Web 资源使用 URL 地址,通过超链接把各资源联系在一起。出于部署的方便,开发会大量使用相对、绝对路径,而不依赖主机地址中的域名、IP、端口。SANGFOR 提出一种通用 Web 之外的单资源代理 Web 服务,称为 EasyLink,通过将接入域名指向 SSL 设备, 或是在 SSL 设备上新开端口映射到 Web 应用。特别适合于解决企业 OA 等逻辑复杂、大量使用 Applet 、ActiveX 控件的资源。
某客户网络拓扑如下图所示,客户网关模式部署了 SSL 设备,客户内部有一业务系统提供给公司成员访问,客户的业务系统是用 JSP 所写的系统,系统交互复杂,并且大量使用了 ActiveX 控件。
客户的业务系统是用 JSP 所写的系统,系统交互复杂,并且大量使用了ActiveX 控件,除了使用普通的 WEB 应用外,还需要启用 Easylink,即站点映射。
第一步:进入『SSLVPN 设置』→『资源管理』页面,新建一个 WEB 应用。点击新建按钮,选择『WEB 应用』,在弹出的『编辑 WEB 应用资源』页面中进行如下图设置:
第二步:在 WEB 资源的下方,启用站点映射,选择“VPN 端口”模式,将 SSL 的 8080 端口映射给业务系统。建议在这里启用[重写网页内容],启用后,会加入对 JS 脚本的修正和重写,可以弥补对一些包含大量 JS 脚本的交互式页面修正不足的情况。界面如下图所示:
第三步:进入『SSLVPN 设置』→『角色授权』页面,新建角色,将用户 sangfor 与这个资源关联起来。有关用户、角色的配置此处不再赘述。
第四步:配置完成后,使用 sangfor 账号登录 SSL,效果如下图所示:
此时,点击资源进行访问,可以看到该 OA 系统的 URL 为 https://202.96.137.75:8080,该OA 系统能够正常访问且无法看到其真实的 IP 地址。
补充:
若用户在 ISP 处申请了域名 www.xxoa.com 指向 SSL 设备,同样可以将 SSL 的接入域名映射给内网的 WEB 应用。在配置时选择[接入域名]模式,填写 SSL 的接入域名,即可将 SSL 的接入域名映射给内网的 WEB 应用。
注意:
1、资源地址伪装与站点映射(即 Easylink)无法同时启用,两者只能任选其一。
2、使用 SSL 的端口映射到 WEB 应用时,该端口不能被其他应用占用。
3、使用 SSL 的接入域名映射到 WEB 应用后,客户端不能使用该域名接入 SSL,但可以通过 SSL 设备的 IP 地址或者是没有做域名映射的域名接入 SSL。SSL 的一个接入域名只能对应内网的一个 WEB 应用。
4、端口映射方式的 EasyLink 资源可以通过手动打开 IE 的方式进行访问,但是域名映射方式的 EasyLink 资源不能通过手动打开 IE 的方式进行访问。
5、SSL 单臂模式部署时,启用了端口映射后,如某个 WEB 应用映射了 SSL 的 8080 端口,前置防火墙除了映射默认的 TCP443 端口外,还需要映射 8080 端口以及放通 8080 端口的访问。
建议使用Chrome浏览器访问!
