SANGFOR SSL v5.7 13度培训04 VPN资源和角色.ppt

1.TCP应用和L3VPN应用通过组件抓包实现，登录SSL后，默认不会自动安装TCP和L3VPN组件，但是可以通过设置实现自动安装组件。 【SSLVPN选项】?【系统选项】?【客户端选项】，勾选“用户登录后，自动安装TCP、L3VPN应用组件”，如图： 注意事项 2. 如果是ADSL拨号环境，可以使用WebAgent技术来实现SSL VPN的接入访问。如果该设备同时使用IPSec VPN和SSL VPN ，那么WebAgent地址可以用同一个。客户端输入完整的WebAgent地址到浏览器即可访问。 注意事项 练练手 客户希望普通办公人员可以访问的内部的CS客户端的OA系统（IP:00, 使用端口为TCP 8088,8089,8090），邮件系统(IP:50, 使用端口为TCP25,110)。 同时，客户希望网络管理员还能够通过SSL PING OA和邮件服务器，并能通过远程桌面管理，请问该如何配置实现呢？ 1.WEB应用、TCP应用、L3VPN应用三种资源的实现原理是怎样的？各支持哪些应用？ 2.请描述用户、资源、角色三者之间的关系？ 3.某客户登陆SSL VPN之后发现要点击“启用TCP服务控件”后，某些灰色的资源才能够正常访问，请问应该怎样设置实现自动安装这些控件？ 4.EasyLink资源的实现方式有哪两种模式？这两种模式是如何实现的？ 问题思考 * * 培训内容 培训目标 SSL VPN资源 1、掌握SSL VPN所有应用资源的实现原理以及支持的应用类型（WEB、TCP、L3VPN和远程应用发布） 2、掌握SSL VPN所有资源类型的特点 SSL VPN角色 1、掌握SSL VPN角色的概念及作用 案例结合 1、掌握三种基本应用资源（WEB、TCP和L3VPN）的配置方法 2、掌握EasyLink资源的使用场景以及配置方法 3、掌握角色在用户与资源之间的关系和具体配置 SSL VPN 应用资源介绍 深信服公司简介 典型案例及配置 EasyLink资源介绍以及注意事项 SANGFOR SSL SSL VPN角色介绍 SSL VPN应用资源介绍 名词解释： SANGFOR SSL资源是指远程接入SSL VPN后可供访问的服务。 根据实现机制和应用服务的不同将资源分为4类，分别为WEB应用，TCP应用，L3VPN应用和远程应用。 SSL VPN应用资源介绍 WEB应用 WEB应用通过SSL设备将内网服务转换成HTTPS协议。 支持应用类型：HTTP，HTTPS，MAIL，FTP和FileShare。 优点：客户端免控件，所有浏览器均支持。 建议： 常规测试不建议使用WEB应用，较常用于手机，无IE浏览器等无 法安装ActiveX控件条件的环境接入。 注意：客户端接入SSL VPN访问WEB应用，不能打开新窗口输入地址访 问，只能点击链接或者利用WEB全网服务的地址栏访问。 SSL VPN应用资源介绍 WEB应用数据流示意图： 1. 客户端和SSL设备建立SSLVPN链接 2. SSL设备进行协议转换，把Server的服务转换为Client浏览器可以打开的链接，如：6，转换为：6/web/1/http/0/6/ 1 3 2 SSL设备地址：6 服务器地址：6 SSL VPN应用介绍 TCP应用 TCP应用的实现是通过在Client安装Proxy IE控件，由控件抓取访问服务器的数据并对数据进行封装，将普通的TCP连接转换成SSL协议数据实现的。 支持应用类型：所有TCP应用。 优点：适用范围广，仅自动在Client安装一个小控件 建议： 所有基于TCP的应用，建议首选添加TCP应用。 SSL VPN应用资源介绍 TCP应用数据流示意图： 1. 客户端和SSL设备建立SSLVPN链接，客户端的Proxy IE控件抓取访问服务器的数据并对数据进行封装，将普通的TCP连接转换成SSL数据，传到SSL设备。 2. 数据到达SSL设备后，由SSL设备自身发起对服务器的访问，注意：源IP可以是虚拟IP池中的IP，也可以是设备的IP，默认是SSL设备的IP。 1 2 SSL VPN应用资源介绍 L3VPN应用 L3VPN应用的实现是通过在Client安装虚拟网卡，由虚拟网卡抓取访问服务器的数据，进行封装后通过虚拟网卡和SSL设备建立的隧道将数据传递到Server。 支持应用类型：支持所有TCP、UDP、ICMP应用 特点：Client需安装虚拟网卡，较TCP的控件包大一些。首次远程接入SSL设备需安装虚拟网卡，实现方式类似于IPSEC的移动客户端。 建议： 基于UDP，ICMP的应用或Server需主动访问Clien