安全产线3天5 ssl资源与角色

SSL

VPN资源与角色1-S-SSL-05-V1什么是资源1WEB应用2TCP应用3L3VPN应用4角色56目录策略组资源名词解释：SANGFOR

SSLVPN中的资源是指用户端远程接入SSL

VPN后可供访问的服务，比如OA系统、远程桌面访问某服务器IP、可以ping通某内网IP等。根据实现机制和应用服务的不同将资源分为4类，分别为WEB应用、TCP应用、L3VPN应用和远程应用（应用虚拟化）。WEB应用WEB应用WEB应用通过SSL设备将内网服务转换成HTTPS协议。支持应用类型：HTTP，HTTPS，MAIL，FTP和FileShare。优点：客户端免控件，所有浏览器均支持。建议：常规测试不建议使用WEB应用，适用于手机，无IE浏览器等无法安装ActiveX控件条件的环境接入。注意：客户端接入SSL

VPN访问WEB应用类型资源，不能打开新窗口输入地址访问，只能在资源页面点击链接或者利用

WEB全网服务的地址栏访问。WEB应用WEB应用数据流示意图：客户端和SSL设备建立SSLVPN链接

SSL设备进行协议转换，把Server的服务转换为Client浏览器可以打开的链接，如：，转换为：1

2

3SSL设备地址：6服务器地址：服务器客户端TCP应用TCP应用数据流示意图：客户端和SSL设备建立SSLVPN链接，客户端的Proxy

IE控件抓取访问服务器的数据并对数据进行封装，将普通的TCP连接转换成SSL数据，传到SSL设备。数据到达SSL设备后，由SSL设备自身发起对服务器的访问，注意：源IP可以是虚拟IP池中的IP，也可以是设备的IP，默认是SSL设备的IP，SSL设备可配置修改。12L3VPN应用L3VPN应用数据流示意图：客户端和SSLVPN设备建立SSLVPN链接，客户端虚拟网卡获得虚拟IP生成路由表，通过虚拟网卡抓取访问服务器的数据并对数据进行封装传到SSL

VPN设备。数据到达SSL

VPN设备后解封装，由虚拟IP或设备自身IP发起对Server的访问。注意：源IP可以是Client端获得的虚拟IP，也可以是设备的IP，默认是SSL

VPN设备的IP，SSL设备可配置。12L3VPN应用L3VPN应用资源的实现是通过在Client安装虚拟网卡，在客户端生成路由表指向虚拟网卡，由虚拟网卡抓取访问服务器的数据，进行封装后通过虚拟网卡和SSL设备建立的隧道将数据传递到Server。支持应用类型：支持所有TCP、UDP、ICMP应用特点：Client需安装虚拟网卡，较TCP的控件包大一些。首次远程接入SSL设备需安装虚拟网卡，实现方式类似于IPSEC的移动客户端。建议：基于UDP，ICMP的应用或Server需主动访问Client端的应用的时候使用L3VPN资源。全网资源用户如果关联了L3VPN全网资源或web全网资源，默认可以访问设备LAN口和DMZ口相同网段的所有主机。如果内网是三层环境，且需要通过全网资源访问到与设备不同的其他网段，需要将这些网段都添加到本地子网中。角色SANGFORSSLVPN中“角色”是用户和资源之间的“红娘”，它用于给不同的用户/用户组关联不同的资源，以实现更细致化的远程接入访问权限控制。用户资源角色策略组策略组用来设置用户的接入客户端相关选项、账号属性等相关信息。策略组设置完成后，需被用户或者用户组关联才生效。根据需求的不同，可设置不同的策略组分别与用户，用户组关联。一个用户或用户组只能关联一个策略组。策略组客户端选项用来设置客户端的隐私保护、带宽会话，是否允许PPTP方式接入，SSL专线，硬件特征码个数等设置。用户退出SSLVPN后，客户端电脑自动清除缓存文件，cookies和浏览历史等。为了防止某用户接入SSLVPN耗费了大量的带宽和服务器资源，可对客户端进行带宽和会话限制。允许手机用户通过系统自带的PPTP

VPN接入和访问资源。用户接入SSL

VPN后，不允许上外网。用户拥有的硬件特征码个数角色账号控制用来设置账号相关的权限。值得注意的是，可以设置用户N分钟未进行操作则自动断开连接，默认为5分钟，建议根据实际客户需求设置时间。记录用户访问资源的日志启用系统托盘登录SSL后，自动跳转到某个资源的页面仅允许用户在指定时间内登录SSL

VPN账号失效时间和账号无流量自动断开时间允许私有用户修改相关信息，提高易用性。本章检测1.

有