【SSL】仅发布一个域名资源其他未发布的域名却可以访问

更新时间：2019-09-21

阅读权限：游客
下载
分享本内容
微博

QQ

QQ 空间

复制链接
分享
收藏

所属模块用户资源角色 | TCP&L3VPN资源

适用版本通用

SSL VPN发布了一条3a.xxx.com.cn的域名，将该资源权限分配了用户test，当用户登录VPN以后，不仅能访问3a.xxx.com.cn，测试发现用户登录VPN后还可以访问oa.xxx.com.cn，caiwu.xxx.com.cn等相关主页，但是问题在于管理员并没有将oa.xxx.com.cn，caiwu.xxx.com.cn等资源发布出来。

1、检查资源发布，内网域名解析，经过配置确认：

① 发布了3a.xxx.com.cn域名的L3VPN资源；

② 内网域名解析里面没有启用强制下发DNS，配置内网DNS为内网DNS服务器地址，内网DNS规则设置为*.xxx.com.cn；

2、跟用户了解到，*.xxx.com.cn都解析到内网统一台代理服务器IP1，所有域名请求都会转发给这台代理服务器，由代理服务器对真实业务服务器发起请求；

3、经过上面配置确认，配置存在问题

1、用户关联了3a.xxx.com.cn资源，SSL VPN事先在设备上向3a.xxx.com.cn通过内网DNS域名解析，且缓存了3a.xxx.com.cn的域名解析结果IP1，当关联了该资源的用户登录VPN以后，SSL VPN向该客户端电脑下发该解析以后的IP1地址以及80端口，这个用户就能访问IP1的80端口；

2、当用户访问oa.xxx.com.cn，会匹配到内网dns规则*.xxx.com.cn，SSL VPN会代理用户去内网dns发起oa.xxx.com.cn的域名解析请求，客户之前也说了" *.xxx.com.cn都解析到内网统一台代理服务器IP1，所有域名请求都会转发给这台代理服务器",所以，oa.xxx.com.cn也会解析成IP1，因为用户关联的3a.xxx.com.cn资源，让用户有访问IP1的80端口权限，域名oa.xxx.com.cn也解析成IP1，所以，用户登录VPN以后，访问oa.xxx.com.cn的数据也会进入VPN隧道，

将内网DNS规则里面的*.xxx.com.cn去掉；

{{contentObj.name||'--'}}

{{contentObj.name||'--'}}

深信服自助服务平台

SSL VPN

【SSL】仅发布一个域名资源其他未发布的域名却可以访问