SANGFOR_aDesk_V5.0_限制特定用户才能从外网访问云桌面配置指导.pdf

第1章 应用场景

客户云桌面主要在内网环境使用，但偶尔有员工出差需要在外网接入云桌面。出于安全考虑现只允许出差员工可以通过公网访问云桌面，其余人员只能在内网访问。

必要条件说明：

边界路由设备上给VDC做端口映射

第2章  配置思路及技术介绍

通过虚拟门户实现需求。

2.1   虚拟门户介绍

虚拟门户功能主要价值在于：

1．安全隔离：实现登录用户的完全隔离访问。在终端登录用户使用中，他们将完全接触不到不同 权限的其他用户，每一组单独使用不同的系统地址，不同的登录页面，不同的认证方式，访问 不同的资源页面，从而实现完全的隔离访问

2．统一管理：对于拥有不同的分支结构或者不同部门之间的登陆，虚拟门户能在一台设备上虚拟 多个登录平台，提供给不用的用户组织使用，能实现多台设备分别登录的效果，实现更好的统 一管理。 虚拟门户功能，将允许客户能把一台VDC设备，虚拟成多台来提供不同的部门和分属子公司进行访问。

可以通过IP或端口来区分不同的虚拟门户。

2.2   配置思路

1.  配置不同虚拟门户使用的IP地址、HTTPS服务端口；

2.  在登录策略中开启虚拟门户功能；

3.  配置不同IP或端口的访问地址、关联的用户/用户组、使用界面模板；

4.  访问不同的虚拟门户页面，进行登录测试；

第3章 详细配置步骤

规划端口映射及IP地址，现假设客户VDC设备地址是10.4.2.253，客户边界路由器公网地址是8.8.8.8.现财务部出差到公网时使用https://8.8.8.8:444访问云桌面。

现介绍通过端口区分虚拟门户的配置方法

1、边界路由器映射VDC设备444端口到444；

2、【系统设置】--【接入选项】--【VDI Client】--用户访问入口【设置端口】添加其他HTTPS服务端口，如下图：

3、开启虚拟门户功能【系统设置】--【登录策略】选择【虚拟门户】并点击保存，如下图

4、配置虚拟门户登录策略【系统设置】--【SSL VPN选项】--【登录策略】--【虚拟门户】点击【设置】，进入虚拟门户设置页面，配置不同IP或端口的访问地址、关联的用户/用户组、使用界面模板，如下图：

至此VDC设备的配置结束，开始测试。

5、测试

使用同地址zhangsan成功登录，其他组用户登录报错如下

第4章  注意事项

1.      启用虚拟门户后，VDC多线路选路功能将不可用，相关配置菜单将不可见；

2.      集群部署时只能采用一个CIP对外访问，可以采用不同HTTPS端口区分实现虚拟门户；

3.      若外网线路为ADSL线路需要使用虚拟门户功能，webagent尚不支持多端口寻址，此情况下在设备上设置多https端口，然后申请其他动态域名服务，如花生壳，用花生壳域名+端口区分不同的虚拟门户；

4.   虚拟门户功能不支持EC登录，只支持浏览器方式登录。