博客目錄

• • 1. 移動接入資源發布需求
  • • 1.1 需求背景
    • 1.2 解決方案
  • 2. 移動接入資源發布技術
  • • 2.1 資源分類
    • 2.2 WEB應用技術
    • • 2.2.1 需求背景
      • 2.2.2 WEB應用技術介紹
      • 2.2.3 WEB應用技術原理
      • 2.2.4 WEB資源發布配置
    • 2.3 TCP應用技術
    • • 2.3.1 需求背景
      • 2.3.2 TCP應用技術介紹
      • 2.3.3 TCP 應用技術原理
    • 2.4 L3VPN
    • • 2.4.1 需求背景
      • 2.4.2 L3VPN 技術介紹
      • 2.4.3 L3VPN應用技術原理
      • 2.4.4 L3VP案例
    • 2.5 遠程應用技術
    • • 2.5.1 遠程應用技術介紹
      • 2.5.2 遠程應用案例
  • 3. 相關名詞
  • • 3.1 角色
    • • 3.1.1 角色解釋
      • 3.1.2 角色配置
    • 3.2 策略組
    • • 3.2.1 策略組解釋
      • 3.2.2 策略組配置
      • • （1）關聯用戶或用戶組
        • （2）客戶端選項
        • （3）賬號控制

1. 移動接入資源發布需求

1.1 需求背景

需求：

出差或在家能接入企業/單位內網的應用系統

需要支持電腦接入訪問B/S、C/S 類所有應用 （ 什么是B/S和C/S https://www.cnblogs.com/groler/articles/2116905.html）

支持在移動終端（手機、平板）使用windows上的應用

1.2 解決方案

允許電腦接入后訪問授權的業務系統（地址、協議、端口）

遠程應用發布實現windows應用在移動終端上使用

2. 移動接入資源發布技術

2.1 資源分類

資源是指遠程接入SSL VPN后授權終端允許訪問的網絡服務==

根據實現機制和應用服務的不同將資源分為4類：
1. WEB應用
2. TCP應用
3. L3VPN
4. 遠程應用

2.2 WEB應用技術

2.2.1 需求背景

要求實現：

用戶在外手機辦公，已經和總部建立了SSL VPN。現在用戶需要通過手機訪問總 部的web資源。

用戶不希望在手機上安裝額外的控件。
解決方案： 發布WEB資源給該用戶

2.2.2 WEB應用技術介紹

WEB應用
WEB應用通過SSL設備將內網服務轉換成HTTPS協議
支持應用類型： HTTP 、HTTPS、MAIL、FTP 和FileShare

優點：客戶端免控件，所有瀏覽器均支持。
建議： 常規測試不建議使用WEB應用，適用于手機，無IE瀏覽器等無法安裝ActiveX控件條件的環境接入。

注意：客戶端接入SSL VPN訪問WEB應用，不能打開新窗口輸入地址訪問，只能點擊鏈接或者利用WEB全網服務的地址欄訪問。

2.2.3 WEB應用技術原理

上圖中的123 步驟分別如下描述：

客戶端和SSL設備建立SSL VPN鏈接，SSL VPN中新建OA系統的資源。SSL VPN設備把Server的服務轉換為Client瀏覽器可以打開的鏈接，如：http://172.172.3.100，轉換為： https://202.96.137.88/web/1/http/0/172.172.3.100/

客戶端登錄VPN后，點擊資源連接列表，訪問OA資源。訪問的是 https://202.96.137.88/web/1/http/0/172.172.3.100/。直接走VPN隧道。

數據發送到SSL VPN設備后，SSL VPN解封裝，原本的HTTPS協議轉換成HTTP，以SSL VPN設備自身的IP（默認）或用戶的虛擬IP為源IP，重新發送請求給發送給OA服務器把資源加載到SSL VPN設 備本地。而后SSL VPN應答客戶端的請求。【修改源IP是為了解決路由回包的問題】

2.2.4 WEB資源發布配置

【SSL VPN設置】 【資源管理】新建WEB應用，添加OA系統應用資源，類型為 HTTP，IP為172.172.3.100

登錄成功初始化完成后，可以在資源列表看到對應的資源，點擊資源可以打開對應的系統，如下圖：從地址欄可以看到設備進行了協議轉換

2.3 TCP應用技術

2.3.1 需求背景

要求實現：

用戶在外電腦辦公，需要通過電腦遠程登錄總部的web服務器進行資源更新。

2.3.2 TCP應用技術介紹

TCP應用
TCP應用的實現是通過在Client安裝Proxy控件，由控件抓取訪問服務器的TCP連接并對數據進行封裝，將普通的TCP連接轉換成SSL協 議數據實現的。

支持應用類型：所有基于TCP傳輸協議的應用。

優點：適用范圍廣，僅自動在Client安裝一個小控件

建議： 所有基于TCP的應用，建議首選添加TCP應用

2.3.3 TCP 應用技術原理

總體步驟如下

客戶端和SSL設備建立SSL VPN鏈接，SSL VPN中新建OA系統的資源

客戶端安裝ProxyIE控件（必須在資源已經建立的情況下安裝該控件，新建資源則要退出重新登錄以更新ProxyIE控件）。該控件可以辨別哪些流量走VPN隧道。

客戶端登錄VPN后，訪問172.172.3.100。

ProxyIE識別該數據包是訪問TCP應用資源，是VPN流量，把數據包抓取并封裝到隧道中。把原來的整個數據包加密封裝到新數據包的應用層數據中。

數據發送到SSL VPN設備后，SSL VPN解封裝，將源IP改為VPN設備自身IP（默認）或用戶的虛擬IP并把原始數據包發送給OA服務器。【修改源IP是為了解決路由回包的問題】

2.3.4 TCP 應用案例

客戶需求：

出差的用戶需要通過SSL VPN安全接入使用內網的OA系統

總部發布的是OA系統的TCP應用資源。

需求確認： OA系統使用瀏覽器訪問，地址為：http://172.172.3.100

配置

【SSL VPN設置】 【資源管理】新建TCP應用，添加OA系統應用資源，類型為 HTTP，IP為172.172.3.100，端口為80

登錄成功初始化完成后，可以在資源列表看到對應的資源，點擊資源或者在瀏覽器輸入地址都可以打開對應的系統，如下圖：

2.4 L3VPN

2.4.1 需求背景

要求實現：

用戶在外電腦辦公，需要通過電腦訪問總部的SNMP服務器進行管理。

2.4.2 L3VPN 技術介紹

L3VPN應用
L3VPN應用的實現是通過在Client安裝虛擬網卡，虛擬網卡在客戶端生成路由表指向虛擬網卡，由虛擬網卡抓取訪問服務器的數據，進行封裝后通過虛擬網卡和SSL設備建立的隧道將數據傳遞到Server。

支持應用類型：支持所有基于TCP、UDP、ICMP的應用

特點：
1.Client需安裝虛擬網卡，較TCP的控件包大一些。
2.首次登錄接入 SSL VPN需安裝虛擬網卡，實現方式類似于IPsec的移動客戶端。

建議： 基于UDP，ICMP的應用或Server需主動訪問Client端的應用的時候使用L3VPN資源。

2.4.3 L3VPN應用技術原理

過程具體步驟如下所述：

客戶端和SSL設備建立SSL VPN鏈接，SSL VPN中新建OA系統的資源

客戶端安裝虛擬網卡控件（必須在資源已經建立的情況下安裝該控件，新建資源則要退出重新登錄 以更新虛擬網卡控件）。該控件可以把去往L3VPN資源的路由條目下發到客戶端的本地路由表中。

客戶端登錄VPN后，訪問172.172.3.100。通過查詢路由表，客戶端發現去往172.172.3.100的數據 包應該給虛擬網卡進行處理。

虛擬網卡對數據包進行封裝并送入SSL VPN隧道。把原來的整個數據包加密封裝到新數據包的應用 層數據中，源IP改為虛擬網卡IP。

數據發送到SSL VPN設備后，SSL VPN解封裝，源IP改為VPN設備自身IP（默認）或用戶的虛擬IP 并把原始數據包發送給OA服務器。【修改源IP是為了解決路由回包的問題】

2.4.4 L3VP案例

客戶需求

用戶需要通過SSL VPN安全接入內網。 用戶希望以L3VPN資源訪問總部OA資源（172.172.3.100）。

需求確認

IM通訊軟件是C/S架構，終端需要安裝IM客戶端 IM服務器內網地址為：172.172.3.100使用協議端口為：UDP 80

配置

在設備控制臺添加對應的L3VPN資源，如下圖:

登錄過程會自動安裝必須的對應SSL VPN組件，如下圖為登錄過程初始化過程：

登錄成功后，客戶端獲取到虛擬IP地址（2.0.1.1），并且在系統自動生成了一條 DIP為172.172.3.100的資源路由，如下圖：

2.5 遠程應用技術

2.5.1 遠程應用技術介紹

采用基于服務器計算的應用模式，應用程序的安裝、配置、管理、維護 以及應用的執行均集中在服務器上進行，用戶通過遠程客戶端登錄服務器進行操作，輸入輸出的內容通過網絡傳輸到客戶端

技術特點

1.客戶端無需安裝應用程序，只需要安裝EasyConnect客戶端；終端服務器需要安裝RemoteServerAgent組件減少C/S應用系統使用 的局限性，提高易用性；

2.某些B/S架構的應用需要在客戶端瀏覽器安裝插件才能訪問，但是該插件對手機或者平板不兼容，不支持安裝等情況，可以通過遠程應用發布的方式來使用。

2.5.2 遠程應用案例

客戶需求

移動終端用戶、PC通過SSL VPN安全接入內網，在用戶本地不需要安裝對應的應用系統軟件，可以使用企業內部運行在windows平臺的辦公系統應用。

需求確認

應用系統軟件是C/S、B/S架構，不支持移動終端，比如IE瀏覽器、ERP系統、 MS office應用等

配置

通過終端服務器登錄SSL VPN，并通過[SSL VPN設置]—[終端服務器管理 ]—下載終端服務器程序SFRemoteAppServerInstall.exe，并在服務器上雙擊運行安裝。

在[SSL VPN設置]—[終端服務器管理]–新建–服務器，填寫服務器名稱、 Windows Server的IP地址、用戶名和密碼，點擊“測試鏈接”測試SSL VPN設備與終端服務器的連接情況。正常會提示“連接并認證終端服務器成功”如下圖：

點擊“添加預設”，選擇需要發布的應用程序，選擇要發布的IE瀏覽器

完成添加配置后，點擊保存；點擊右上角“立即生效”后，可以查看已添加的終端服務器在線狀態，如下圖：

配置資源名稱、應用程序類型、啟動參數等，如下圖：

配置好后，在資源組里面可以查看配置好的遠程應用資源，如下圖：
登錄成功后，顯示資源頁面，如下圖：

點擊該資源

效果顯示
移動終端通過EasyConnect登錄成功后，在資源頁面，點擊遠程應用資源，即可打開發布的遠程應用資源，如下圖：

3. 相關名詞

3.1 角色

3.1.1 角色解釋

SANGFOR SSL角色是用戶和資源之間的紐帶，它用于給不同的用戶關聯不同的內網資源，以實現更細致化的遠程接入控制。

3.1.2 角色配置

3.2 策略組

3.2.1 策略組解釋

策略組用來設置用戶的接入VPN的安全策略。

包括以下內容：
客戶端相關選項，帳號屬性和安全桌面相關信息。

策略組設置完成后，需被用戶或者用戶組關聯才生效。
根據需求的不同，可設置不同的策略組分別與用戶，用戶組關聯。

3.2.2 策略組配置

（1）關聯用戶或用戶組

（2）客戶端選項

客戶端選項用來設置客戶端的隱私保護，帶寬會話，是否允許PPTP方式 接入，SSL專線，硬件特征碼個數限制。

（3）賬號控制

賬號控制用來設置賬號相關的權限。

總結

以上是生活随笔為你收集整理的移动接入资源发布技术的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。