCP和 L3VPN组件，但是可以通过设置实现自动安装组件。 【SSLVPN选项】 【系统选项】 【客户端选项】，勾选“用户登录后，自动安 装TCP、L3VPN应用组件”，如图：
***
SSL VPN应用资源介绍
➢ 远程应用资源总体部署示意图：
客户端在访问远程应用发布资源时就会安装上RemoteAppClient组件， RemoteAppAgent组件需要管理员在终端服务器上进行手动安装。
SSL VPN应用资源介绍
➢ 远程应用资源总体部署示意图： • RemoteApp Agent：安装在Windows 2003或Windows 2008服务器上的