更新时间:2024-01-09
隧道应用,是基于终端C/S架构应用接入安全制定的一种访问内网资源的方式。
发布隧道应用需要在PC上安装客户端,通过客户端访问内网的B/S应用或C/S应用。
基础配置
表32隧道应用操作说明表(应用属性与个性设置)
操作
|
说明
|
发布模式
|
选择创建的资源类型是隧道资源还是web资源,此处应选隧道资源。
|
名称
|
设置应用名称,例如:财务系统。
|
描述
|
给创建的应用添加描述,非必填项。
|
所属应用分类
|
选择应用所在的分类,在创建应用前,选择左边的应用分类,点击<添加>按钮创建应用会自动填写所属应用分类,也可以在创建应用的同时对其做修改。
|
所属节点区域
|
选择代理网关的节点。
|
协议
|
- TCP/UDP协议:此类型为常规的IP或域名资源,支持BS和CS架构;
- HTTP/HTTPS协议:此类型仅支持BS架构资源,通过此类型发布的HTTP/HTTPS资源支持URL级别的日志审计。
|
服务器地址
|
设置需要代理的内网业务地址地址,支持单个IP、IP范围、IP段及域名,域名支持通配符,例如:*.domain.com、192.168.1.1、192.168.1.1-192.168.1.10;192.168.1.0/24。目前已支持TCP、UDP和ICMP协议。
|
端口
|
支持端口号或端口范围,例如:单个端口号,35、端口范围,1-65535、多个端口,35,40-50,80
|
操作
|
点击<+>可以设置多个服务器地址及端口
|
排除部分服务器地址
|
若需限制以上所填服务器地址中的部分IP地址发布,可在此项填写需要排除的IP地址(暂不支持排除域名)。
|
应用访问入口
|
若是B/S类应用,配置应用访问入口后,可在应用中心点击直接访问,不配置则无法点击;
配置地址建议填写和服务器地址对应的URL,否则可能导致应用中心访问时出错。
|
工作台打开方式
|
针对B/S类应用,配置好应用访问入口后可以在此处配置打开方式,通过工作台点击访问此应用时会拉起配置好的浏览器进行访问。仅对Windows系统下已安装客户端的终端生效。
|
图标
|
设置隧道资源的图标,用于区分。
|
这里我们将举例说明如何配置一个TCP22端口的隧道资源。
步骤1.登录设备控制台[业务管理/应用管理/应用列表]处点击
步骤2.配置名称,应用分类、所属节点区域、服务器地址等信息。
步骤3. 配置个性设置,由于此案例是C/S架构应用,无需配置访问入口和应用打开方式,保存应用完将应用关联给测试用户即可完成应用配置。
效果验证:
步骤1.登录拥有该资源访问权限的用户,在其应用中心可以看到该资源。
步骤2.使用ssh工具(如mobaxterm,xshell等)可以成功连接该资源。
高级设置
1、隧道应用特性
隧道转Web:勾选将标准隧道改为HTTP/HTTPS隧道之后,相比标准隧道,HTTP/HTTPS隧道资源支持Web水印、审计到URL、单点登录-密码代填等能力,但仅对TCP协议的B/S应用生效。
如果是https类型的应用,需要导入匹配应用地址的SSL证书。
2、隧道长连接
勾选后支持反连场景,如:sip语音、单点通讯、ALG反连、FTP主动模式和PC端互访等。
影响:开启隧道场景情况下,配置应用防护策略后,访问不符合策略时会直接阻断,不支持提示语显示和灰度处置。
3、未授权用户告警页面设置
配置未授权用户告警页面设置,用户登录后访问该应用若未授权没有访问权限,可对其进行提示,并提供给申请访问权限窗口交由管理员审核。
安全设置
可配置隧道应用的访问控制策略,限制源地址的访问,只允许设定的网络地址或网络地址段进行访问该应用。