第五章54移動(dòng)接入資源發(fā)布技術(shù)

第五章

5.4移動(dòng)接入資源發(fā)布技術(shù)Contents5.4.1移動(dòng)接入資源發(fā)布需求5.4.2移動(dòng)接入資源發(fā)布技術(shù)5.4.3用戶、角色、資源、策略組需求背景需求：出差或在家能接入企業(yè)/單位內(nèi)網(wǎng)的應(yīng)用系統(tǒng)需要支持電腦接入訪問B/S、C/S類所有應(yīng)用支持在移動(dòng)終端（手機(jī)、平板）使用windows上的應(yīng)用解決方案：允許電腦接入后訪問授權(quán)的業(yè)務(wù)系統(tǒng)（地址、協(xié)議、端口）遠(yuǎn)程應(yīng)用發(fā)布實(shí)現(xiàn)windows應(yīng)用在移動(dòng)終端上使用Contents5.4.1移動(dòng)接入資源發(fā)布需求5.4.2移動(dòng)接入資源發(fā)布技術(shù)5.4.3用戶、角色、資源、策略組資源分類資源是指遠(yuǎn)程接入SSLVPN后授權(quán)終端允許訪問的網(wǎng)絡(luò)服務(wù)根據(jù)實(shí)現(xiàn)機(jī)制和應(yīng)用服務(wù)的不同將資源分為4類：WEB應(yīng)用TCP應(yīng)用L3VPN遠(yuǎn)程應(yīng)用WEB應(yīng)用技術(shù)原理Web資源需求背景要求實(shí)現(xiàn)：用戶在外手機(jī)辦公，已經(jīng)和總部建立了SSLVPN。現(xiàn)在用戶需要通過手機(jī)訪問總部的web資源。用戶不希望在手機(jī)上安裝額外的控件。發(fā)布Web資源給該用戶！WEB應(yīng)用WEB應(yīng)用通過SSL設(shè)備將內(nèi)網(wǎng)服務(wù)轉(zhuǎn)換成HTTPS協(xié)議。支持應(yīng)用類型：HTTP，HTTPS，MAIL，F(xiàn)TP和FileShare。優(yōu)點(diǎn)：客戶端免控件，所有瀏覽器均支持。建議：常規(guī)測(cè)試不建議使用WEB應(yīng)用，適用于手機(jī)，無IE瀏覽器等無法安裝ActiveX控件條件的環(huán)境接入。注意：客戶端接入SSLVPN訪問WEB應(yīng)用，不能打開新窗口輸入地址訪問，只能點(diǎn)擊鏈接或者利用WEB全網(wǎng)服務(wù)的地址欄訪問。WEB應(yīng)用技術(shù)原理Web應(yīng)用技術(shù)原理客戶端和SSL設(shè)備建立SSLVPN鏈接，SSLVPN中新建OA系統(tǒng)的資源。SSLVPN設(shè)備把Server的服務(wù)轉(zhuǎn)換為Client瀏覽器可以打開的鏈接，如：，轉(zhuǎn)換為：客戶端登錄VPN后，點(diǎn)擊資源連接列表，訪問OA資源。訪問的是。直接走VPN隧道。數(shù)據(jù)發(fā)送到SSLVPN設(shè)備后，SSLVPN解封裝，原本的HTTPS協(xié)議轉(zhuǎn)換成HTTP，以SSLVPN設(shè)備自身的IP（默認(rèn)）或用戶的虛擬IP為源IP，重新發(fā)送請(qǐng)求給發(fā)送給OA服務(wù)器把資源加載到SSLVPN設(shè)備本地。而后SSLVPN應(yīng)答客戶端的請(qǐng)求。【修改源IP是為了解決路由回包的問題】213IP頭部傳輸頭數(shù)據(jù)SIP：0DIP：8Sport：SSL9000Dport：SSL443請(qǐng)求獲取/web/1/http/0/00/的網(wǎng)頁資源IP頭部傳輸頭數(shù)據(jù)SIP：00DIP：00Sport：TCP9000Dport：TCP80請(qǐng)求獲取http://00的網(wǎng)頁資源WEB資源發(fā)布配置1.【SSLVPN設(shè)置】【資源管理】新建WEB應(yīng)用，添加OA系統(tǒng)應(yīng)用資源，類型為HTTP，IP為00WEB資源發(fā)布配置登錄成功初始化完成后，可以在資源列表看到對(duì)應(yīng)的資源，點(diǎn)擊資源可以打開對(duì)應(yīng)的系統(tǒng)，如下圖：從地址欄可以看到設(shè)備進(jìn)行了協(xié)議轉(zhuǎn)換。TCP應(yīng)用技術(shù)原理TCP資源需求背景要求實(shí)現(xiàn)：用戶在外電腦辦公，需要通過電腦遠(yuǎn)程登錄總部的web服務(wù)器進(jìn)行資源更新。發(fā)布TCP資源給該用戶！Web資源無法支持Telnet應(yīng)用類型！TCP應(yīng)用技術(shù)原理TCP應(yīng)用TCP應(yīng)用的實(shí)現(xiàn)是通過在Client安裝Proxy控件，由控件抓取訪問服務(wù)器的TCP連接并對(duì)數(shù)據(jù)進(jìn)行封裝，將普通的TCP連接轉(zhuǎn)換成SSL協(xié)議數(shù)據(jù)實(shí)現(xiàn)的。支持應(yīng)用類型：所有基于TCP傳輸協(xié)議的應(yīng)用。優(yōu)點(diǎn)：適用范圍廣，僅自動(dòng)在Client安裝一個(gè)小控件建議：所有基于TCP的應(yīng)用，建議首選添加TCP應(yīng)用TCP應(yīng)用案例客戶需求：1.出差的用戶需要通過SSLVPN安全接入使用內(nèi)網(wǎng)的OA系統(tǒng)2.總部發(fā)布的是OA系統(tǒng)的TCP應(yīng)用資源。需求確認(rèn)：OA系統(tǒng)使用瀏覽器訪問，地址為：TCP應(yīng)用技術(shù)原理客戶端和SSL設(shè)備建立SSLVPN鏈接，SSLVPN中新建OA系統(tǒng)的資源客戶端安裝ProxyIE控件（必須在資源已經(jīng)建立的情況下安裝該控件，新建資源則要退出重新登錄以更新ProxyIE控件）。該控件可以辨別哪些流量走VPN隧道。客戶端登錄VPN后，訪問00。ProxyIE識(shí)別該數(shù)據(jù)包是訪問TCP應(yīng)用資源，是VPN流量，把數(shù)據(jù)包抓取并封裝到隧道中。把原來的整個(gè)數(shù)據(jù)包加密封裝到新數(shù)據(jù)包的應(yīng)用層數(shù)據(jù)中。數(shù)據(jù)發(fā)送到SSLVPN設(shè)備后，SSLVPN解封裝，將源IP改為VPN設(shè)備自身IP（默認(rèn)）或用戶的虛擬IP并把原始數(shù)據(jù)包發(fā)送給OA服務(wù)器?！拘薷脑碔P是為了解決路由回包的問題】21IP頭部傳輸頭數(shù)據(jù)SIP：0DIP：00Sport：TCP9000Dport：TCP80請(qǐng)求獲取http://00的網(wǎng)頁資源3IP頭部傳輸頭數(shù)據(jù)SIP：0DIP：8Sport：SSL6000Dport：SSL443DFH%$156445ProxyIE監(jiān)視抓取IP頭部傳輸頭數(shù)據(jù)SIP：00DIP：00Sport：TCP9000Dport：TCP80請(qǐng)求獲取http://00的網(wǎng)頁資源TCP應(yīng)用案例1.【SSLVPN設(shè)置】【資源管理】新建TCP應(yīng)用，添加OA系統(tǒng)應(yīng)用資源，類型為HTTP，IP為00，端口為80TCP應(yīng)用案例登錄成功初始化完成后，可以在資源列表看到對(duì)應(yīng)的資源，點(diǎn)擊資源或者在瀏覽器輸入地址都可以打開對(duì)應(yīng)的系統(tǒng)，如下圖：L3VPN技術(shù)原理L3VPN資源需求背景要求實(shí)現(xiàn)：用戶在外電腦辦公，需要通過電腦訪問總部的SNMP服務(wù)器進(jìn)行管理。發(fā)布L3VPN資源給該用戶！Web資源和TCP資源均無法支持SNMP的應(yīng)用類型！L3VPN技術(shù)原理L3VPN應(yīng)用L3VPN應(yīng)用的實(shí)現(xiàn)是通過在Client安裝虛擬網(wǎng)卡，虛擬網(wǎng)卡在客戶端生成路由表指向虛擬網(wǎng)卡，由虛擬網(wǎng)卡抓取訪問服務(wù)器的數(shù)據(jù)，進(jìn)行封裝后通過虛擬網(wǎng)卡和SSL設(shè)備建立的隧道將數(shù)據(jù)傳遞到Server。支持應(yīng)用類型：支持所有基于TCP、UDP、ICMP的應(yīng)用特點(diǎn)：Client需安裝虛擬網(wǎng)卡，較TCP的控件包大一些。首次登錄接入SSLVPN需安裝虛擬網(wǎng)卡，實(shí)現(xiàn)方式類似于IPsec的移動(dòng)客戶端。建議：基于UDP，ICMP的應(yīng)用或Server需主動(dòng)訪問Client端的應(yīng)用的時(shí)候使用L3VPN資源。L3VPN案例客戶需求：用戶需要通過SSLVPN安全接入內(nèi)網(wǎng)。用戶希望以L3VPN資源訪問總部OA資源（00）。需求確認(rèn)：IM通訊軟件是C/S架構(gòu)，終端需要安裝IM客戶端IM服務(wù)器內(nèi)網(wǎng)地址為：00使用協(xié)議端口為：UDP80L3VPN應(yīng)用技術(shù)原理客戶端和SSL設(shè)備建立SSLVPN鏈接，SSLVPN中新建OA系統(tǒng)的資源客戶端安裝虛擬網(wǎng)卡控件（必須在資源已經(jīng)建立的情況下安裝該控件，新建資源則要退出重新登錄以更新虛擬網(wǎng)卡控件）。該控件可以把去往L3VPN資源的路由條目下發(fā)到客戶端的本地路由表中?？蛻舳说卿沄PN后，訪問00。通過查詢路由表，客戶端發(fā)現(xiàn)去往00的數(shù)據(jù)包應(yīng)該給虛擬網(wǎng)卡進(jìn)行處理。虛擬網(wǎng)卡對(duì)數(shù)據(jù)包進(jìn)行封裝并送入SSLVPN隧道。把原來的整個(gè)數(shù)據(jù)包加密封裝到新數(shù)據(jù)包的應(yīng)用層數(shù)據(jù)中，源IP改為虛擬網(wǎng)卡IP。數(shù)據(jù)發(fā)送到SSLVPN設(shè)備后，SSLVPN解封裝，源IP改為VPN設(shè)備自身IP（默認(rèn)）或用戶的虛擬IP并把原始數(shù)據(jù)包發(fā)送給OA服務(wù)器。【修改源IP是為了解決路由回包的問題】21IP頭部傳輸頭數(shù)據(jù)SIP：DIP：00Sport：TCP9000Dport：TCP80請(qǐng)求獲取http://00的網(wǎng)頁資源3IP頭部傳輸頭數(shù)據(jù)SIP：0DIP：8Sport：SSL6000Dport：SSL443DFH%$15644IP頭部傳輸頭數(shù)據(jù)SIP：00DIP：00Sport：TCP9000Dport：TCP80請(qǐng)求獲取http://00的網(wǎng)頁資源5虛擬網(wǎng)卡監(jiān)視抓取L3VPN案例在設(shè)備控制臺(tái)添加對(duì)應(yīng)的L3VPN資源，如下圖：L3VPN案例登錄過程會(huì)自動(dòng)安裝必須的對(duì)應(yīng)SSLVPN組件，如下圖為登錄過程初始化過程：L3VPN案例登錄成功后，客戶端獲取到虛擬IP地址（），并且在系統(tǒng)自動(dòng)生成了一條DIP為00的資源路由，如下圖：遠(yuǎn)程應(yīng)用技術(shù)原理遠(yuǎn)程應(yīng)用技術(shù)原理采用基于服務(wù)器計(jì)算的應(yīng)用模式，應(yīng)用程序的安裝、配置、管理、維護(hù)以及應(yīng)用的執(zhí)行均集中在服務(wù)器上進(jìn)行，用戶通過遠(yuǎn)程客戶端登錄服務(wù)器進(jìn)行操作，輸入輸出的內(nèi)容通過網(wǎng)絡(luò)傳輸?shù)娇蛻舳?。技術(shù)特點(diǎn)客戶端無需安裝應(yīng)用程序，只需要安裝EasyConnect客戶端；終端服務(wù)器需要安裝RemoteServerAgent組件。減少C/S應(yīng)用系統(tǒng)使用的局限性，提高易用性；某些B/S架構(gòu)的應(yīng)用需要在客戶端瀏覽器安裝插件才能訪問，但是該插件對(duì)手機(jī)或者平板不兼容，不支持安裝等情況，可以通過遠(yuǎn)程應(yīng)用發(fā)布的方式來使用。遠(yuǎn)程應(yīng)用技術(shù)原理遠(yuǎn)程應(yīng)用案例客戶需求：移動(dòng)終端用戶、PC通過SSLVPN安全接入內(nèi)網(wǎng)，在用戶本地不需要安裝對(duì)應(yīng)的應(yīng)用系統(tǒng)軟件，可以使用企業(yè)內(nèi)部運(yùn)行在windows平臺(tái)的辦公系統(tǒng)應(yīng)用。需求確認(rèn)：應(yīng)用系統(tǒng)軟件是C/S、B/S架構(gòu)，不支持移動(dòng)終端，比如IE瀏覽器、ERP系統(tǒng)、MSoffice應(yīng)用等遠(yuǎn)程應(yīng)用案例1.通過終端服務(wù)器登錄SSLVPN，并通過[SSLVPN設(shè)置]—[終端服務(wù)器管理]—下載終端服務(wù)器程序SFRemoteAppServerInstall.exe，并在服務(wù)器上雙擊運(yùn)行安裝。遠(yuǎn)程應(yīng)用案例在[SSLVPN設(shè)置]—[終端服務(wù)器管理]--新建--服務(wù)器，填寫服務(wù)器名稱、WindowsServer的IP地址、用戶名和密碼，點(diǎn)擊“測(cè)試鏈接”測(cè)試SSLVPN設(shè)備與終端服務(wù)器的連接情況。正常會(huì)提示“連接并認(rèn)證終端服務(wù)器成功”如下圖：點(diǎn)擊“添加預(yù)設(shè)”，選擇需要發(fā)布的應(yīng)用程序，選擇要發(fā)布的IE瀏覽器遠(yuǎn)程應(yīng)用案例完成添加配置后，點(diǎn)擊保存；點(diǎn)擊右上角“立即生效”后，可以查看已添加的終端服務(wù)器在線狀態(tài)，如下圖：遠(yuǎn)程應(yīng)用案例配置資源名稱、應(yīng)用程序類型、啟動(dòng)參數(shù)等，如下圖：配置好后，在資源組里面可以查看配置好的遠(yuǎn)程應(yīng)用資源，如下圖：遠(yuǎn)程應(yīng)用案例登錄成功后，顯示資源頁面，點(diǎn)擊該遠(yuǎn)程應(yīng)用資源，即可打開發(fā)布的遠(yuǎn)程應(yīng)用資源，如下圖：遠(yuǎn)程應(yīng)用案例移動(dòng)終端通過EasyConnect登錄成功后，在資源頁面，點(diǎn)擊遠(yuǎn)程應(yīng)用資源，即可打開發(fā)布的遠(yuǎn)程應(yīng)用資源，如下圖：遠(yuǎn)程應(yīng)用案例移動(dòng)終端通過EasyConnect登錄成功后，在資源頁面，點(diǎn)擊遠(yuǎn)程應(yīng)用資源，即可打開發(fā)布的遠(yuǎn)程應(yīng)用資源，如下圖：Contents5.4.1移動(dòng)接入資源發(fā)布需求5.4.2移動(dòng)接入資源發(fā)布技術(shù)5.4.3用戶、角色、資源、策略組用戶、角色、資源【角色】名詞解釋：SANGFORSSL角色是用戶和資源之間的紐帶，它用于給不同的用戶關(guān)聯(lián)不同的內(nèi)網(wǎng)資源，以實(shí)現(xiàn)更細(xì)致化的遠(yuǎn)程接入控制。用戶資源角色角色配置策略組用來設(shè)置用戶的接入VPN的安全策略。包括以下內(nèi)容：客戶端相關(guān)選項(xiàng)，帳號(hào)屬性和安全桌面相關(guān)信息。策略組設(shè)置完成后，需被用戶或者用戶組關(guān)聯(lián)才生效。根據(jù)需求的不同，可設(shè)置不同的策略組分別與用戶，用戶組關(guān)聯(lián)。策略組客戶端選項(xiàng)用來設(shè)置客戶端的隱私保護(hù)，帶寬會(huì)話，是否允許PPTP方式接入，SSL專線，硬件特征碼個(gè)數(shù)限制。用戶退出SSLVPN后，客戶端電腦自動(dòng)清除緩存文件，cookies和瀏覽歷史等。為了防止某用戶接入SSLVPN耗費(fèi)了大量的帶寬和服務(wù)器資源，