首页帮助文档软件下载故障处理按场景找工具工具全景图兼容性查询在线实验平台服务信息查询产品安全中心订单验收材料下载

SSL VPN

深信服SSL VPN集SSL/IPSec于一身,帮助企业构建端到端的安全防护体系,业内拥有多项加密技术,多种认证方式、主从绑定等特色功能,保证远程系统接入的用户身份安全、终端/数据安全、传输安全、应用权限安全和审计安全,具有快速、易用、全面等优势特点,并且连续多年市场占有率第一,一直走在技术前沿,提供优质服务,用户认可度极高。
点击可切换产品版本
知道了
不再提醒
SSL7.6.9R1
SSL VPN 文档 产品手册 SSL VPN 设置 资源管理 WEB 应用(旧版)
{{sendMatomoQuery("SSL VPN","WEB 应用(旧版)")}}

WEB 应用(旧版)

更新时间:2022-01-08

『WEB 应用』主要用于创建旧版的 WEB 类型资源。不推荐使用,但是为了兼容之前有使用旧版 WEB 应用的场景做了保留。推荐使用新版 WEB 应用。

在【资源管理】页面,点击新建按钮,如下图:

选择[旧版资源]-[WEB 应用(旧版)],弹出【编辑 WEB 应用资源】对话框,并弹出风险提示,如下图:

点击前往新版,可以跳转到新版 WEB 应用配置页面,点击我知道了,可以继续配置旧版 WEB 应用。

『名称』和『描述』可随意填写便于理解记忆的文字,在『名称』填写的文字会显示 在 SSL VPN 用户成功登录 SSL VPN 后出现的“资源列表”中。

选择『类型』,包括[HTTP]、[HTTPS]和[FileShare]。

『地址』填写资源的 IP 地址或者域名。

注意:
1、Http 资源的『地址』不能为空,必须填写相应的 IP 或域名。
2、填写“域名”形式时,必须在前面『系统设置』的『HOSTS』管理中设置“域名”或“主机名”对应的“IP 地址”。

『所属组』后面下拉框可以将该资源划入相应的“资源组”,默认属于“默认资源组”(资 源组的具体设置可参考 4.2.1 章节)。

『图标』选择,在示例图标的右边点击 可选则该资源在“资源列表”中显示的图标, 也可以手动上传新的图标。点击下拉框,弹出如下界面:

点击上传新图标按钮,再点击浏览可以把本地的图标上传至 SSL VPN 设备内部,供选择使用。(资源图标的具体设置可参考 3.5.3.3“图标管理”章节)。

如果不勾选[允许用户可见]选项,则登录 SSL VPN 后,在“资源列表”中不显示该资源的信息,但实际上该资源是可用的。

勾选[启用资源地址伪装],则用户打开资源的时候看不到该资源的真实 IP 地址。

[启用单点登录]勾上后,可以使用“单点登录”方式访问该资源(单点登录的具体设置可参考 3.5.1.5『单点登录配置』章节)。启用单点登录页面如下:

『管理员授权』可将该资源指派给其他管理员,使其他管理员对该资源拥有使用和指 派的权限。界面如下:

注意:资源指派给管理员后,这部分管理员只具备对该资源的使用权、指派给该管理员的下属管理员的权限,对该资源不具备编辑权,用这部分管理员帐号登录控制台后,只能在角色管理中给用户或者用户组关联指派的资源,无法在资源管理中看见这些资源列 表。编辑权仅属于创建该资源的管理员或其上级管理员。

『主从用户名绑定』可实现主从绑定功能,即限制用户登录 SSL VPN 后,只能够使用指定的帐号登录应用资源,使用其他帐号无法登录该应用资源,WEB 应用、TCP 应用、L3VPN 均可实现该功能。界面如下图所示:

勾选[通过数据包解析的用户名绑定认证],使用数据包解析方式实现。

首先在『数据包格式』后面的下拉框中选择该应用的类型,并根据实际情况填写下方 的数据信息。然后在『用户管理』列表页面,对目标用户帐号绑定需要登录应用系统的帐 号、密码。

注意:数据包解析方式不需要启用单点登录功能。

『URL 访问控制』用来设置允许特定用户只能访问特定的 URL 地址,如下图:

可选择[仅允许访问下列 URL]或[拒绝访问下列 URL,其它 URL 允许访问],点击新建,可添加 URL 地址。

注意:URL 访问控制支持 WEB 应用中的 HTTP、HTTPS 和 FileShare 三种应用,不支持 mail 和 ftp 类型的应用。

[站点映射],即管理员指定解析到 VPN 的接入域名或 VPN 设备的某个端口映射到内网的 Web 资源,SSL VPN 客户端接入 VPN 后使用该公网 URL 访问对应的 http 和 https 类型Web 资源,即站点映射,也称为 EasyLink 资源,界面如下:

模式中若选择为[VPN 端口],需要在下面的端口中填入相应的端口号,该端口号不能与设备中使用过的其它端口冲突。

模式中若选为[接入域名],则该域名必须是 SSL VPN 的公网域名,且要保证 SSL VPN 客户端 PC 可以解析到该域名,通过公网 DNS 解析或者在客户端 PC 上添加系统 HOST 都可以。使用[接入域名]后,SSL 用户不能再使用该地址来接入 SSL VPN。

模式中若选为[泛域名映射],需要填写申请的域名,且需要在『系统设置』→『SSL VPN选项』→『系统选项』→『资源服务选项』中先填写对应的 VPN 域名

[重写网页内容] 勾选模式为 VPN 端口以及接入域名时,可开启客户端网页修正功能。一般建议开启。

注意:
1.站点映射与地址伪装不能同时开启。
2.只有 http、https 类型的可配置 EasyLink
3.配置了站点映射的资源,在客户端访问的时候,必须通过在资源列表点击链接来访 问该资源,不能用重开 IE 手动在 IE 上输入地址访问。

[信息传递],用户访问 HTTP 应用时,系统在完成相应的身份鉴别后,把验证结果用户的基本信息插入到 HTTP 请求中传递到后台的应用系统,应用系统通过标准的 HTTP 操作即可获取信息,并基于该信息做相应的访问控制以及进行相应的业务审计,获取的信息包括:登录 svpn 的用户名,登录 svpn 的密码 手机号码,用户所属组名,证书主题,证书序列号,证书指纹信息。

编码:可选择 UTF-8 或 GB2312(S)

添加参数:

参数名称:自定义。

参数类型:可以选择性添加登录 svpn 的用户名,登录 svpn 的密码 手机号码,用户所属组名,证书主题,证书序列号,证书指纹信息。

下面介绍『WEB 应用』的使用:

用户可通过点击服务页面上的链接直接访问,也可以在上面的地址栏中输入 WEB 资源地址来访问。

『WEB 应用』的服务列表中有一项名称为“WEB 全网资源(或服务)”的资源,该资源除了可以修改名字和描述外,不可编辑和删除,可以像其他 L3VPN 一样被关联。相当于设置了『地址』是所有 http 和 https 的『HTTP』类型的『WEB 应用』。关联该资源后, 客户端登录 SSL VPN 可以看到一个地址输入框,在此直接输入 URL 访问目标『HTTP』类型资源即可。

『WEB 应用』的服务列表中有一项名称为“泛域名全网资源”的资源,该资源除了可以修改名字和描述外,不可编辑和删除,可以像其他 L3VPN 一样被关联。关联该资源后,客户端登录 SSL VPN 后可以访问泛域名的资源,但是看不到泛域名资源的链接。

注意:『WEB 应用』支持使用所有浏览器(包括非 IE 核心)访问。