SANGFOR SSL v6.度渠道高级认证培训03 VPN资源进阶培训.ppt

培训内容 培训目标 EasyLink资源 1、掌握EasyLink应用资源的实现原理以及配置 资源服务选项 1、掌握SSL VPN资源服务选项的概念及作用 案例结合 1、掌握EasyLink资源的配置方法 EasyLink资源介绍 深信服公司简介 典型案例及配置 练练手 SANGFOR SSL 资源服务选项介绍 EasyLink资源介绍 什么是EasyLink资源？ EasyLink资源是一种特殊的WEB资源，它通过将SSL设备的接入域名指向WEB应用，或是在SSL设备上新开端口映射给WEB应用。EasyLink资源又叫做站点映射。 EasyLink资源解决的问题： 使用EasyLink的WEB资源可以支持更多的WEB应用。尤其适合于解决企业OA等逻辑复杂、大量使用Applet?、ActiveX控件的资源类型。 0 IP1的8080端口映射给10 IP1的8081端口映射给11 1 登录SSL VPN WAN：IP1 LAN： https://IP1:8080 IP1:8080 DATA 解密数据包发现目的IP以及目的端口是IP1:8080，于是设备向10请求数据 HTTP DATA SSL将数据通过SSL隧道传送给客户端 HTTP DATA 同理，如果客户端访问的是IP1:8081，则SSL会向11请求数据。 EasyLink资源介绍 EasyLink数据流走向—端口模式 0 映射给10 映射给11 1 登录SSL VPN WAN：IP1 LAN： DATA 解密数据包发现http头部是，于是设备向10请求数据 HTTP DATA SSL将数据通过SSL隧道传送给客户端 HTTP DATA 同理，如果客户端访问的是，则SSL会向11请求数据。和需要在域名服务商处用A记录指向IP1 EasyLink资源介绍 EasyLink数据流走向—域名模式 EasyLink资源介绍 【SSL VPN设置】?【资源管理】，新建WEB应用，并开启“站点映射”。站点映射支持两种模式，一种是VPN端口模式，通过将SSL设备的端口映射给WEB应用；另一种叫接入域名模式，通过将SSL的接入域名映射给WEB应用。 勾选“启用站点映射” 将SSL的8080端口映射给OA系统 将SSL的接入域名映射给OA系统 启用内容重写后，会加入对JS脚本函数的修正和重写，可以弥补对一些包含大量JS脚本函数的交互式页面修正不足的情况。建议启用。 EasyLink资源介绍 案例背景： 某客户网络拓扑如右图所示，SSL网关模式部署，客户内部有一业务系统提供给公司成员访问，客户的业务系统是用JSP所写的，系统交互复杂，并且大量使用了ActiveX控件。客户希望出差在外的人员能够通过手机接入SSL VPN访问到此业务系统。 解决方案：客户的业务系统是用JSP所写的、大量使用了ActiveX控件且要求使用手机进行访问，建议除使用普通的WEB应用外，还需要启用EasyLink，即站点映射。 EasyLink资源介绍 配置思路： 1.添加用户账号“张三” （添加用户的配置，此PPT不再赘述） 2.资源配置： 根据前面的讲解，将业务系统配置成WEB应用，开启站点映射，将SSL设备的8181端口映射给业务系统，为了加入对JS脚本函数的修正和重写，同时需要开启内容重写。 3. 新建“角色”，关联用户“张三”和资源。（有关角色的配置，请参考前面的案例，此处不再赘述） EasyLink资源介绍 EasyLink资源配置如下： 此时，用户登录SSL VPN访问该业务系统时，可看到业务系统的URL为5:8181 EasyLink资源介绍 在使用EasyLink资源时，有以下几点注意事项： 1.资源地址伪装与站点映射（即EasyLink）无法同时启用，两者只能任选其一。 2.将SSL的端口映射给WEB应用时，该端口不能被其他应用占用。 3.将SSL的接入域名映射给WEB应用后，客户端不能使用该域名接入SSL，但可以通过SSL设备的IP地址或者是没有做域名映射的域名接入SSL。SSL的一个接入域名只能对应内网的一个WEB应用。 4.SSL单臂模式部署时，启用了端口映射后，如某个WEB应用映射了SSL的8080端口，前置防火墙除了映射默认的TCP443端口外，还需要映射8080端口给SSL设备的LAN口以及放通8080端口的访问。 5.用户访问时，需要通过点击web资源进行访问（不支持新开浏览器输入域名） 资源服务选项 资源服务模式 1、使用设备的IP地址作为源地址：则访问资源时，数据到达内网服务器时看到的 源IP地址是SSL设备的LAN口地址 2、使用分配的虚拟IP地址作为源地址：则访问资源时，数据到达内网服务器时看到的源