第五章54移动接入资源发布技术

第五章

5.4移动接入资源发布技术Contents5.4.1移动接入资源发布需求5.4.2移动接入资源发布技术5.4.3用户、角色、资源、策略组需求背景需求：出差或在家能接入企业/单位内网的应用系统需要支持电脑接入访问B/S、C/S类所有应用支持在移动终端（手机、平板）使用windows上的应用解决方案：允许电脑接入后访问授权的业务系统（地址、协议、端口）远程应用发布实现windows应用在移动终端上使用Contents5.4.1移动接入资源发布需求5.4.2移动接入资源发布技术5.4.3用户、角色、资源、策略组资源分类资源是指远程接入SSLVPN后授权终端允许访问的网络服务根据实现机制和应用服务的不同将资源分为4类：WEB应用TCP应用L3VPN远程应用WEB应用技术原理Web资源需求背景要求实现：用户在外手机办公，已经和总部建立了SSLVPN。现在用户需要通过手机访问总部的web资源。用户不希望在手机上安装额外的控件。发布Web资源给该用户！WEB应用WEB应用通过SSL设备将内网服务转换成HTTPS协议。支持应用类型：HTTP，HTTPS，MAIL，FTP和FileShare。优点：客户端免控件，所有浏览器均支持。建议：常规测试不建议使用WEB应用，适用于手机，无IE浏览器等无法安装ActiveX控件条件的环境接入。注意：客户端接入SSLVPN访问WEB应用，不能打开新窗口输入地址访问，只能点击链接或者利用WEB全网服务的地址栏访问。WEB应用技术原理Web应用技术原理客户端和SSL设备建立SSLVPN链接，SSLVPN中新建OA系统的资源。SSLVPN设备把Server的服务转换为Client浏览器可以打开的链接，如：，转换为：客户端登录VPN后，点击资源连接列表，访问OA资源。访问的是。直接走VPN隧道。数据发送到SSLVPN设备后，SSLVPN解封装，原本的HTTPS协议转换成HTTP，以SSLVPN设备自身的IP（默认）或用户的虚拟IP为源IP，重新发送请求给发送给OA服务器把资源加载到SSLVPN设备本地。而后SSLVPN应答客户端的请求。【修改源IP是为了解决路由回包的问题】213IP头部传输头数据SIP：0DIP：8Sport：SSL9000Dport：SSL443请求获取/web/1/http/0/00/的网页资源IP头部传输头数据SIP：00DIP：00Sport：TCP9000Dport：TCP80请求获取http://00的网页资源WEB资源发布配置1.【SSLVPN设置】【资源管理】新建WEB应用，添加OA系统应用资源，类型为HTTP，IP为00WEB资源发布配置登录成功初始化完成后，可以在资源列表看到对应的资源，点击资源可以打开对应的系统，如下图：从地址栏可以看到设备进行了协议转换。TCP应用技术原理TCP资源需求背景要求实现：用户在外电脑办公，需要通过电脑远程登录总部的web服务器进行资源更新。发布TCP资源给该用户！Web资源无法支持Telnet应用类型！TCP应用技术原理TCP应用TCP应用的实现是通过在Client安装Proxy控件，由控件抓取访问服务器的TCP连接并对数据进行封装，将普通的TCP连接转换成SSL协议数据实现的。支持应用类型：所有基于TCP传输协议的应用。优点：适用范围广，仅自动在Client安装一个小控件建议：所有基于TCP的应用，建议首选添加TCP应用TCP应用案例客户需求：1.出差的用户需要通过SSLVPN安全接入使用内网的OA系统2.总部发布的是OA系统的TCP应用资源。需求确认：OA系统使用浏览器访问，地址为：TCP应用技术原理客户端和SSL设备建立SSLVPN链接，SSLVPN中新建OA系统的资源客户端安装ProxyIE控件（必须在资源已经建立的情况下安装该控件，新建资源则要退出重新登录以更新ProxyIE控件）。该控件可以辨别哪些流量走VPN隧道。客户端登录VPN后，访问00。ProxyIE识别该数据包是访问TCP应用资源，是VPN流量，把数据包抓取并封装到隧道中。把原来的整个数据包加密封装到新数据包的应用层数据中。数据发送到SSLVPN设备后，SSLVPN解封装，将源IP改为VPN设备自身IP（默认）或用户的虚拟IP并把原始数据包发送给OA服务器。【修改源IP是为了解决路由回包的问题】21IP头部传输头数据SIP：0DIP：00Sport：TCP9000Dport：TCP80请求获取http://00的网页资源3IP头部传输头数据SIP：0DIP：8Sport：SSL6000Dport：SSL443DFH%$156445ProxyIE监视抓取IP头部传输头数据SIP：00DIP：00Sport：TCP9000Dport：TCP80请求获取http://00的网页资源TCP应用案例1.【SSLVPN设置】【资源管理】新建TCP应用，添加OA系统应用资源，类型为HTTP，IP为00，端口为80TCP应用案例登录成功初始化完成后，可以在资源列表看到对应的资源，点击资源或者在浏览器输入地址都可以打开对应的系统，如下图：L3VPN技术原理L3VPN资源需求背景要求实现：用户在外电脑办公，需要通过电脑访问总部的SNMP服务器进行管理。发布L3VPN资源给该用户！Web资源和TCP资源均无法支持SNMP的应用类型！L3VPN技术原理L3VPN应用L3VPN应用的实现是通过在Client安装虚拟网卡，虚拟网卡在客户端生成路由表指向虚拟网卡，由虚拟网卡抓取访问服务器的数据，进行封装后通过虚拟网卡和SSL设备建立的隧道将数据传递到Server。支持应用类型：支持所有基于TCP、UDP、ICMP的应用特点：Client需安装虚拟网卡，较TCP的控件包大一些。首次登录接入SSLVPN需安装虚拟网卡，实现方式类似于IPsec的移动客户端。建议：基于UDP，ICMP的应用或Server需主动访问Client端的应用的时候使用L3VPN资源。L3VPN案例客户需求：用户需要通过SSLVPN安全接入内网。用户希望以L3VPN资源访问总部OA资源（00）。需求确认：IM通讯软件是C/S架构，终端需要安装IM客户端IM服务器内网地址为：00使用协议端口为：UDP80L3VPN应用技术原理客户端和SSL设备建立SSLVPN链接，SSLVPN中新建OA系统的资源客户端安装虚拟网卡控件（必须在资源已经建立的情况下安装该控件，新建资源则要退出重新登录以更新虚拟网卡控件）。该控件可以把去往L3VPN资源的路由条目下发到客户端的本地路由表中。客户端登录VPN后，访问00。通过查询路由表，客户端发现去往00的数据包应该给虚拟网卡进行处理。虚拟网卡对数据包进行封装并送入SSLVPN隧道。把原来的整个数据包加密封装到新数据包的应用层数据中，源IP改为虚拟网卡IP。数据发送到SSLVPN设备后，SSLVPN解封装，源IP改为VPN设备自身IP（默认）或用户的虚拟IP并把原始数据包发送给OA服务器。【修改源IP是为了解决路由回包的问题】21IP头部传输头数据SIP：DIP：00Sport：TCP9000Dport：TCP80请求获取http://00的网页资源3IP头部传输头数据SIP：0DIP：8Sport：SSL6000Dport：SSL443DFH%$15644IP头部传输头数据SIP：00DIP：00Sport：TCP9000Dport：TCP80请求获取http://00的网页资源5虚拟网卡监视抓取L3VPN案例在设备控制台添加对应的L3VPN资源，如下图：L3VPN案例登录过程会自动安装必须的对应SSLVPN组件，如下图为登录过程初始化过程：L3VPN案例登录成功后，客户端获取到虚拟IP地址（），并且在系统自动生成了一条DIP为00的资源路由，如下图：远程应用技术原理远程应用技术原理采用基于服务器计算的应用模式，应用程序的安装、配置、管理、维护以及应用的执行均集中在服务器上进行，用户通过远程客户端登录服务器进行操作，输入输出的内容通过网络传输到客户端。技术特点客户端无需安装应用程序，只需要安装EasyConnect客户端；终端服务器需要安装RemoteServerAgent组件。减少C/S应用系统使用的局限性，提高易用性；某些B/S架构的应用需要在客户端浏览器安装插件才能访问，但是该插件对手机或者平板不兼容，不支持安装等情况，可以通过远程应用发布的方式来使用。远程应用技术原理远程应用案例客户需求：移动终端用户、PC通过SSLVPN安全接入内网，在用户本地不需要安装对应的应用系统软件，可以使用企业内部运行在windows平台的办公系统应用。需求确认：应用系统软件是C/S、B/S架构，不支持移动终端，比如IE浏览器、ERP系统、MSoffice应用等远程应用案例1.通过终端服务器登录SSLVPN，并通过[SSLVPN设置]—[终端服务器管理]—下载终端服务器程序SFRemoteAppServerInstall.exe，并在服务器上双击运行安装。远程应用案例在[SSLVPN设置]—[终端服务器管理]--新建--服务器，填写服务器名称、WindowsServer的IP地址、用户名和密码，点击“测试链接”测试SSLVPN设备与终端服务器的连接情况。正常会提示“连接并认证终端服务器成功”如下图：点击“添加预设”，选择需要发布的应用程序，选择要发布的IE浏览器远程应用案例完成添加配置后，点击保存；点击右上角“立即生效”后，可以查看已添加的终端服务器在线状态，如下图：远程应用案例配置资源名称、应用程序类型、启动参数等，如下图：配置好后，在资源组里面可以查看配置好的远程应用资源，如下图：远程应用案例登录成功后，显示资源页面，点击该远程应用资源，即可打开发布的远程应用资源，如下图：远程应用案例移动终端通过EasyConnect登录成功后，在资源页面，点击远程应用资源，即可打开发布的远程应用资源，如下图：远程应用案例移动终端通过EasyConnect登录成功后，在资源页面，点击远程应用资源，即可打开发布的远程应用资源，如下图：Contents5.4.1移动接入资源发布需求5.4.2移动接入资源发布技术5.4.3用户、角色、资源、策略组用户、角色、资源【角色】名词解释：SANGFORSSL角色是用户和资源之间的纽带，它用于给不同的用户关联不同的内网资源，以实现更细致化的远程接入控制。用户资源角色角色配置策略组用来设置用户的接入VPN的安全策略。包括以下内容：客户端相关选项，帐号属性和安全桌面相关信息。策略组设置完成后，需被用户或者用户组关联才生效。根据需求的不同，可设置不同的策略组分别与用户，用户组关联。策略组客户端选项用来设置客户端的隐私保护，带宽会话，是否允许PPTP方式接入，SSL专线，硬件特征码个数限制。用户退出SSLVPN后，客户端电脑自动清除缓存文件，cookies和浏览历史等。为了防止某用户接入SSLVPN耗费了大量的带宽和服务器资源，