第五章54移動接入資源發(fā)布技術

第五章

5.4移動接入資源發(fā)布技術Contents5.4.1移動接入資源發(fā)布需求5.4.2移動接入資源發(fā)布技術5.4.3用戶、角色、資源、策略組需求背景需求：出差或在家能接入企業(yè)/單位內(nèi)網(wǎng)的應用系統(tǒng)需要支持電腦接入訪問B/S、C/S類所有應用支持在移動終端（手機、平板）使用windows上的應用解決方案：允許電腦接入后訪問授權的業(yè)務系統(tǒng)（地址、協(xié)議、端口）遠程應用發(fā)布實現(xiàn)windows應用在移動終端上使用Contents5.4.1移動接入資源發(fā)布需求5.4.2移動接入資源發(fā)布技術5.4.3用戶、角色、資源、策略組資源分類資源是指遠程接入SSLVPN后授權終端允許訪問的網(wǎng)絡服務根據(jù)實現(xiàn)機制和應用服務的不同將資源分為4類：WEB應用TCP應用L3VPN遠程應用WEB應用技術原理Web資源需求背景要求實現(xiàn)：用戶在外手機辦公，已經(jīng)和總部建立了SSLVPN。現(xiàn)在用戶需要通過手機訪問總部的web資源。用戶不希望在手機上安裝額外的控件。發(fā)布Web資源給該用戶！WEB應用WEB應用通過SSL設備將內(nèi)網(wǎng)服務轉(zhuǎn)換成HTTPS協(xié)議。支持應用類型：HTTP，HTTPS，MAIL，F(xiàn)TP和FileShare。優(yōu)點：客戶端免控件，所有瀏覽器均支持。建議：常規(guī)測試不建議使用WEB應用，適用于手機，無IE瀏覽器等無法安裝ActiveX控件條件的環(huán)境接入。注意：客戶端接入SSLVPN訪問WEB應用，不能打開新窗口輸入地址訪問，只能點擊鏈接或者利用WEB全網(wǎng)服務的地址欄訪問。WEB應用技術原理Web應用技術原理客戶端和SSL設備建立SSLVPN鏈接，SSLVPN中新建OA系統(tǒng)的資源。SSLVPN設備把Server的服務轉(zhuǎn)換為Client瀏覽器可以打開的鏈接，如：，轉(zhuǎn)換為：客戶端登錄VPN后，點擊資源連接列表，訪問OA資源。訪問的是。直接走VPN隧道。數(shù)據(jù)發(fā)送到SSLVPN設備后，SSLVPN解封裝，原本的HTTPS協(xié)議轉(zhuǎn)換成HTTP，以SSLVPN設備自身的IP（默認）或用戶的虛擬IP為源IP，重新發(fā)送請求給發(fā)送給OA服務器把資源加載到SSLVPN設備本地。而后SSLVPN應答客戶端的請求?！拘薷脑碔P是為了解決路由回包的問題】213IP頭部傳輸頭數(shù)據(jù)SIP：0DIP：8Sport：SSL9000Dport：SSL443請求獲取/web/1/http/0/00/的網(wǎng)頁資源IP頭部傳輸頭數(shù)據(jù)SIP：00DIP：00Sport：TCP9000Dport：TCP80請求獲取http://00的網(wǎng)頁資源WEB資源發(fā)布配置1.【SSLVPN設置】【資源管理】新建WEB應用，添加OA系統(tǒng)應用資源，類型為HTTP，IP為00WEB資源發(fā)布配置登錄成功初始化完成后，可以在資源列表看到對應的資源，點擊資源可以打開對應的系統(tǒng)，如下圖：從地址欄可以看到設備進行了協(xié)議轉(zhuǎn)換。TCP應用技術原理TCP資源需求背景要求實現(xiàn)：用戶在外電腦辦公，需要通過電腦遠程登錄總部的web服務器進行資源更新。發(fā)布TCP資源給該用戶！Web資源無法支持Telnet應用類型！TCP應用技術原理TCP應用TCP應用的實現(xiàn)是通過在Client安裝Proxy控件，由控件抓取訪問服務器的TCP連接并對數(shù)據(jù)進行封裝，將普通的TCP連接轉(zhuǎn)換成SSL協(xié)議數(shù)據(jù)實現(xiàn)的。支持應用類型：所有基于TCP傳輸協(xié)議的應用。優(yōu)點：適用范圍廣，僅自動在Client安裝一個小控件建議：所有基于TCP的應用，建議首選添加TCP應用TCP應用案例客戶需求：1.出差的用戶需要通過SSLVPN安全接入使用內(nèi)網(wǎng)的OA系統(tǒng)2.總部發(fā)布的是OA系統(tǒng)的TCP應用資源。需求確認：OA系統(tǒng)使用瀏覽器訪問，地址為：TCP應用技術原理客戶端和SSL設備建立SSLVPN鏈接，SSLVPN中新建OA系統(tǒng)的資源客戶端安裝ProxyIE控件（必須在資源已經(jīng)建立的情況下安裝該控件，新建資源則要退出重新登錄以更新ProxyIE控件）。該控件可以辨別哪些流量走VPN隧道?？蛻舳说卿沄PN后，訪問00。ProxyIE識別該數(shù)據(jù)包是訪問TCP應用資源，是VPN流量，把數(shù)據(jù)包抓取并封裝到隧道中。把原來的整個數(shù)據(jù)包加密封裝到新數(shù)據(jù)包的應用層數(shù)據(jù)中。數(shù)據(jù)發(fā)送到SSLVPN設備后，SSLVPN解封裝，將源IP改為VPN設備自身IP（默認）或用戶的虛擬IP并把原始數(shù)據(jù)包發(fā)送給OA服務器?！拘薷脑碔P是為了解決路由回包的問題】21IP頭部傳輸頭數(shù)據(jù)SIP：0DIP：00Sport：TCP9000Dport：TCP80請求獲取http://00的網(wǎng)頁資源3IP頭部傳輸頭數(shù)據(jù)SIP：0DIP：8Sport：SSL6000Dport：SSL443DFH%$156445ProxyIE監(jiān)視抓取IP頭部傳輸頭數(shù)據(jù)SIP：00DIP：00Sport：TCP9000Dport：TCP80請求獲取http://00的網(wǎng)頁資源TCP應用案例1.【SSLVPN設置】【資源管理】新建TCP應用，添加OA系統(tǒng)應用資源，類型為HTTP，IP為00，端口為80TCP應用案例登錄成功初始化完成后，可以在資源列表看到對應的資源，點擊資源或者在瀏覽器輸入地址都可以打開對應的系統(tǒng)，如下圖：L3VPN技術原理L3VPN資源需求背景要求實現(xiàn)：用戶在外電腦辦公，需要通過電腦訪問總部的SNMP服務器進行管理。發(fā)布L3VPN資源給該用戶！Web資源和TCP資源均無法支持SNMP的應用類型！L3VPN技術原理L3VPN應用L3VPN應用的實現(xiàn)是通過在Client安裝虛擬網(wǎng)卡，虛擬網(wǎng)卡在客戶端生成路由表指向虛擬網(wǎng)卡，由虛擬網(wǎng)卡抓取訪問服務器的數(shù)據(jù)，進行封裝后通過虛擬網(wǎng)卡和SSL設備建立的隧道將數(shù)據(jù)傳遞到Server。支持應用類型：支持所有基于TCP、UDP、ICMP的應用特點：Client需安裝虛擬網(wǎng)卡，較TCP的控件包大一些。首次登錄接入SSLVPN需安裝虛擬網(wǎng)卡，實現(xiàn)方式類似于IPsec的移動客戶端。建議：基于UDP，ICMP的應用或Server需主動訪問Client端的應用的時候使用L3VPN資源。L3VPN案例客戶需求：用戶需要通過SSLVPN安全接入內(nèi)網(wǎng)。用戶希望以L3VPN資源訪問總部OA資源（00）。需求確認：IM通訊軟件是C/S架構，終端需要安裝IM客戶端IM服務器內(nèi)網(wǎng)地址為：00使用協(xié)議端口為：UDP80L3VPN應用技術原理客戶端和SSL設備建立SSLVPN鏈接，SSLVPN中新建OA系統(tǒng)的資源客戶端安裝虛擬網(wǎng)卡控件（必須在資源已經(jīng)建立的情況下安裝該控件，新建資源則要退出重新登錄以更新虛擬網(wǎng)卡控件）。該控件可以把去往L3VPN資源的路由條目下發(fā)到客戶端的本地路由表中?？蛻舳说卿沄PN后，訪問00。通過查詢路由表，客戶端發(fā)現(xiàn)去往00的數(shù)據(jù)包應該給虛擬網(wǎng)卡進行處理。虛擬網(wǎng)卡對數(shù)據(jù)包進行封裝并送入SSLVPN隧道。把原來的整個數(shù)據(jù)包加密封裝到新數(shù)據(jù)包的應用層數(shù)據(jù)中，源IP改為虛擬網(wǎng)卡IP。數(shù)據(jù)發(fā)送到SSLVPN設備后，SSLVPN解封裝，源IP改為VPN設備自身IP（默認）或用戶的虛擬IP并把原始數(shù)據(jù)包發(fā)送給OA服務器?！拘薷脑碔P是為了解決路由回包的問題】21IP頭部傳輸頭數(shù)據(jù)SIP：DIP：00Sport：TCP9000Dport：TCP80請求獲取http://00的網(wǎng)頁資源3IP頭部傳輸頭數(shù)據(jù)SIP：0DIP：8Sport：SSL6000Dport：SSL443DFH%$15644IP頭部傳輸頭數(shù)據(jù)SIP：00DIP：00Sport：TCP9000Dport：TCP80請求獲取http://00的網(wǎng)頁資源5虛擬網(wǎng)卡監(jiān)視抓取L3VPN案例在設備控制臺添加對應的L3VPN資源，如下圖：L3VPN案例登錄過程會自動安裝必須的對應SSLVPN組件，如下圖為登錄過程初始化過程：L3VPN案例登錄成功后，客戶端獲取到虛擬IP地址（），并且在系統(tǒng)自動生成了一條DIP為00的資源路由，如下圖：遠程應用技術原理遠程應用技術原理采用基于服務器計算的應用模式，應用程序的安裝、配置、管理、維護以及應用的執(zhí)行均集中在服務器上進行，用戶通過遠程客戶端登錄服務器進行操作，輸入輸出的內(nèi)容通過網(wǎng)絡傳輸?shù)娇蛻舳?。技術特點客戶端無需安裝應用程序，只需要安裝EasyConnect客戶端；終端服務器需要安裝RemoteServerAgent組件。減少C/S應用系統(tǒng)使用的局限性，提高易用性；某些B/S架構的應用需要在客戶端瀏覽器安裝插件才能訪問，但是該插件對手機或者平板不兼容，不支持安裝等情況，可以通過遠程應用發(fā)布的方式來使用。遠程應用技術原理遠程應用案例客戶需求：移動終端用戶、PC通過SSLVPN安全接入內(nèi)網(wǎng)，在用戶本地不需要安裝對應的應用系統(tǒng)軟件，可以使用企業(yè)內(nèi)部運行在windows平臺的辦公系統(tǒng)應用。需求確認：應用系統(tǒng)軟件是C/S、B/S架構，不支持移動終端，比如IE瀏覽器、ERP系統(tǒng)、MSoffice應用等遠程應用案例1.通過終端服務器登錄SSLVPN，并通過[SSLVPN設置]—[終端服務器管理]—下載終端服務器程序SFRemoteAppServerInstall.exe，并在服務器上雙擊運行安裝。遠程應用案例在[SSLVPN設置]—[終端服務器管理]--新建--服務器，填寫服務器名稱、WindowsServer的IP地址、用戶名和密碼，點擊“測試鏈接”測試SSLVPN設備與終端服務器的連接情況。正常會提示“連接并認證終端服務器成功”如下圖：點擊“添加預設”，選擇需要發(fā)布的應用程序，選擇要發(fā)布的IE瀏覽器遠程應用案例完成添加配置后，點擊保存；點擊右上角“立即生效”后，可以查看已添加的終端服務器在線狀態(tài)，如下圖：遠程應用案例配置資源名稱、應用程序類型、啟動參數(shù)等，如下圖：配置好后，在資源組里面可以查看配置好的遠程應用資源，如下圖：遠程應用案例登錄成功后，顯示資源頁面，點擊該遠程應用資源，即可打開發(fā)布的遠程應用資源，如下圖：遠程應用案例移動終端通過EasyConnect登錄成功后，在資源頁面，點擊遠程應用資源，即可打開發(fā)布的遠程應用資源，如下圖：遠程應用案例移動終端通過EasyConnect登錄成功后，在資源頁面，點擊遠程應用資源，即可打開發(fā)布的遠程應用資源，如下圖：Contents5.4.1移動接入資源發(fā)布需求5.4.2移動接入資源發(fā)布技術5.4.3用戶、角色、資源、策略組用戶、角色、資源【角色】名詞解釋：SANGFORSSL角色是用戶和資源之間的紐帶，它用于給不同的用戶關聯(lián)不同的內(nèi)網(wǎng)資源，以實現(xiàn)更細致化的遠程接入控制。用戶資源角色角色配置策略組用來設置用戶的接入VPN的安全策略。包括以下內(nèi)容：客戶端相關選項，帳號屬性和安全桌面相關信息。策略組設置完成后，需被用戶或者用戶組關聯(lián)才生效。根據(jù)需求的不同，可設置不同的策略組分別與用戶，用戶組關聯(lián)。策略組客戶端選項用來設置客戶端的隱私保護，帶寬會話，是否允許PPTP方式接入，SSL專線，硬件特征碼個數(shù)限制。用戶退出SSLVPN后，客戶端電腦自動清除緩存文件，cookies和瀏覽歷史等。為了防止某用戶接入SSLVPN耗費了大量的帶寬和服務器資源，