博客目錄

• • 1. 移動(dòng)接入資源發(fā)布需求
  • • 1.1 需求背景
    • 1.2 解決方案
  • 2. 移動(dòng)接入資源發(fā)布技術(shù)
  • • 2.1 資源分類
    • 2.2 WEB應(yīng)用技術(shù)
    • • 2.2.1 需求背景
      • 2.2.2 WEB應(yīng)用技術(shù)介紹
      • 2.2.3 WEB應(yīng)用技術(shù)原理
      • 2.2.4 WEB資源發(fā)布配置
    • 2.3 TCP應(yīng)用技術(shù)
    • • 2.3.1 需求背景
      • 2.3.2 TCP應(yīng)用技術(shù)介紹
      • 2.3.3 TCP 應(yīng)用技術(shù)原理
    • 2.4 L3VPN
    • • 2.4.1 需求背景
      • 2.4.2 L3VPN 技術(shù)介紹
      • 2.4.3 L3VPN應(yīng)用技術(shù)原理
      • 2.4.4 L3VP案例
    • 2.5 遠(yuǎn)程應(yīng)用技術(shù)
    • • 2.5.1 遠(yuǎn)程應(yīng)用技術(shù)介紹
      • 2.5.2 遠(yuǎn)程應(yīng)用案例
  • 3. 相關(guān)名詞
  • • 3.1 角色
    • • 3.1.1 角色解釋
      • 3.1.2 角色配置
    • 3.2 策略組
    • • 3.2.1 策略組解釋
      • 3.2.2 策略組配置
      • • （1）關(guān)聯(lián)用戶或用戶組
        • （2）客戶端選項(xiàng)
        • （3）賬號(hào)控制

1. 移動(dòng)接入資源發(fā)布需求

1.1 需求背景

需求：

出差或在家能接入企業(yè)/單位內(nèi)網(wǎng)的應(yīng)用系統(tǒng)

需要支持電腦接入訪問(wèn)B/S、C/S 類所有應(yīng)用 （ 什么是B/S和C/S https://www.cnblogs.com/groler/articles/2116905.html）

支持在移動(dòng)終端（手機(jī)、平板）使用windows上的應(yīng)用

1.2 解決方案

允許電腦接入后訪問(wèn)授權(quán)的業(yè)務(wù)系統(tǒng)（地址、協(xié)議、端口）

遠(yuǎn)程應(yīng)用發(fā)布實(shí)現(xiàn)windows應(yīng)用在移動(dòng)終端上使用

2. 移動(dòng)接入資源發(fā)布技術(shù)

2.1 資源分類

資源是指遠(yuǎn)程接入SSL VPN后授權(quán)終端允許訪問(wèn)的網(wǎng)絡(luò)服務(wù)==

根據(jù)實(shí)現(xiàn)機(jī)制和應(yīng)用服務(wù)的不同將資源分為4類：
1. WEB應(yīng)用
2. TCP應(yīng)用
3. L3VPN
4. 遠(yuǎn)程應(yīng)用

2.2 WEB應(yīng)用技術(shù)

2.2.1 需求背景

要求實(shí)現(xiàn)：

用戶在外手機(jī)辦公，已經(jīng)和總部建立了SSL VPN。現(xiàn)在用戶需要通過(guò)手機(jī)訪問(wèn)總 部的web資源。

用戶不希望在手機(jī)上安裝額外的控件。
解決方案： 發(fā)布WEB資源給該用戶

2.2.2 WEB應(yīng)用技術(shù)介紹

WEB應(yīng)用
WEB應(yīng)用通過(guò)SSL設(shè)備將內(nèi)網(wǎng)服務(wù)轉(zhuǎn)換成HTTPS協(xié)議
支持應(yīng)用類型： HTTP 、HTTPS、MAIL、FTP 和FileShare

優(yōu)點(diǎn)：客戶端免控件，所有瀏覽器均支持。
建議： 常規(guī)測(cè)試不建議使用WEB應(yīng)用，適用于手機(jī)，無(wú)IE瀏覽器等無(wú)法安裝ActiveX控件條件的環(huán)境接入。

注意：客戶端接入SSL VPN訪問(wèn)WEB應(yīng)用，不能打開新窗口輸入地址訪問(wèn)，只能點(diǎn)擊鏈接或者利用WEB全網(wǎng)服務(wù)的地址欄訪問(wèn)。

2.2.3 WEB應(yīng)用技術(shù)原理

上圖中的123 步驟分別如下描述：

客戶端和SSL設(shè)備建立SSL VPN鏈接，SSL VPN中新建OA系統(tǒng)的資源。SSL VPN設(shè)備把Server的服務(wù)轉(zhuǎn)換為Client瀏覽器可以打開的鏈接，如：http://172.172.3.100，轉(zhuǎn)換為： https://202.96.137.88/web/1/http/0/172.172.3.100/

客戶端登錄VPN后，點(diǎn)擊資源連接列表，訪問(wèn)OA資源。訪問(wèn)的是 https://202.96.137.88/web/1/http/0/172.172.3.100/。直接走VPN隧道。

數(shù)據(jù)發(fā)送到SSL VPN設(shè)備后，SSL VPN解封裝，原本的HTTPS協(xié)議轉(zhuǎn)換成HTTP，以SSL VPN設(shè)備自身的IP（默認(rèn)）或用戶的虛擬IP為源IP，重新發(fā)送請(qǐng)求給發(fā)送給OA服務(wù)器把資源加載到SSL VPN設(shè) 備本地。而后SSL VPN應(yīng)答客戶端的請(qǐng)求。【修改源IP是為了解決路由回包的問(wèn)題】

2.2.4 WEB資源發(fā)布配置

【SSL VPN設(shè)置】 【資源管理】新建WEB應(yīng)用，添加OA系統(tǒng)應(yīng)用資源，類型為 HTTP，IP為172.172.3.100

登錄成功初始化完成后，可以在資源列表看到對(duì)應(yīng)的資源，點(diǎn)擊資源可以打開對(duì)應(yīng)的系統(tǒng)，如下圖：從地址欄可以看到設(shè)備進(jìn)行了協(xié)議轉(zhuǎn)換

2.3 TCP應(yīng)用技術(shù)

2.3.1 需求背景

要求實(shí)現(xiàn)：

用戶在外電腦辦公，需要通過(guò)電腦遠(yuǎn)程登錄總部的web服務(wù)器進(jìn)行資源更新。

2.3.2 TCP應(yīng)用技術(shù)介紹

TCP應(yīng)用
TCP應(yīng)用的實(shí)現(xiàn)是通過(guò)在Client安裝Proxy控件，由控件抓取訪問(wèn)服務(wù)器的TCP連接并對(duì)數(shù)據(jù)進(jìn)行封裝，將普通的TCP連接轉(zhuǎn)換成SSL協(xié) 議數(shù)據(jù)實(shí)現(xiàn)的。

支持應(yīng)用類型：所有基于TCP傳輸協(xié)議的應(yīng)用。

優(yōu)點(diǎn)：適用范圍廣，僅自動(dòng)在Client安裝一個(gè)小控件

建議： 所有基于TCP的應(yīng)用，建議首選添加TCP應(yīng)用

2.3.3 TCP 應(yīng)用技術(shù)原理

總體步驟如下

客戶端和SSL設(shè)備建立SSL VPN鏈接，SSL VPN中新建OA系統(tǒng)的資源

客戶端安裝ProxyIE控件（必須在資源已經(jīng)建立的情況下安裝該控件，新建資源則要退出重新登錄以更新ProxyIE控件）。該控件可以辨別哪些流量走VPN隧道。

客戶端登錄VPN后，訪問(wèn)172.172.3.100。

ProxyIE識(shí)別該數(shù)據(jù)包是訪問(wèn)TCP應(yīng)用資源，是VPN流量，把數(shù)據(jù)包抓取并封裝到隧道中。把原來(lái)的整個(gè)數(shù)據(jù)包加密封裝到新數(shù)據(jù)包的應(yīng)用層數(shù)據(jù)中。

數(shù)據(jù)發(fā)送到SSL VPN設(shè)備后，SSL VPN解封裝，將源IP改為VPN設(shè)備自身IP（默認(rèn)）或用戶的虛擬IP并把原始數(shù)據(jù)包發(fā)送給OA服務(wù)器。【修改源IP是為了解決路由回包的問(wèn)題】

2.3.4 TCP 應(yīng)用案例

客戶需求：

出差的用戶需要通過(guò)SSL VPN安全接入使用內(nèi)網(wǎng)的OA系統(tǒng)

總部發(fā)布的是OA系統(tǒng)的TCP應(yīng)用資源。

需求確認(rèn)： OA系統(tǒng)使用瀏覽器訪問(wèn)，地址為：http://172.172.3.100

配置

【SSL VPN設(shè)置】 【資源管理】新建TCP應(yīng)用，添加OA系統(tǒng)應(yīng)用資源，類型為 HTTP，IP為172.172.3.100，端口為80

登錄成功初始化完成后，可以在資源列表看到對(duì)應(yīng)的資源，點(diǎn)擊資源或者在瀏覽器輸入地址都可以打開對(duì)應(yīng)的系統(tǒng)，如下圖：

2.4 L3VPN

2.4.1 需求背景

要求實(shí)現(xiàn)：

用戶在外電腦辦公，需要通過(guò)電腦訪問(wèn)總部的SNMP服務(wù)器進(jìn)行管理。

2.4.2 L3VPN 技術(shù)介紹

L3VPN應(yīng)用
L3VPN應(yīng)用的實(shí)現(xiàn)是通過(guò)在Client安裝虛擬網(wǎng)卡，虛擬網(wǎng)卡在客戶端生成路由表指向虛擬網(wǎng)卡，由虛擬網(wǎng)卡抓取訪問(wèn)服務(wù)器的數(shù)據(jù)，進(jìn)行封裝后通過(guò)虛擬網(wǎng)卡和SSL設(shè)備建立的隧道將數(shù)據(jù)傳遞到Server。

支持應(yīng)用類型：支持所有基于TCP、UDP、ICMP的應(yīng)用

特點(diǎn)：
1.Client需安裝虛擬網(wǎng)卡，較TCP的控件包大一些。
2.首次登錄接入 SSL VPN需安裝虛擬網(wǎng)卡，實(shí)現(xiàn)方式類似于IPsec的移動(dòng)客戶端。

建議： 基于UDP，ICMP的應(yīng)用或Server需主動(dòng)訪問(wèn)Client端的應(yīng)用的時(shí)候使用L3VPN資源。

2.4.3 L3VPN應(yīng)用技術(shù)原理

過(guò)程具體步驟如下所述：

客戶端和SSL設(shè)備建立SSL VPN鏈接，SSL VPN中新建OA系統(tǒng)的資源

客戶端安裝虛擬網(wǎng)卡控件（必須在資源已經(jīng)建立的情況下安裝該控件，新建資源則要退出重新登錄 以更新虛擬網(wǎng)卡控件）。該控件可以把去往L3VPN資源的路由條目下發(fā)到客戶端的本地路由表中。

客戶端登錄VPN后，訪問(wèn)172.172.3.100。通過(guò)查詢路由表，客戶端發(fā)現(xiàn)去往172.172.3.100的數(shù)據(jù) 包應(yīng)該給虛擬網(wǎng)卡進(jìn)行處理。

虛擬網(wǎng)卡對(duì)數(shù)據(jù)包進(jìn)行封裝并送入SSL VPN隧道。把原來(lái)的整個(gè)數(shù)據(jù)包加密封裝到新數(shù)據(jù)包的應(yīng)用 層數(shù)據(jù)中，源IP改為虛擬網(wǎng)卡IP。

數(shù)據(jù)發(fā)送到SSL VPN設(shè)備后，SSL VPN解封裝，源IP改為VPN設(shè)備自身IP（默認(rèn)）或用戶的虛擬IP 并把原始數(shù)據(jù)包發(fā)送給OA服務(wù)器。【修改源IP是為了解決路由回包的問(wèn)題】

2.4.4 L3VP案例

客戶需求

用戶需要通過(guò)SSL VPN安全接入內(nèi)網(wǎng)。 用戶希望以L3VPN資源訪問(wèn)總部OA資源（172.172.3.100）。

需求確認(rèn)

IM通訊軟件是C/S架構(gòu)，終端需要安裝IM客戶端 IM服務(wù)器內(nèi)網(wǎng)地址為：172.172.3.100使用協(xié)議端口為：UDP 80

配置

在設(shè)備控制臺(tái)添加對(duì)應(yīng)的L3VPN資源，如下圖:

登錄過(guò)程會(huì)自動(dòng)安裝必須的對(duì)應(yīng)SSL VPN組件，如下圖為登錄過(guò)程初始化過(guò)程：

登錄成功后，客戶端獲取到虛擬IP地址（2.0.1.1），并且在系統(tǒng)自動(dòng)生成了一條 DIP為172.172.3.100的資源路由，如下圖：

2.5 遠(yuǎn)程應(yīng)用技術(shù)

2.5.1 遠(yuǎn)程應(yīng)用技術(shù)介紹

采用基于服務(wù)器計(jì)算的應(yīng)用模式，應(yīng)用程序的安裝、配置、管理、維護(hù) 以及應(yīng)用的執(zhí)行均集中在服務(wù)器上進(jìn)行，用戶通過(guò)遠(yuǎn)程客戶端登錄服務(wù)器進(jìn)行操作，輸入輸出的內(nèi)容通過(guò)網(wǎng)絡(luò)傳輸?shù)娇蛻舳?br />

技術(shù)特點(diǎn)

1.客戶端無(wú)需安裝應(yīng)用程序，只需要安裝EasyConnect客戶端；終端服務(wù)器需要安裝RemoteServerAgent組件減少C/S應(yīng)用系統(tǒng)使用 的局限性，提高易用性；

2.某些B/S架構(gòu)的應(yīng)用需要在客戶端瀏覽器安裝插件才能訪問(wèn)，但是該插件對(duì)手機(jī)或者平板不兼容，不支持安裝等情況，可以通過(guò)遠(yuǎn)程應(yīng)用發(fā)布的方式來(lái)使用。

2.5.2 遠(yuǎn)程應(yīng)用案例

客戶需求

移動(dòng)終端用戶、PC通過(guò)SSL VPN安全接入內(nèi)網(wǎng)，在用戶本地不需要安裝對(duì)應(yīng)的應(yīng)用系統(tǒng)軟件，可以使用企業(yè)內(nèi)部運(yùn)行在windows平臺(tái)的辦公系統(tǒng)應(yīng)用。

需求確認(rèn)

應(yīng)用系統(tǒng)軟件是C/S、B/S架構(gòu)，不支持移動(dòng)終端，比如IE瀏覽器、ERP系統(tǒng)、 MS office應(yīng)用等

配置

通過(guò)終端服務(wù)器登錄SSL VPN，并通過(guò)[SSL VPN設(shè)置]—[終端服務(wù)器管理 ]—下載終端服務(wù)器程序SFRemoteAppServerInstall.exe，并在服務(wù)器上雙擊運(yùn)行安裝。

在[SSL VPN設(shè)置]—[終端服務(wù)器管理]–新建–服務(wù)器，填寫服務(wù)器名稱、 Windows Server的IP地址、用戶名和密碼，點(diǎn)擊“測(cè)試鏈接”測(cè)試SSL VPN設(shè)備與終端服務(wù)器的連接情況。正常會(huì)提示“連接并認(rèn)證終端服務(wù)器成功”如下圖：

點(diǎn)擊“添加預(yù)設(shè)”，選擇需要發(fā)布的應(yīng)用程序，選擇要發(fā)布的IE瀏覽器

完成添加配置后，點(diǎn)擊保存；點(diǎn)擊右上角“立即生效”后，可以查看已添加的終端服務(wù)器在線狀態(tài)，如下圖：

配置資源名稱、應(yīng)用程序類型、啟動(dòng)參數(shù)等，如下圖：

配置好后，在資源組里面可以查看配置好的遠(yuǎn)程應(yīng)用資源，如下圖：
登錄成功后，顯示資源頁(yè)面，如下圖：

點(diǎn)擊該資源

效果顯示
移動(dòng)終端通過(guò)EasyConnect登錄成功后，在資源頁(yè)面，點(diǎn)擊遠(yuǎn)程應(yīng)用資源，即可打開發(fā)布的遠(yuǎn)程應(yīng)用資源，如下圖：

3. 相關(guān)名詞

3.1 角色

3.1.1 角色解釋

SANGFOR SSL角色是用戶和資源之間的紐帶，它用于給不同的用戶關(guān)聯(lián)不同的內(nèi)網(wǎng)資源，以實(shí)現(xiàn)更細(xì)致化的遠(yuǎn)程接入控制。

3.1.2 角色配置

3.2 策略組

3.2.1 策略組解釋

策略組用來(lái)設(shè)置用戶的接入VPN的安全策略。

包括以下內(nèi)容：
客戶端相關(guān)選項(xiàng)，帳號(hào)屬性和安全桌面相關(guān)信息。

策略組設(shè)置完成后，需被用戶或者用戶組關(guān)聯(lián)才生效。
根據(jù)需求的不同，可設(shè)置不同的策略組分別與用戶，用戶組關(guān)聯(lián)。

3.2.2 策略組配置

（1）關(guān)聯(lián)用戶或用戶組

（2）客戶端選項(xiàng)

客戶端選項(xiàng)用來(lái)設(shè)置客戶端的隱私保護(hù)，帶寬會(huì)話，是否允許PPTP方式 接入，SSL專線，硬件特征碼個(gè)數(shù)限制。

（3）賬號(hào)控制

賬號(hào)控制用來(lái)設(shè)置賬號(hào)相關(guān)的權(quán)限。

總結(jié)

以上是生活随笔為你收集整理的移动接入资源发布技术的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。