更新时间:2022-01-08
『WEB 应用』主要用于创建旧版的 WEB 类型资源。不推荐使用,但是为了兼容之前有使用旧版 WEB 应用的场景做了保留。推荐使用新版 WEB 应用。
在【资源管理】页面,点击新建按钮,如下图:
选择[旧版资源]-[WEB 应用(旧版)],弹出【编辑 WEB 应用资源】对话框,并弹出风险提示,如下图:
点击前往新版,可以跳转到新版 WEB 应用配置页面,点击我知道了,可以继续配置旧版 WEB 应用。
『名称』和『描述』可随意填写便于理解记忆的文字,在『名称』填写的文字会显示 在 SSL VPN 用户成功登录 SSL VPN 后出现的“资源列表”中。
选择『类型』,包括[HTTP]、[HTTPS]和[FileShare]。
『地址』填写资源的 IP 地址或者域名。
注意:
1、Http 资源的『地址』不能为空,必须填写相应的 IP 或域名。
2、填写“域名”形式时,必须在前面『系统设置』的『HOSTS』管理中设置“域名”或“主机名”对应的“IP 地址”。
『所属组』后面下拉框可以将该资源划入相应的“资源组”,默认属于“默认资源组”(资 源组的具体设置可参考 4.2.1 章节)。
『图标』选择,在示例图标的右边点击 可选则该资源在“资源列表”中显示的图标, 也可以手动上传新的图标。点击下拉框,弹出如下界面:
点击上传新图标按钮,再点击浏览可以把本地的图标上传至 SSL VPN 设备内部,供选择使用。(资源图标的具体设置可参考 3.5.3.3“图标管理”章节)。
如果不勾选[允许用户可见]选项,则登录 SSL VPN 后,在“资源列表”中不显示该资源的信息,但实际上该资源是可用的。
勾选[启用资源地址伪装],则用户打开资源的时候看不到该资源的真实 IP 地址。
[启用单点登录]勾上后,可以使用“单点登录”方式访问该资源(单点登录的具体设置可参考 3.5.1.5『单点登录配置』章节)。启用单点登录页面如下:
『管理员授权』可将该资源指派给其他管理员,使其他管理员对该资源拥有使用和指 派的权限。界面如下:
注意:资源指派给管理员后,这部分管理员只具备对该资源的使用权、指派给该管理员的下属管理员的权限,对该资源不具备编辑权,用这部分管理员帐号登录控制台后,只能在角色管理中给用户或者用户组关联指派的资源,无法在资源管理中看见这些资源列 表。编辑权仅属于创建该资源的管理员或其上级管理员。
『主从用户名绑定』可实现主从绑定功能,即限制用户登录 SSL VPN 后,只能够使用指定的帐号登录应用资源,使用其他帐号无法登录该应用资源,WEB 应用、TCP 应用、L3VPN 均可实现该功能。界面如下图所示:
勾选[通过数据包解析的用户名绑定认证],使用数据包解析方式实现。
首先在『数据包格式』后面的下拉框中选择该应用的类型,并根据实际情况填写下方 的数据信息。然后在『用户管理』列表页面,对目标用户帐号绑定需要登录应用系统的帐 号、密码。
注意:数据包解析方式不需要启用单点登录功能。
『URL 访问控制』用来设置允许特定用户只能访问特定的 URL 地址,如下图:
可选择[仅允许访问下列 URL]或[拒绝访问下列 URL,其它 URL 允许访问],点击新建,可添加 URL 地址。
注意:URL 访问控制支持 WEB 应用中的 HTTP、HTTPS 和 FileShare 三种应用,不支持 mail 和 ftp 类型的应用。
[站点映射],即管理员指定解析到 VPN 的接入域名或 VPN 设备的某个端口映射到内网的 Web 资源,SSL VPN 客户端接入 VPN 后使用该公网 URL 访问对应的 http 和 https 类型Web 资源,即站点映射,也称为 EasyLink 资源,界面如下:
模式中若选择为[VPN 端口],需要在下面的端口中填入相应的端口号,该端口号不能与设备中使用过的其它端口冲突。
模式中若选为[接入域名],则该域名必须是 SSL VPN 的公网域名,且要保证 SSL VPN 客户端 PC 可以解析到该域名,通过公网 DNS 解析或者在客户端 PC 上添加系统 HOST 都可以。使用[接入域名]后,SSL 用户不能再使用该地址来接入 SSL VPN。
模式中若选为[泛域名映射],需要填写申请的域名,且需要在『系统设置』→『SSL VPN选项』→『系统选项』→『资源服务选项』中先填写对应的 VPN 域名
[重写网页内容] 勾选模式为 VPN 端口以及接入域名时,可开启客户端网页修正功能。一般建议开启。
注意:
1.站点映射与地址伪装不能同时开启。
2.只有 http、https 类型的可配置 EasyLink
3.配置了站点映射的资源,在客户端访问的时候,必须通过在资源列表点击链接来访 问该资源,不能用重开 IE 手动在 IE 上输入地址访问。
[信息传递],用户访问 HTTP 应用时,系统在完成相应的身份鉴别后,把验证结果用户的基本信息插入到 HTTP 请求中传递到后台的应用系统,应用系统通过标准的 HTTP 操作即可获取信息,并基于该信息做相应的访问控制以及进行相应的业务审计,获取的信息包括:登录 svpn 的用户名,登录 svpn 的密码 手机号码,用户所属组名,证书主题,证书序列号,证书指纹信息。
编码:可选择 UTF-8 或 GB2312(S)
添加参数:
参数名称:自定义。
参数类型:可以选择性添加登录 svpn 的用户名,登录 svpn 的密码 手机号码,用户所属组名,证书主题,证书序列号,证书指纹信息。
下面介绍『WEB 应用』的使用:
用户可通过点击服务页面上的链接直接访问,也可以在上面的地址栏中输入 WEB 资源地址来访问。
『WEB 应用』的服务列表中有一项名称为“WEB 全网资源(或服务)”的资源,该资源除了可以修改名字和描述外,不可编辑和删除,可以像其他 L3VPN 一样被关联。相当于设置了『地址』是所有 http 和 https 的『HTTP』类型的『WEB 应用』。关联该资源后, 客户端登录 SSL VPN 可以看到一个地址输入框,在此直接输入 URL 访问目标『HTTP』类型资源即可。
『WEB 应用』的服务列表中有一项名称为“泛域名全网资源”的资源,该资源除了可以修改名字和描述外,不可编辑和删除,可以像其他 L3VPN 一样被关联。关联该资源后,客户端登录 SSL VPN 后可以访问泛域名的资源,但是看不到泛域名资源的链接。
注意:『WEB 应用』支持使用所有浏览器(包括非 IE 核心)访问。