开篇劝退:WEB资源的兼容性比隧道资源差,如无特殊情况,请优先将资源以隧道资源的方式发布。
WEB应用,为B/S架构,只需通过浏览器与web服务器进行交互。即在浏览器输入应用的URL即可实现对web应用的访 问。
aTrust设备能够基于http和https标准协议,配置用户所需的所有标准协议应用。能实现免客户端和插件安装,即可访问 所有web资源应用。
在aTrust设备配置web应用,可实现依赖站点访问、私有DNS解析、WEB水印、URL访问控制、接入源ip访问限制和单点 登录等功能。
1、准备工作
网络连通性:用户可正常访问控制中心和代理网关;控制中心和代理网关网络互通;代理网关与web资源服务器网 络互通。
端口开放:远程接入需将代理网关web资源访问端口一对一映射(默认443和80,可改)。
域名和证书准备: web资源需准备域名(建议申请泛域名,也可单域名。解析地址为代理网关地址),和泛域名证书或单域名证书。
2、配置步骤
步骤1. 登录设备控制台,在[业务管理/应用管理/应用列表]处<新增>以添加应用。
然后进行应用属性的配置,属性配置中几项重要内容及其说明如下:
发布模式:选择隧道应用;
名称:填写应用的名称;
代理模式:
透明代理模式:透明代理模式(默认推荐):不对网站进行内容改写,适用于较为规范化的业务系统发布。推荐配置方式为前后端访问地址保持一致。(注:透明代理模式兼容性取决于网站规范化程度。如无特别必要,请发布为隧道资源(4层代理),以避免兼容性适配过程)。
智能改写模式:智能改写模式:适用于透明代理不能正常兼容的复杂站点或老旧站点(比如说站点中有大量URL绝对路径)。(注:智能改写模式兼容性取决于网站规范化程度。如无特别必要,请发布为隧道资源(4层代理) ,以避免兼容性适配过程)。
所属应用分类:选择该WEB应用属于哪个应用分类组;
所属节点区域:选择该应用对应的代理网关节点区域,访问该web应用时通过该节点区域内的代理网关进行数据转发。
后端服务器地址:为业务服务器的真实地址,可填写域名或IP地址,填写域名时需保证代理网关能解析该域名。
前端访问地址:为用户点击访问或浏览器输入应用访问的地址,必须填写域名,域名解析需能解析到代理网关地址。同时,该处填写的端口为对外的端口,必须做一对一映射(比如前端访问地址为https://domain.sangfor.com:8443,则 需将代理网关的内网8443映射到公网8443端口)。
授信证书:建议申请泛域名证书,也可申请单域名证书。
步骤2. 配置个性设置
应用可见:可选择是否在客户端应用中心/工作台页面展示此应用。
应用打开方式: WEB应用只能用浏览器打开,可以选择在应用中心/工作台页面点击访问此应用时默认调用的浏览器类型。
应用图标:可从图标库选择对应的图标,也可自定义本地上传图标。
步骤3. 保存配置后,将该应用授权给用户,用户登录aTrust后即可正常访问该WEB应用。
依赖站点
依赖站点适用于实现门户网站的主站点与子站点间的依赖关系配置场景。依赖站点必须依靠泛域名来实现,若应用主站点 为https需使用泛域名证书,具体配置如下。
私有DNS解析
私有DNS解析用于解决两大场景,使用私有DNS解析需安装客户端。
1、灰度发布:作为业务系统管理员,在零信任产品新上线时,需要在SDPC发布web应用。但直接发布,公司所有员工访 问应用都改为通过proxy代理访问,影响范围比较大。所以希望能灰度发布,前期只在部分用户测试proxy代理访问,再 逐渐开放到所有用户。
2、内网无DNS场景:作为业务系统管理员,在零信任产品新上线时,需要在SDPC发布web应用。要将内外网访问web的 流量引流到Proxy,但内网没有DNS服务器的情况下,内网无法做引流,只能通过隧道模式发布web应用。希望能有一种 方式,解决内网DNS解析的问题。
具体配置如下。
用户本地解析WEB应用前端访问地址域名,将解析到代理网关的地址,解析服务器为198.18.0.1。
未授权用户告警页面设置:
配置后没有权限的用户访问该应用将要求进行权限申请,可定义权限申请的相关人员和访问理由项。点击保存即可完成web应用的基本功能配置。
配置web应用时,可配置相关安全访问设置,包括web水印,访问控制策略和接入IP限制。其中web水印开启后,用户访 问该应用将在应用页面打上用户信息和时间等信息。访问控制策略可限制用户访问应用的具体路径,提高安全性。接入IP 限制可设定限制源地址的访问,只允许设定的网络地址或网络地址段进行访问该应用。
具体配置如下:
建议使用Chrome浏览器访问!
