SSL VPN

深信服SSL VPN集SSL/IPSec于一身,帮助企业构建端到端的安全防护体系,业内拥有多项加密技术,多种认证方式、主从绑定等特色功能,保证远程系统接入的用户身份安全、终端/数据安全、传输安全、应用权限安全和审计安全,具有快速、易用、全面等优势特点,并且连续多年市场占有率第一,一直走在技术前沿,提供优质服务,用户认可度极高。
点击可切换产品版本
知道了
不再提醒
SSL7.1
{{sendMatomoQuery("SSL VPN","EasyLink 配置案例")}}

EasyLink 配置案例

更新时间:2022-01-10

案例背景

Web 资源使用 URL 地址,通过超链接把各资源联系在一起。出于部署的方便,开发会大量使用相对、绝对路径,而不依赖主机地址中的域名、IP、端口。SANGFOR 提出一种通用 Web 之外的单资源代理 Web 服务,称为 EasyLink,通过将接入域名指向 SSL 设备, 或是在 SSL 设备上新开端口映射到 Web 应用。特别适合于解决企业 OA 等逻辑复杂、大量使用 Applet 、ActiveX 控件的资源。

需求拓扑

某客户网络拓扑如下图所示,客户网关模式部署了 SSL 设备,客户内部有一业务系统提供给公司成员访问,客户的业务系统是用 JSP 所写的系统,系统交互复杂,并且大量使用了 ActiveX 控件。

解决方案

客户的业务系统是用 JSP 所写的系统,系统交互复杂,并且大量使用了ActiveX 控件,除了使用普通的 WEB 应用外,还需要启用 Easylink,即站点映射。

配置步骤

第一步:进入『SSLVPN 设置』→『资源管理』页面,新建一个 WEB 应用。点击新建按钮,选择『WEB 应用』在弹出的『编辑 WEB 应用资源』页面中进行如下图设置:

第二步:在 WEB 资源的下方,启用站点映射,选择“VPN 端口”模式,将 SSL 的 8080 端口映射给业务系统。建议在这里启用[重写网页内容],启用后,会加入对 JS 脚本的修正和重写,可以弥补对一些包含大量 JS 脚本的交互式页面修正不足的情况。界面如下图所示:

第三步:进入『SSLVPN 设置』→『角色授权』页面,新建角色,将用户 sangfor 与这个资源关联起来。有关用户、角色的配置此处不再赘述。

第四步:配置完成后,使用 sangfor 账号登录 SSL,效果如下图所示:

此时,点击资源进行访问,可以看到该 OA 系统的 URL 为 https://202.96.137.75:8080,该OA 系统能够正常访问且无法看到其真实的 IP 地址。

补充:

若用户在 ISP 处申请了域名 www.xxoa.com 指向 SSL 设备,同样可以将 SSL 的接入域名映射给内网的 WEB 应用。在配置时选择[接入域名]模式,填写 SSL 的接入域名,即可将 SSL 的接入域名映射给内网的 WEB 应用。

注意:
1、资源地址伪装与站点映射(即 Easylink)无法同时启用,两者只能任选其一。
2、使用 SSL 的端口映射到 WEB 应用时,该端口不能被其他应用占用。
3、使用 SSL 的接入域名映射到 WEB 应用后,客户端不能使用该域名接入 SSL,但可以通过 SSL 设备的 IP 地址或者是没有做域名映射的域名接入 SSL。SSL 的一个接入域名只能对应内网的一个 WEB 应用。
4、端口映射方式的 EasyLink 资源可以通过手动打开 IE 的方式进行访问,但是域名映射方式的 EasyLink 资源不能通过手动打开 IE 的方式进行访问。
5、SSL 单臂模式部署时,启用了端口映射后,如某个 WEB 应用映射了 SSL 的 8080 端口,前置防火墙除了映射默认的 TCP443 端口外,还需要映射 8080 端口以及放通 8080 端口的访问。