『资源服务选项』用于设置各类资源的参数及自定义 URL 授权不通过提示页面的信息。包括『WEB 应用』、『TCP 应用』、『L3VPN 应用』以及『其他设置』四个标签页
WEBUI 路径:『系统设置』→『SSL VPN 选项』→『系统选项』→『资源服务选项』。界面如下所示:
『WEB 应用』用于 WEB 应用类型资源的参数的设置和 WEB 服务对象的修正。
WEBUI 路径:『系统设置』→『SSL VPN 选项』→『系统选项』→『资源服务选项』→『WEB 应用』。
界面如下图所示:
『资源访问模式』设置 SSL 资源的访问模式。
勾选[使用设备的 IP 地址作为源地址],则客户端是以设备的接口 IP 地址访问服务器资源。
勾选[使用分配的虚拟 IP 地址作为源地址],则客户端是以分配的虚拟 IP 地址访问服务器资源。(虚拟 IP 设置参考章节 3.5.1.3 虚拟 IP 池)
『WEB 泛域名』需要使用 WEB 泛域名的场景,将申请的泛域名填写进来,端口默认为 8118,可以修改
[启用 HTTP 透明代理访问],若使用 WEB VPN 方案,没有泛域名正式的情况向下勾选启用 HTTP 透明代理,使用 HTTP 的协议代理访问,若有泛域名证书,则无需勾选。
[Web 应用优化调试选项],Web 应用优化调试用于进行资源访问时提升资源访问的兼容性和体验。
自动清除浏览器 Cookie:勾选后,当浏览器的 Cookie 达到限额时将自动清除最早的Cookie;取消勾选,当 Cookie 大小超过浏览器处理的上限时会导致页面错误发生,建议勾选。
网页广告过滤:勾选后,将屏蔽资源中的网页广告;取消勾选,资源中的网页广告将 不做处理建议勾选。
国外网站访问优化:勾选后,当访问国外资源时会将其 CDN 镜像修改为国内镜像, 以提升访问速度;取消勾选,当访问国外资源时将不做处理,建议勾选。
自动访问授权:勾选后,当访问资源时将默认通过 Cookie 的方式控制访问授权;当访问时浏览器没有带 Cookie,可通过源 IP 地址进行访问授权;若未勾选,将不能进行网页资源访问授权,建议勾选。
『WEB 对象修正』修正 WEB 应用服务程序中控件引用资源的路径,例如 Flash,Java Applet 或视频播放器等,使其能正常执行。如下图所示:
点击新建规则,会出现规则编辑框,如下图所示:
『对象 HTML 标签』选择网页编写技术,支持 Object\Applet\Embed 三种。
『对象唯一标识』即标识该规则的名字。
『规则描述』可任意填写该规则的相关说明信息。
『标签参数』根据要修正的网页代码,填写相应的参数。
『对象属性』根据要修正的网页代码,填写相应的对象属性。
『函数对象』根据要修正的网页代码,填写相应的函数对象。
『QueryString(<Embed>)』根据要修正的网页代码,填写相应的查询字符串。
选中规则,点击删除或编辑,对选中的规则进行删除和编辑操作。点击选择选中所有规则或者取消所有选择。
『WEB 页面修正』用于修正当泛域名资源出现 URL 替换错误时,手动修改替换规则, 如下图所示:
点击新建规则,会出现规则编辑框,如下图所示:
『WEB 页面地址』根据要修正的 WEB 页面地址,填写对应的 URL 链接
『目标』填写需要修改的 URL 地址
『替换为』填写需要替换的 URL 地址
选中规则,点击删除或编辑,对选中的规则进行删除和编辑操作。点击选择选中所有规则或者取消所有选择。
最后点击保存并配置生效。
『TCP 应用』用于 TCP 应用类型资源的参数的设置和开启智能递推。
WEBUI 路径:『系统设置』→『SSL VPN 选项』→『系统选项』→『资源服务选项』→『TCP 应用』。
界面如下图所示:
『资源访问模式』设置 SSL 资源的访问模式。
勾选[使用设备的 IP 地址作为源地址],则客户端是以设备的接口 IP 地址访问服务器资源。
勾选[使用分配的虚拟 IP 地址作为源地址],则客户端是以分配的虚拟 IP 地址访问服务器资源。(虚拟 IP 设置参考章节 3.5.1.3 虚拟 IP 池)
『客户端会话数』用来设置 SSL VPN 客户端 TCP 应用的会话连接数。
[启用资源智能递推]开启或关闭 TCP 应用的智能递推。
智能递推应用背景:有一些网站主页上有很多连接到其他服务器的链接,我们如果要访问这些链接,必须在添加资源的时候把这部分服务器都添加上,否则将无法访问。但是, 当遇到这部分服务器很多的情况下,我们添加资源就很难能够添加完全,容易造成资源的漏添加,导致某些资源无法访问。智能递推就是为了解决这类问题而出现的。我们只要将这个网站的主页添加到 TCP 应用中,并将此网站中连接到其他服务器的子链接的 url 添加到智能递推的白名单中,就无需再将这些子链接添加成 TCP 应用,也能够实现对这些资源的访问。
『资源智能递推范围』设置对哪些 URL 地址进行智能递推。
勾选[仅以下地址]则仅对规则列表里面的 URL 地址进行智能递推。
勾选『对以下地址之外的其他地址』则对除规则列表之外的 URL 地址进行智能递推。
点击新建可添加 URL 地址,如下图:
勾选规则列表中的 URL 地址,点击删除和编辑,对选中的规则进行删除和编辑操作。
点击选择可选中所有规则或者取消所有选择。添加完成规则后,如下图所示:
最后点击保存并配置生效。
该处启用智能递推后,在设置 TCP 应用资源时,需要在『其他属性』中勾选『应用智能递推』。
界面如下所示:
智能递推应用案例
案例背景:某高校通过部署 SSLVPN 实现用户远程安全接入学校内网,访问图书馆的各种资源。目前,图书馆有一个主页需要提供给用户通过 SSLVPN 进行访问,该图书馆主页的域名是 www.library.com,并且该主页上面有很多访问其他服务器或数据库的链接。
案例需求:用户通过 SSLVPN 可以访问该图书馆主页及其链接的所有其他服务器或数据库。
解决方案:启用智能递推功能。启用智能递推后,只需要在 SSL 设备中添加这个图书馆主页资源(“根资源”),其他镶嵌在这个“根资源”页面上的服务器或数据库(“子资源”)都不需要在 SSL 设备上手动添加。
案例实现配置步骤:
第一步:启用智能递推功能,并添加智能递推范围。
WEBUI 路径:『系统设置』→『SSL VPN 选项』→『系统选项』→『资源服务选项』→『TCP 应用』。
配置界面如下所示:
勾选[启用资源智能递推],选择[仅以下地址]并在规则列表中添加需要进行智能递推的 URL 地址,在本案例中填写*.library.*这条 URL 地址,如果图书馆主页中还有其他形式的 URL 链接可以同样加到规则列表里面。
最后点击保存并配置生效。
第二步:建立图书馆主页资源,类型必须选择 TCP 应用;
WEBUI 路径:『SSL VPN 设置』→『资源管理』。
点击新建按钮,再点击 TCP 应用选项,在弹出页面中编辑图书馆主页资源。
配置界面如下所示:
点击保存,保存配置
第三步:最后,把“图书馆”这个资源关联给用户,并点击配置生效。配置完成。
注意:
1、目前智能递推只支持 TCP 应用的 HTTP、HTTPS 应用。
2、若有资源启用了智能递推,则用户端在访问该资源时,主页面下的子页面均可以使 用智能递推。
『L3VPN 应用』用于 L3VPN 应用类型资源的参数的设置。
WEBUI 路径:『系统设置』→『SSL VPN 选项』→『系统选项』→『资源服务选项』
→『L3VPN 应用』。界面如下图所示:
『资源访问模式』设置 SSL 资源的访问模式。
勾选[使用设备的 IP 地址作为源地址],则客户端是以设备的接口 IP 地址访问服务器资源。
勾选[使用分配的虚拟 IP 地址作为源地址],则客户端是以分配的虚拟 IP 地址访问服务器资源。(虚拟 IP 设置参考章节 3.5.1.3 虚拟 IP 池)
『传输协议选择』选择 L3VPN 应用的传输模式。
勾选[仅使用 TCP],则在使用 L3VPN 应用的时候,只启用 TCP 隧道进行数据传输。勾选[自动选择 TCP 或 UDP],则会优先启用 UDP 隧道进行数据传输。
『UDP 服务端口』使用 UDP 隧道进行数据传输的端口,如果是单臂模式,需要前端网关设备映射端口给 SSL 设备,默认是 442。
点击高级设置,可对设备虚拟网卡的地址范围,PPTP 服务的虚拟网卡地址,L2TP服务的虚拟网卡地址和 L3VPN 最大并发用户数进行设置。
注意:用户修改高级设置中的参数,有可能对 SSL VPN 性能造成严重影响,一般保留默认值即可。
『其他设置』用于设置访问资源时,URL 地址授权不通过的返回页面。(URL 地址授权参考章节 10.6.2.2URL 访问控制配置案例)
WEBUI 路径:『系统设置』→『SSL VPN 选项』→『系统选项』→『资源服务选项』→『其他设置』。
界面如下图所示:
点击浏览选择制作的页面的压缩包并上传,对 WEB 资源中 URL 地址授权不通过时的返回页面进行修改。
在『用户访问未授权 URL(适用于 TCP,L3VPN 应用资源)』的表中,可自定义 TCP应用和 L3VPN 应用 URL 地址授权不通过时的返回页面的提示信息。
注意:
1、页面自定义的功能仅支持 WEB 应用资源。
2、页面自定义的功能仅支持 WEB 应用资源。压缩包中必须包含有“warrant_forbidden.tml”文件,压缩包格式为 zip,且大小要求小于 1M。
建议使用Chrome浏览器访问!
