F5 Portal Access 模式 VPN 配置
背景:根据用户身份信息做本地认证,用户可访问特定的Portal页面。
Portal Access 和 Network Access区别
Portal Access允许最终用户使用网络外部的 Web 浏览器访问内部 Web 应用程序。通过Portal Access,BIG-IP APM 可与后端服务器进行通信,并重写应用程序网页中的链接,以便将客户端浏览器的进一步请求直接引导回访问策略管理器服务器。通过门户访问,客户端计算机除了 Web 浏览器之外,无需任何专门的客户端软件。
Portal Access 不同于 Network Access ,Network Access 提供从客户端到内部网络的直接访问。Network Access 不会操纵或分析客户端和内部网络之间传递的内容。Portal Access 配置既可对用户可以通过 APM 访问的应用程序进行精细控制,又可对应用程序数据进行内容检查。门户访问的另一个优点是安全性。即使工作站可能不符合完全网络访问的安全要求,此类工作站也可以通过访问策略传递给某些所需的 Web 应用程序,而不允许完全 Network Access。在 Portal Access 策略中,客户端计算机本身从不与端点应用程序直接通信。这意味着所有通信都受到非常高级别的检查,并且源自客户端计算机的任何攻击都会失败,因为攻击无法通过门户访问引擎重写的链接导航。
前提条件:BIG-IP上具有APM模块和LTM模块.
操作步骤:
1. 创建Connectivity Profile
在 Access ›› Connectivity / VPN : Connectivity : Profiles 中新建Connectivity Profile,如下图所示:
2. 创建Portal Access Rewrite Profile
在 Access ›› Connectivity / VPN : Portal Access : Rewrite 中新建Rewrite Profile 用作重写URI,起到保护uri的作用。
3. 创建 Portal Access
配置只允许访问特定站点 http://192.168.10.223 。
4.创建webtop
配置登陆后显示web信息,此处配置为Portal Access 类型。
5.创建本地认证实例
在 Access›› Authentication : Local User DB : Instances 中创建本地数据库。如下图所示:
6. 配置APM本地认证用户信息
在 Access ›› Authentication : Local User DB : Users 中创建本地认证用户信息。如下图所示:
7. 创建VPE
在 Access ›› Profiles / Policies : Access Profiles (Per-Session Policies) 中创建APM策略。如下图所示:
8. 配置VPE
策略创建好后点击 Edit 进行VPE配置,初始策略如下所示:
a.配置Logon Page,保持默认即可。
点击 + 新建 logon Page,在 Logon 中选择 Logon Page ,点击 Add Item 添加项目。如下图所示:
b.配置本地认证(LocalDB Auth)
在 Authentication 中选择 LocalDB Auth ,点击 Add Item 进行添加项目。如下图所示
选择LocalDB Instance为我们之前创建好的Local_DB Instance。
c.资源分配
选择 Assignment 下面的 Advanced Resource Assign ,点击 Add Item。
分配我们之前创建好的 Portal Access 资源和 Webtop 资源。
d.配置通过认证后规则为Allow,并点击左上角Apply Access Ploicy应用策略。
9. 创建80端口VS(可选),使其重定向到443端口VS。
10. 创建443端口vs,关联 APM profile。
11. 测试
访问 http://192.168.10.92 进行登陆测试。
进入后uri被重写,只能访问特定站点则测试成功。
