深信服渠道初级认证培训04VPN资源、角色和策略组选读.ppt

EasyLink资源介绍 配置思路： 1.添加用户账号“张三” （添加用户的配置，此PPT不再赘述） 2.资源配置： 根据前面的讲解，将业务系统配置成WEB应用，开启站点映射，将SSL设备的8181端口映射给业务系统，为了加入对JS脚本函数的修正和重写，同时需要开启内容重写。 3. 新建“角色”，关联用户“张三”和资源。（有关角色的配置，请参考前面的案例，此处不再赘述） EasyLink资源介绍 EasyLink资源配置如下： 此时，用户登录SSL VPN访问该业务系统时，可看到业务系统的URL为5:8181 EasyLink资源介绍 在使用EasyLink资源时，有以下几点注意事项： 1.资源地址伪装与站点映射（即EasyLink）无法同时启用，两者只能任选其一。 2.将SSL的端口映射给WEB应用时，该端口不能被其他应用占用。 3.将SSL的接入域名映射给WEB应用后，客户端不能使用该域名接入SSL，但可以通过SSL设备的IP地址或者是没有做域名映射的域名接入SSL。SSL的一个接入域名只能对应内网的一个WEB应用。 4.SSL单臂模式部署时，启用了端口映射后，如某个WEB应用映射了SSL的8080端口，前置防火墙除了映射默认的TCP443端口外，还需要映射8080端口给SSL设备的LAN口以及放通8080端口的访问。 5.用户访问时，需要通过点击web资源进行访问（不支持新开浏览器输入域名） 1.TCP应用和L3VPN应用通过组件抓包实现，登录SSL后，默认不会自动安装TCP和L3VPN组件，但是可以通过设置实现自动安装组件。 【SSLVPN选项】?【系统选项】?【客户端选项】，勾选“用户登录后，自动安装TCP、L3VPN应用组件”，如图： 注意事项 2. 如果是ADSL拨号环境，可以使用WebAgent技术来实现SSL VPN的接入访问。如果该设备同时使用IPSec VPN和SSL VPN ，那么WebAgent地址可以用同一个。客户端输入完整的WebAgent地址到浏览器即可访问。 注意事项 注意事项 资源服务模式 1、使用设备的IP地址作为源地址：则访问资源时，数据到达内网服务器时看到的 源IP地址是SSL设备的LAN口地址 2、使用分配的虚拟IP地址作为源地址：则访问资源时，数据到达内网服务器时看到的源IP地址是客户端PC获取的虚拟IP地址 注意事项 资源服务模式（单臂模式） 如左图所示： 1、设备单臂部署，LAN口地址,虚拟IP池范围 - 54 2、防火墙内网口地址 3、web服务器地址，网关指向 思考:如果资源服务模式选择“使用分配的虚拟IP地址作为源地址”，此时通过SSLVPN访问web服务器资源是否有问题？该如何解决这个问题？ 方法1：直接将web服务器的网关指向SSL的LAN口地址 方法2：在前置三层设备（3SW或FW）添加到虚拟IP池 2.0.1.X网段的路由，下一跳指给SSL的LAN口地址 原因：数据到达web服务器时源IP是2.0.1.x网段的，服务器的网关指向前面防火墙，回包时，数据直接从公网出去了，而不会回到SSL设备LAN口。 练练手 客户希望普通办公人员可以访问的内部的CS客户端的OA系统（IP:00, 使用端口为TCP 8088,8089,8090），邮件系统(IP:50, 使用端口为TCP25,110)。 同时，客户希望网络管理员还能够通过SSL PING OA和邮件服务器，并能通过远程桌面管理，请问该如何配置实现呢？ 1.WEB应用、TCP应用、L3VPN应用三种资源的实现原理是怎样的？各支持哪些应用？ 2.请描述用户、资源、角色三者之间的关系？ 3.某客户登陆SSL VPN之后发现要点击“启用TCP服务控件”后，某些灰色的资源才能够正常访问，请问应该怎样设置实现自动安装这些控件？ 4.EasyLink资源的实现方式有哪两种模式？这两种模式是如何实现的？ 问题思考 * * 培训内容 培训目标 SSL VPN资源 1、掌握SSL VPN所有应用资源的实现原理以及支持的应用类型（WEB、TCP、L3VPN和远程应用发布） 2、掌握SSL VPN所有资源类型的特点 SSL VPN角色 1、掌握SSL VPN角色的概念及作用 SSL VPN策略组 1、掌握SSL VPN策略组的概念及作用 案例结合 1、掌握三种基本应用资源（WEB、TCP和L3VPN）的配置方法 2、掌握EasyLink资源的使用场景以及配置方法 3、掌握角色在用户与资源之间的关系和具体配置 SSL VPN 应用资源介绍 深信服公司简介 典型案例及配置 EasyLink资源介绍以及注意事项 SANGFOR SSL SSL VPN角色、策略组介绍 SSL VPN应用资源介