Das VPN-Portal fungiert nahtlos zwischen einem Client und einem Server, wobei der Client Remote-HTTP- und -HTTPS-Ressourcen ohne eine direkte Verbindung zum Server abrufen kann. Dazu verarbeitet das Portal die Anfragen des Client, ruft die Ressourcen vom Server ab und übergibt sie dem Client. Mit anderen Worten dient das VPN-Portal als eine Art von Proxy, genauer gesagt als ein Reverse-Proxy, d. h. ein Proxy, in dem sich der Server im Gegensatz zu einem normalen Proxy in der durch die Panda GateDefender-Appliance bedienten Zone befindet (in der Regel die DMZ), während sich der Client von einem Remote-Standort verbindet. Dadurch stammt die Verbindung aus dem ROTEN nicht vertrauenswürdigen Netzwerksegment, die ohne das VPN-Portal nicht zulässig wäre.
Obwohl dies im Prinzip sehr den Methoden der Portweiterleitung entspricht, sind die Vorteile des VPN-Portals der Panda GateDefender-Appliance vielseitig, da es sich um einen voll funktionsfähigen Webserver handelt, der den Client authentifizieren und mögliche Quell-IP-Adressen für die Verbindung unterdrücken kann. Dadurch ist die Kommunikation sicherer. Des Weiteren fügt die Funktion zur Definition mehrerer Pfade von der Remote-Verbindung zu unterschiedlichen Ressourcen auf dem Server zusätzliche Flexibilität zur möglichen Konfiguration hinzu.
Ein direkter Anwendungsfall kann von der Beschreibung abgeleitet werden und beschreibt den Remote-Zugriff eines Mitarbeiters oder Kollegen auf eine Ressource im Intranet des Unternehmens, ohne das der OpenVPN-Server eingerichtet oder aktiviert werden muss. Es muss angemerkt werden, dass auf einer Panda GateDefender-Appliance sowohl ein VPN-Server als auch ein VPN-Portal gleichzeitig vorhanden sein können.
Zur Implementierung dieses Anwendungsfalls müssen ein neuer Pfad und ein neues Ziel definiert werden. Anschließen muss der Benutzer authentifiziert werden, was lokal auf der Panda GateDefender-Appliance durchgeführt werden kann, oder indem eine Verbindung zu einer LDAP/AD-Installation im Intranet hergestellt wird.
Auf dieser Registerkarte können die Hauptoptionen des Portals konfiguriert werden, die mit dem Domänennamen und dem verwendeten Uplink in Zusammenhang stehen.
Im Bereich Erweitert können weitere Optionen konfiguriert werden.
Nach der Hauptkonfiguration des Portals können verschiedene Ressourcen eingerichtet werden, auf die innerhalb der Zonen zugegriffen werden kann. Im unteren Bereich wird eine Tabelle angezeigt, die alle bereits definierten Pfade zu lokalen Ressourcen enthält. Auf jedem Pfad können folgende Aktionen ausgeführt werden:
Neue Pfade können definiert werden, indem Sie über der Tabelle auf den Link Neuen Pfad hinzufügen klicken.
Der Pfad zu der Ressource, die vom Client angefordert wurde.
Hinweis
Es sind auch die Unterpfade relativ zum Hauptpfad enthalten.
Bewährte Methoden für eine geschachtelte Authentifizierung:
Während eine Authentifizierung sowohl für das VPN-Portal als auch für den durch das Portal erreichten Pfad vorhanden sein kann, hat es sich bewährt, nur eine Authentifizierung auf einer der beiden Seiten einzurichten. Es gibt jedoch ein kleines Problem bei einer verschachtelten Authentifizierung. Stellen Sie sich ein Szenario vor, in dem das Portal den Benutzernamen und das Kennwort paul/einkennwort erfordert und der Pfad die Kombination maria/andereskennwort erfordert. Bei der ersten Verbindung muss die Kombination paul/einkennwort in das Popup-Fenster, das die Authentifizierung erfordert, eingegeben werden, um Zugriff auf den Pfad hinter dem Portal zu erhalten. Nun erlaubt die Kombination maria/andereskennwort den Zugriff auf den Pfad. Wenn jedoch eine andere Seite im Pfad erforderlich ist, empfängt das Portal die zuletzt gespeicherten Anmeldeinformationen, welche die des Pfades sind. Diese stimmen nicht mit den erforderlichen Anmeldeinformationen für das Portal überein, wodurch ein weiteres Popup-Fenster für eine Authentifizierung angezeigt wird.
Wenn eine verschachtelte Authentifizierung eine obligatorische Anforderung ist, wird vorgeschlagen, die gleiche Kombination aus Benutzername und Kennwort sowohl für das Portal als auch den Pfad zu verwenden.