隧道应用,是基于终端C/S架构应用接入安全制定的一种访问内网资源的方式。
发布隧道应用需要在PC上安装客户端,通过客户端访问内网的B/S应用或C/S应用。
在控制中心[业务管理/应用管理/应用列表]中点击<新增>按钮新增应用。
隧道应用操作说明表
| 操作 | 说明 |
| 访问模式 | 选择创建的资源类型是隧道资源还是web资源,此处应选隧道资源。 |
| 协议 |
|
| 名称 | 设置应用名称,例如:财务系统。 |
| 描述 | 给创建的应用添加描述,非必填项。 |
| 所属应用分类 | 选择应用所在的分类,在创建应用前,选择左边的应用分类,点击<添加>按钮创建应用会自动填写所属应用分类,也可以在创建应用的同时对其做修改。 |
| 所属节点区域 | 选择代理网关的节点。 |
| 服务器地址 | 设置需要代理的内网业务地址地址,支持单个IP、IP范围、IP段及域名,域名支持通配符,例如:*.domain.com、192.168.1.1、192.168.1.1-192.168.1.10;192.168.1.0/24。目前已支持TCP、UDP和ICMP协议。 |
| 授信证书 | 配置HTTP/HTTPS协议的隧道资源,需要导入web授信证书,用于消除打开web页面时由于证书不授信导致浏览器告警。 |
| 端口 | 支持端口号或端口范围,例如:单个端口号,35、端口范围,1-65535、多个端口,35,40-50,80 |
| 操作 | 点击<+>可以设置多个服务器地址及端口 |
| 排除部分服务器地址 | 若需限制以上所填服务器地址中的部分IP地址发布,可在此项填写需要排除的IP地址(暂不支持排除域名)。 |
| 长连接资源 | 仅在Windows/Mac系统下生效,勾选后支持单点通讯/ALG反连场景,配置应用防护策略后,访问不符合策略时会直接阻断,不支持提示语显示和豁免补救。 |
| 应用访问入口 | 若是B/S类应用,配置应用访问入口后,可在应用中心点击直接访问,不配置则无法点击; 配置地址建议填写和服务器地址对应的URL,否则可能导致应用中心访问时出错。 |
| 工作台打开方式 | 针对B/S类应用,配置好应用访问入口后可以在此处配置打开方式,通过工作台点击访问此应用时会拉起配置好的浏览器进行访问。仅对Windows系统下已安装客户端的终端生效。 |
| 图标 | 设置隧道资源的图标,用于区分。 |
| 告警内容 | 设置未授权的用户访问该资源时,阻止其访问提示的告警内容。 |
| 访问理由选项 | 设置未授权的用户访问该资源时,阻止其访问,用户申请该权限访问的理由。 |
| 访问控制策略 | 只有当终端用户的接入满足以下网络区域访问时才允许访问该应用。 |
配置指导:
这里我们将举例说明如何配置一个TCP22端口的隧道资源。
步骤1.登录设备控制[业务管理/应用管理/应用列表]处点击新增。
步骤2.配置名称,应用分类,所属节点区域。
步骤3.配置基础设置中的服务器地址信息(如果是http/https协议资源则还需要选择证书,此应用为C/S应用,无需配置应用访问入口和工作台打开方式)。
步骤4.再配置授未授权告警信息等,然后点击<保存>完成配置即可。
效果验证:
步骤1.登录拥有该资源访问权限的用户,在其应用中心可以看到该资源。
步骤2.使用ssh工具(如mobaxterm,xshell等)可以成功连接该资源。
建议使用Chrome浏览器访问!
