渠道初级认证培训04 VPN资源 角色和策略组.pptx

SANGFOR SSL VPN 资源、角色、策略组;培训内容;1 2 3 4;SSL VPN应用资源介绍;SSL VPN应用资源介绍;SSL VPN应用资源介绍;TCP应用 TCP应用的实现是通过在Client安装Proxy IE控件，由控件抓取访问服务器的TCP连接并对数据进行封装，将普通的TCP连接转换成SSL协议数据实现的。 支持应用类型：所有TCP应用。 优点：适用范围广，仅自动在Client安装一个小控件 建议： 所有基于TCP的应用，建议首选添加TCP应用;TCP应用数据流示意图： 1. 客户端和SSL设备建立SSLVPN链接，客户端的Proxy IE控件抓取访问服务器的数据并对数据进行封装，将普通的TCP连接转换成SSL数据，传到SSL设备。 2. 数据到达SSL设备后，由SSL设备自身发起对服务器的访问，注意：源IP可以是虚拟IP池中的IP，也可以是设备的IP，默认是SSL设备的IP，SSL设备可配置修改。;L3VPN应用 L3VPN应用的实现是通过在Client安装虚拟网卡，在客户端生成路由表指向虚拟网卡，由虚拟网卡抓取访问服务器的数据，进行封装后通过虚拟网卡和SSL设备建立的隧道将数据传递到Server。 支持应用类型：支持所有TCP、UDP、ICMP应用 特点：Client需安装虚拟网卡，较TCP的控件包大一些。首次远程接入SSL设备需安装虚拟网卡，实现方式类似于IPSEC的移动客户端。 建议： 基于UDP，ICMP的应用或Server需主动访问Client端的应用的时候使用L3VPN资源。;SSLVPN全网资源介绍;L3VPN应用数据流示意图： 1. 客户端和SSL设备建立SSLVPN链接，客户端虚拟网卡获得虚拟IP生成路由表，通过虚拟网卡抓取访问服务器的数据并对数据进行封装传到SSL设备。 2. 数据到达SSL设备后解封装，由虚拟IP或设备自身IP发起对Server的访问。注意：源IP可以是Client端获得的虚拟IP，也可以是设备的IP，默认是SSL设备的IP，SSL设备可配置。;远程应用 概念：远程应用采用基于服务器计算的应用模式，应用程序的安装、配置、管理、维护以及应用的执行均集中在服务器上进行，用户通过远程客户端登录服务器进行操作，输入输出的内容通过网络传输到客户端。 特点：客户端无需安装应用程序，只需要安装RemoteAppClient组件；终端服务器需要安装RemoteAppAgent组件。;远程应用资源总体部署示意图： ;远程应用资源总体部署示意图： ??RemoteApp Agent：安装在Windows 2003或Windows 2008服务器上的服务程序， 将服务器上的程序以远程应用的形式发布出来，管理远程发布的应用程序、与WebUI交互一些控制信息和状态信息。 RemoteApp Client: 远程应用的客户端组件，利用该组件可以访问安装了RemoteAPP Agent的虚拟终端服务器的应用程序。 SSL VPN WebUI：集中对安装了RemoteApp Agent的远程终端服务器进行管理，配置需要发布的应用。 ;12 3 4;SSL VPN角色介绍;策略组用来设置用户的接入客户端相关选项，账号属性和安全桌面相关信息。策略 组设置完成后，需被用户或者用户组关联才生效。根据需求的不同，可设置不同的 策略组分别与用户，用户组关联。;客户端选项用来设置客户端的隐私保护，带宽会话，是否允许PPTP方式接入，SSL专线，硬件特征码个数限制。 ;账号控制用来设置账号相关的权限。;1 2 3 4;典型案例及配置;典型案例及配置; 1. 【SSL VPN设置】?【资源管理】新建TCP应用，添加OA系统应用资源，类型为HTTP，IP为6，端口为80; 2.【SSL VPN设置】?【资源管理】新建TCP应用，添加ERP系统应用资源，类型为HTTP，IP为7，端口为8080 ; 3.【SSL VPN设置】?【资源管理】新建TCP应用，添加RTX资源，类型为Other，IP为8，端口为1-65535;配置完以后，在资源管理页面可以看到以下资源列表：; 4.【SSL VPN设置】?【角色授权】新建角色，选择授权用户，关联用户张三，编辑授权资源列表，关联OA系统ERP系统RTX。此时，就可以将用户与资源关联起来。;客户端登录访问： 使用用户名“张三”登录SSLVPN，看到关联了三个资源;1.TCP应用和L3VPN应用通过组件抓包实现，登录SSL后，默认不会自动安装TCP和L3VPN组件，但是可以通过设置实现自动安装组件。 【SSLVPN选项】?【系统选项】?【客户端选项】，勾选“用户登录后，自动安装TCP、L3VPN应用组件”，如图：;2.