SSL VPN

深信服SSL VPN集SSL/IPSec于一身,帮助企业构建端到端的安全防护体系,业内拥有多项加密技术,多种认证方式、主从绑定等特色功能,保证远程系统接入的用户身份安全、终端/数据安全、传输安全、应用权限安全和审计安全,具有快速、易用、全面等优势特点,并且连续多年市场占有率第一,一直走在技术前沿,提供优质服务,用户认可度极高。
点击可切换产品版本
知道了
不再提醒
SSL7.6.9R1
{{sendMatomoQuery("SSL VPN","TCP 应用")}}

TCP 应用

更新时间:2022-01-08

『TCP 应用』主要用于定义各种类型的 SSL VPN 内网资源,以适应各种各样基于 TCP协议的应用程序访问 SSL VPN 内网资源的需求。

在『资源管理』页面,点击新建按钮,如下图:

选择[TCP 应用],弹出【编辑 TCP 应用资源】对话框,设置界面如下:

『名称』和『描述』可随意填写便于理解记忆的文字,『名称』填写的文字会显示在SSL 用户成功登录 SSL VPN 后出现的“资源列表”中。

『类型』选择所建立『TCP 应用』的服务类型,SANGFOR SSL VPN 内置了常用应用服务的定义,直接选择则会在编辑地址的页面中自动填写端口范围,如无所需的类型,可选择底部的[other],然后自定义该服务所使用的『端口范围』。

『地址』填写提供 TCP 应用的服务器地址,支持『单 IP 或域名』和『IP 段』的形式, 如下图所示:

注意:以“域名”形式填写时,必须在前面『网络设置』的『HOSTS』中设置“域名”或“主机名”对应的“IP 地址”,也可以通过『内网域名解析』中设置内网 DNS 服务器解析。

『端口范围』定义该『TCP 应用』提供服务所使用的端口,已预定义好的资源类型一般不需修改,如果『类型』选择了『Other』,则填写该服务所使用的端口。

『所属组』后面下拉框可以将该资源划入相应的“资源组”,默认属于“默认资源组”(资 源组的具体设置可参考 4.2.1“资源组”章节)。

如果不勾选[允许用户可见]选项,则登录 SSL VPN 后,在“TCP 应用列表”中不显示该资源的信息,但实际上该资源是可用的。隐藏资源有利于保护内网资源服务器的信息。

[启用单点登录]勾上后,即开启该资源单点登录功能(资源单点登录的具体设置可参 考 3.5.1.5『单点登录配置』章节)。配置页面如下:

『管理员授权』可将该资源指派给其他管理员,使其他管理员对该资源拥有使用和指 派的权限。

注意:资源指派给管理员后,这部分管理员只具备对该资源的使用权、指派给该管理员的下属管理员的权限,对该资源不具备编辑权,用这部分管理员帐号登录控制台后,只能在角色管理中给用户或者用户组关联指派的资源,无法在资源管理中看见这些资源列 表。编辑权仅属于创建该资源的管理员或其上级管理员。

『主从用户名绑定』可实现主从绑定功能,即限制用户登录 SSL VPN 后,只能够使用指定的帐号登录该应用资源,使用其他帐号无法登录该应用资源,WEB 应用、TCP 应用、L3VPN 均可实现该功能。TCP 应用资源可通过以下两种方式实现,界面如下:

勾选[结合单点登录的用户名绑定认证],使用单点登录方式实现。首先必须对目标资源启用单点登录功能,然后在『用户管理』列表页面,对目标用户帐号绑定需要登录应用 系统的帐号和密码。

勾选[通过数据包解析登录的用户名绑定认证],使用数据包解析方式实现。首先在『数 据包格式』后面的下拉框中选择该应用的类型,并根据实际情况填写下方的数据信息。然 后在『用户管理』列表页面,对目标用户帐号绑定需要登录应用系统的帐号、密码。

『URL 访问控制』用来设置允许用户只能访问特定的 URL 地址。

注意:URL 访问控制只支持 TCP 应用的 HTTP 类型的应用。

『允许访问的客户端类型』用来设置允许访问该资源的客户端的类型,没有勾选则访问不到。

『其他属性』中可以设置对该资源[启用关键文件保护]和[启用智能递推],如下图所示:

[应用关键文件保护]可以通过锁定使用 Socket 上网的进程所需关键文件,保护用户在访问 SSL VPN 时,所需的关键文件不被改动。如果用户修改过所保护的进程和关键文件,

则将无法访问该资源。勾选[应用关键文件保护]后,点击编辑进入关键文件保护配置界面。

点击添加文件,再点击进程关联文件按钮,选中想要保护的某个应用程序(必须是exe 格式),在下面的列表中,显示出该文件所处目录和下级目录下的所有 DLL 文件,显示的信息包括:文件名、MD5 值,如下图所示:

添加文件右边的下拉框可以对列表中的文件根据类型进行过滤显示,默认是显示所有,支持对 dll、exe、pdb 类型过滤。如果需要锁定的文件不在该文件列表中,可以点击添加文件,再点击锁定文件手动添加。添加完成后即可对该进程和列表中勾选上锁定的文件进行锁定,如果用户对该进程或文件修改,则无法访问资源。

删除能够把左边被勾选上的关键文件从列表中删除。

注意:用户使用资源时,关键文件是被锁定的,不能被“强行”修改。

[应用智能递推],主要应用于 WEB 页面中包含子链接的情况,要使用该功能,必须先在『系统选项』中的『资源服务选项』中勾选[启用资源智能递推]。详细可参考 3.5.1.6 章节。

最后确定保存配置即可。

配置生效按钮把当前配置进行保存并生效。

注意:首次使用『TCP 应用』时计算机会自动安装控件,需要以 administrator 登录系统才可以安装上。若 PC 上有防火墙或杀毒软件,可能会抯挡 PC 安装插件,可先关闭防火墙或杀毒软件。