【SSL VPN】【应用设置】代理应用配置

李昕瑞发表于:2021年04月12日 17:36:28

1    简介

         本文档介绍SSL VPN设备添加代理类型应用提供服务的配置方法。代理连接模式,基于连接工作。这种工作模式只支持TCP连接,每个SSLVPN客户端与服务器间的 SSL连接对应一个 TCP 连接,并且这个SSL连接与 TCP 连接生命周期保持一致。

2    配置前提

         本文档适用于SSL VPN设备,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。

         本文档中的配置均是在实验室环境下进行的配置和验证,配置前,设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

         本文档假设您已了解代理类型应用的基本特性。代理类型应用仅适用客户端系统类型为Windows xp、 7、8、8.1、10, Android(4.4.以上) , ios(ios9 以上)。Mac、 Linux 系统不支持代理业务,登录VPN客户端后,应用列表中无代理类型应用显示。

3    配置举例

3.1    组网需求

         如下图所示,SSL VPN设备旁挂在用户内网的核心交换机上,VPN内网IP地址为192.168.25.2,应用服务器为192.168.22.3。用户PC通过互联网登录SSL VPN后能访问内网的web服务器192.168.22.3。

blob.png

3.2    配置思路

1)   进行基础网络配置,保证VPN与应用服务器之间的连通性。

2)   新建用户。

3)   新建代理应用配置。

4)   通过服务控制策略绑定用户组及代理应用。

5)   在防火墙映射VPN的443端口,使用户可通过公网访问VPN。

3.3    使用版本

         本举例是在6.2.150.xxx版本上进行配置和验证的。

3.4    配置步骤

1)   配置SSL VPN的接口IP地址以及默认路由,以保证VPN和业务服务器可以正常通讯。请点击【系统设置】-【网络配置】-【网络接口】打开编辑网络接口界面,配置对应的接口IP地址。

blob.png

请点击【系统设置】-【网络配置】-【网络路由】添加默认路由。

blob.png

2)   用户配置

请点击【SSL-VPN】-【用户管理】-【用户和组】,在此页面中点击【添加】,添加本地测试用户test。

blob.png

3)   配置代理类型应用。请点击【SSL-VPN】-【应用设置】-【应用和组】在界面中点击【添加】,并在弹出的提示框中选择【Proxy】。

blob.png

在弹出的添加应用界面,配置代理应用的参数,包括:应用服务器地址,应用类型,以及协议等。代理类型应用仅支持TCP协议。配置完成后点击【保存】。

blob.png

4)   关联应用和用户。将用户与该用户可访问的应用进行关联,使用户有访问应用权限。

请点击【SSL-VPN】-【策略设置】-【服务控制策略】在该页面中点击【添加】在编辑服务控制策略界面,选择应用“业务”以及test对应的用户组“默认组”。

blob.png

5)   在出口防火墙中进行映射,将出口的10.44.145.222的2102端口映射到vpn的接口192.168.25.2的443端口。

 

4    验证配置

1) 登录VPN,查看业务列表中包含名称为“业务”的代理类型应用。

blob.pngblob.png

2) 在浏览器中访问代理应用“业务”,输入http://192.168.22.3可以正常访问。

blob.png

5    注意事项

1) 代理类型应用仅支持TCP协议。