SANGFOR_SSL_v6.8_2015年度渠道初级认证培训04_VPN资源、角色和策略组资料.ppt

培训内容 培训目标 SSL VPN资源 1、掌握SSL VPN所有应用资源的实现原理以及支持的应用类型（WEB、TCP、L3VPN和远程应用发布） 2、掌握SSL VPN所有资源类型的特点 SSL VPN角色 1、掌握SSL VPN角色的概念及作用 SSL VPN策略组 1、掌握SSL VPN策略组的概念及作用 案例结合 1、掌握三种基本应用资源（WEB、TCP和L3VPN）的配置方法 2、掌握角色在用户与资源之间的关系和具体配置 SSL VPN 应用资源介绍 深信服公司简介 典型案例及配置 练习和思考 SANGFOR SSL SSL VPN角色、策略组介绍 SSL VPN应用资源介绍 名词解释： SANGFOR SSL资源是指远程接入SSL VPN后可供访问的服务。 根据实现机制和应用服务的不同将资源分为4类，分别为WEB应用，TCP应用，L3VPN应用和远程应用。 SSL VPN应用资源介绍 WEB应用 WEB应用通过SSL设备将内网服务转换成HTTPS协议。 支持应用类型：HTTP，HTTPS，MAIL，FTP和FileShare。 优点：客户端免控件，所有浏览器均支持。 建议： 常规测试不建议使用WEB应用，较常用于手机，无IE浏览器等无 法安装ActiveX控件条件的环境接入。 注意：客户端接入SSL VPN访问WEB应用，不能打开新窗口输入地址访 问，只能点击链接或者利用WEB全网服务的地址栏访问。 SSL VPN应用资源介绍 WEB应用数据流示意图： 1. 客户端和SSL设备建立SSLVPN链接 2. SSL设备进行协议转换，把Server的服务转换为Client浏览器可以打开的链接，如：6，转换为：6/web/1/http/0/6/ 1 3 2 SSL设备地址：6 服务器地址：6 SSL VPN应用介绍 TCP应用 TCP应用的实现是通过在Client安装Proxy IE控件，由控件抓取访问服务器的数据并对数据进行封装，将普通的TCP连接转换成SSL协议数据实现的。 支持应用类型：所有TCP应用。 优点：适用范围广，仅自动在Client安装一个小控件 建议： 所有基于TCP的应用，建议首选添加TCP应用。 SSL VPN应用资源介绍 TCP应用数据流示意图： 1. 客户端和SSL设备建立SSLVPN链接，客户端的Proxy IE控件抓取访问服务器的数据并对数据进行封装，将普通的TCP连接转换成SSL数据，传到SSL设备。 2. 数据到达SSL设备后，由SSL设备自身发起对服务器的访问，注意：源IP可以是虚拟IP池中的IP，也可以是设备的IP，默认是SSL设备的IP。 1 2 SSL VPN应用资源介绍 L3VPN应用 L3VPN应用的实现是通过在Client安装虚拟网卡，由虚拟网卡抓取访问服务器的数据，进行封装后通过虚拟网卡和SSL设备建立的隧道将数据传递到Server。 支持应用类型：支持所有TCP、UDP、ICMP应用 特点：Client需安装虚拟网卡，较TCP的控件包大一些。首次远程接入SSL设备需安装虚拟网卡，实现方式类似于IPSEC的移动客户端。 建议： 基于UDP，ICMP的应用或Server需主动访问Client端的应用的时候使用L3VPN资源。 SSLVPN全网资源介绍 用户如果关联了L3VPN全网资源或web全网资源，默认可以访问设备LAN 口和DMZ口相同网段的所有主机。 如果内网是三层环境，且需要通过全网资源访问到与设备不同的其他网段， 需要将这些网段都添加到本地子网中。 L3VPN应用数据流示意图： 1. 客户端和SSL设备建立SSLVPN链接，客户端虚拟网卡获得虚拟IP并建立SSL隧道，通过抓取访问服务器的数据并对数据进行封装传到SSL设备。 2. 数据到达SSL设备后解封装，由虚拟IP或设备自身IP发起对Server的访问。注意：源IP可以是Client端获得的虚拟IP，也可以是设备的IP，默认是SSL设备的IP。 SSL VPN应用资源介绍 1 2 SSL VPN应用资源介绍 远程应用 概念：远程应用采用基于服务器计算的应用模式，应用程序的安装、配置、管理、维护以及应用的执行均集中在服务器上进行，用户通过远程客户端登录服务器进行操作，输入输出的内容通过网络传输到客户端。 特点：客户端无需安装应用程序，只需要安装RemoteAppClient组件；终端服务器需要安装RemoteAppAgent组件。 SSL VPN应用资源介绍 远程应用资源总体部署示意图： 客户端在访问远程应用发布资源时就会安装上RemoteAppClient组件，RemoteAppAgent组件需要管理员在终端