第 1 章 Portal Server Secure Remote Access 服务器简介
本章介绍 Sun JavaTM System Portal Server Secure Remote Access 以及 Sun Java System Portal Server 和 Sun Java System Portal Server Secure Remote Access 组件之间的关系。
本章包括以下主题:
Secure Remote Access 简介
Secure Remote Access 可让远程用户在 Internet 上安全地访问其组织的网络和服务。此外,还可为贵组织提供安全的 Internet 门户,从而使所有目标用户( 例如员工、业务合作伙伴以及普通公众)都能够访问其内容、应用程序和数据。
Secure Remote Access 软件可提供基于浏览器的安全远程访问,以从任意远程设备访问门户内容和服务。Secure Remote Access 是一种安全访问解决方案,用户无需客户机软件就可从任意装有启用了 Java™ 技术的浏览器的设备对其进行访问。与 Portal Server 的集成可确保用户对具有访问许可权的内容和服务进行安全加密式的访问。
Secure Remote Access 软件适用于部署高安全远程访问门户的企业。这些门户注重的是内联网资源的安全性、保护性以及保密性。Secure Remote Access 的体系结构正适合这些类型的门户。借助 Secure Remote Access 软件,用户可以通过 Internet 安全地访问内联网资源,而不会使这些资源公诸于 Internet。
Portal Server 能够以两种模式运行,即以下各节中所述的“开放模式”和“安全模式”。
开放模式
在开放模式下,安装 Portal Server 时不会安装 Secure Remote Access。尽管在此模式下 HTTPS 通信仍可进行,但无法实现安全远程访问。因此,用户不能访问安全的远程文件系统和应用程序。
开放门户和安全门户的主要区别在于,由开放门户提供的服务通常驻留在隔离区 (DMZ) 内,而不是驻留在安全的内联网中。DMZ 是公共 Internet 和私有内联网之间的一个小型受保护网络,通常在其两端以防火墙来划界。
如果门户不包含关于部署公共信息和允许访问免费应用程序的含敏感信息,则对大量用户所发出的访问请求的响应速度比使用安全模式更快。
在开放模式下,Portal Server 安装在防火墙后的单台服务器上。多台客户机穿过单台防火墙在 Internet 上访问 Portal Server。
图 1–1 开放模式下的 Portal Server(带有 Secure Remote Access)
安全模式
安全模式可使用户对所需的内联网文件系统和应用程序进行安全远程访问。
网关位于隔离区 (DMZ) 内。网关对所有内联网 URL 和应用程序提供了单个安全访问点,从而减少了防火墙中要打开的端口数。其他所有 Portal Server 服务(如“会话”、“验证”和标准“Portal 桌面”)均驻留在安全内联网中 DMZ 的后面。从客户机浏览器到网关的通信采用安全套接字层 (Secure Sockets Layer, SSL) 基础之上的 HTTP 进行加密。从网关到服务器和内联网资源的通信既可以是 HTTP,也可以是 HTTPS。
在安全模式下,SSL 用于加密客户机和网关之间的 Internet 连接。SSL 也可用于对网关与服务器之间的连接进行加密。存在于内联网与 Internet 之间的网关使客户机与 Portal Server 之间的安全路径得以延伸。
图 1–2 安全模式下的 Portal Server(带有 Secure Remote Access)
可另行添加服务器和网关来扩充站点。Secure Remote Access 软件可根据业务要求以各种方式进行配置。有关如何适应业务要求的详细信息,参见《Sun Java System Portal Server 7.2 Deployment Planning Guide》。
Secure Remote Access 服务
Secure Remote Access 软件有五个主要组件:
-
网关
SRA 网关在源自 Internet 的远程用户会话与公司内联网之间提供了接口和安全屏障。网关可通过单一接口将来自内部 Web 服务器和应用程序服务器的内容安全地呈现给远程用户。
Web 服务器使用基于 Web 的资源(例如 HTML、JavaScript 和 XML)在客户机与网关之间进行通信。重写器是一个网关组件,用于使 Web 内容变为可用。
应用服务器使用二进制协议(如 telnet 和 FTP)在客户机与网关之间进行通信。驻留在网关上的 Netlet 便用于该用途。有关详细信息,参见第 2 章,使用网关。
-
重写器
重写器使最终用户可以浏览内联网,并使这些页面上的链接和其他 URL 引用正确发挥作用。重写器预先考虑 Web 浏览器位置字段中的网关 URL,进而通过网关重定向内容请求。有关详细信息,参见第 4 章,使用重写器。
-
Netfile
NetFile 是一个文件管理器应用程序,能够远程访问和操作文件系统和目录。NetFile 包括一个基于 Java 的用户界面。有关详细信息,参见第 5 章,使用 NetFile。
-
Netlet
Netlet 有助于安全地在远程桌面上运行常用的或公司特定的应用程序。在您的站点实现 Netlet 后,用户可安全地运行公共 TCP/IP 服务(如 Telnet 和 SMTP)及基于 HTTP 的应用程序(如 pcANYWHERE 或 Lotus Notes)。有关详细信息,参见第 6 章,使用 Netlet。
-
Proxylet
Proxylet 是一个在客户机上运行的动态代理服务器。Proxylet 通过读取和修改客户机上浏览器的代理设置使其指向本地代理服务器或 Proxylet,从而使 URL 重定向到网关。
配置 Secure Remote Access 属性
可在 Portal Server 管理控制台中使用以下服务配置 Secure Remote Access 属性:
-
访问控制
此服务使您能够允许或限制对特定 URL 的访问,并能对单点登录功能进行管理。有关详细信息,参见第 7 章,配置 Secure Remote Access 服务器访问控制。
-
网关
配置文件(网关实例)。此服务使您能够配置所有与网关相关的属性,如启用组件、cookie 管理、代理管理、安全性设置、性能调试、重写器映射管理。有关详细信息,参见第 8 章,配置 Secure Remote Access 网关。
-
NetFile
此服务使您能够配置所有与 NetFile 相关的属性,如公共主机、MIME 类型,以及对不同类型主机的访问。有关详细信息,参见第 14 章,配置 NetFile。
-
Netlet
此服务使您能够配置所有与 Netlet 相关的属性,如 Netlet 规则、对所需规则的访问、组织和主机,以及默认算法。有关详细信息,参见第 11 章,配置 Netlet。
-
重写器
此服务使您能够下载、上载以及删除所有重写器规则集。
-
Proxylet
此服务使您能够配置与 Proxylet 相关的属性,如“Proxylet Applet 绑定 IP”地址及端口号。有关详细信息,参见第 13 章,配置 Proxylet。
注意 – 网关不会收到有关在其运行期间对属性所作更改的通知。重新启动网关以使更新的配置文件属性(属于网关或任何其他服务)生效。有关详细信息,参见使用命令行选项配置网关属性。
设置冲突解决方案
设置冲突解决方案级别
-
登录 Portal Server 管理控制台。
-
选择“Secure Remote Access”选项卡,然后单击所需的服务选项卡:Netlet、Netfile 或 Proxylet。
-
从“选择 DN”下拉式菜单中选择“组织”或“角色”。
-
从“COS 优先级”下拉列表框中选择所需的“冲突解决级别”。
-
单击“保存”以完成修改。
支持的应用程序
SRA 支持以下应用程序:
开始之前
为门户启用 SRA
- © 2010, Oracle Corporation and/or its affiliates