首页帮助文档软件下载故障处理按场景找工具工具全景图兼容性查询在线实验平台服务信息查询产品安全中心订单验收材料下载

SSL VPN

深信服SSL VPN集SSL/IPSec于一身,帮助企业构建端到端的安全防护体系,业内拥有多项加密技术,多种认证方式、主从绑定等特色功能,保证远程系统接入的用户身份安全、终端/数据安全、传输安全、应用权限安全和审计安全,具有快速、易用、全面等优势特点,并且连续多年市场占有率第一,一直走在技术前沿,提供优质服务,用户认可度极高。
点击可切换产品版本
知道了
不再提醒
SSL7.6.9R1
SSL VPN 文档 产品手册 SSL VPN 设置 资源管理 TCP 应用
{{sendMatomoQuery("SSL VPN","TCP 应用")}}

TCP 应用

更新时间:2022-01-08

『TCP 应用』主要用于定义各种类型的 SSL VPN 内网资源,以适应各种各样基于 TCP协议的应用程序访问 SSL VPN 内网资源的需求。

在『资源管理』页面,点击新建按钮,如下图:

选择[TCP 应用],弹出【编辑 TCP 应用资源】对话框,设置界面如下:

『名称』和『描述』可随意填写便于理解记忆的文字,『名称』填写的文字会显示在SSL 用户成功登录 SSL VPN 后出现的“资源列表”中。

『类型』选择所建立『TCP 应用』的服务类型,SANGFOR SSL VPN 内置了常用应用服务的定义,直接选择则会在编辑地址的页面中自动填写端口范围,如无所需的类型,可选择底部的[other],然后自定义该服务所使用的『端口范围』。

『地址』填写提供 TCP 应用的服务器地址,支持『单 IP 或域名』和『IP 段』的形式, 如下图所示:

注意:以“域名”形式填写时,必须在前面『网络设置』的『HOSTS』中设置“域名”或“主机名”对应的“IP 地址”,也可以通过『内网域名解析』中设置内网 DNS 服务器解析。

『端口范围』定义该『TCP 应用』提供服务所使用的端口,已预定义好的资源类型一般不需修改,如果『类型』选择了『Other』,则填写该服务所使用的端口。

『所属组』后面下拉框可以将该资源划入相应的“资源组”,默认属于“默认资源组”(资 源组的具体设置可参考 4.2.1“资源组”章节)。

如果不勾选[允许用户可见]选项,则登录 SSL VPN 后,在“TCP 应用列表”中不显示该资源的信息,但实际上该资源是可用的。隐藏资源有利于保护内网资源服务器的信息。

[启用单点登录]勾上后,即开启该资源单点登录功能(资源单点登录的具体设置可参 考 3.5.1.5『单点登录配置』章节)。配置页面如下:

『管理员授权』可将该资源指派给其他管理员,使其他管理员对该资源拥有使用和指 派的权限。

注意:资源指派给管理员后,这部分管理员只具备对该资源的使用权、指派给该管理员的下属管理员的权限,对该资源不具备编辑权,用这部分管理员帐号登录控制台后,只能在角色管理中给用户或者用户组关联指派的资源,无法在资源管理中看见这些资源列 表。编辑权仅属于创建该资源的管理员或其上级管理员。

『主从用户名绑定』可实现主从绑定功能,即限制用户登录 SSL VPN 后,只能够使用指定的帐号登录该应用资源,使用其他帐号无法登录该应用资源,WEB 应用、TCP 应用、L3VPN 均可实现该功能。TCP 应用资源可通过以下两种方式实现,界面如下:

勾选[结合单点登录的用户名绑定认证],使用单点登录方式实现。首先必须对目标资源启用单点登录功能,然后在『用户管理』列表页面,对目标用户帐号绑定需要登录应用 系统的帐号和密码。

勾选[通过数据包解析登录的用户名绑定认证],使用数据包解析方式实现。首先在『数 据包格式』后面的下拉框中选择该应用的类型,并根据实际情况填写下方的数据信息。然 后在『用户管理』列表页面,对目标用户帐号绑定需要登录应用系统的帐号、密码。

『URL 访问控制』用来设置允许用户只能访问特定的 URL 地址。

注意:URL 访问控制只支持 TCP 应用的 HTTP 类型的应用。

『允许访问的客户端类型』用来设置允许访问该资源的客户端的类型,没有勾选则访问不到。

『其他属性』中可以设置对该资源[启用关键文件保护]和[启用智能递推],如下图所示:

[应用关键文件保护]可以通过锁定使用 Socket 上网的进程所需关键文件,保护用户在访问 SSL VPN 时,所需的关键文件不被改动。如果用户修改过所保护的进程和关键文件,

则将无法访问该资源。勾选[应用关键文件保护]后,点击编辑进入关键文件保护配置界面。

点击添加文件,再点击进程关联文件按钮,选中想要保护的某个应用程序(必须是exe 格式),在下面的列表中,显示出该文件所处目录和下级目录下的所有 DLL 文件,显示的信息包括:文件名、MD5 值,如下图所示:

添加文件右边的下拉框可以对列表中的文件根据类型进行过滤显示,默认是显示所有,支持对 dll、exe、pdb 类型过滤。如果需要锁定的文件不在该文件列表中,可以点击添加文件,再点击锁定文件手动添加。添加完成后即可对该进程和列表中勾选上锁定的文件进行锁定,如果用户对该进程或文件修改,则无法访问资源。

删除能够把左边被勾选上的关键文件从列表中删除。

注意:用户使用资源时,关键文件是被锁定的,不能被“强行”修改。

[应用智能递推],主要应用于 WEB 页面中包含子链接的情况,要使用该功能,必须先在『系统选项』中的『资源服务选项』中勾选[启用资源智能递推]。详细可参考 3.5.1.6 章节。

最后确定保存配置即可。

配置生效按钮把当前配置进行保存并生效。

注意:首次使用『TCP 应用』时计算机会自动安装控件,需要以 administrator 登录系统才可以安装上。若 PC 上有防火墙或杀毒软件,可能会抯挡 PC 安装插件,可先关闭防火墙或杀毒软件。