日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 辦公安全平臺 快速入門 管理員首次配置內網訪問指南

管理員首次配置內網訪問指南

更新時間:
產品詳情
我的收藏

本文介紹內網訪問功能的業務原理及使用邏輯,幫助企業管理員在開通辦公安全平臺SASE(Secure Access Service Edge)產品后,快速上手內網訪問功能。

內網訪問安全簡介

內網訪問是基于軟件定義邊界SDP(Software Defined Perimeter)技術,打造SaaS化零信任網絡訪問功能,在不需暴露公網地址和改造企業原有網絡架構的情況下,通過SASE內網訪問解決方案實現企業員工通過內網訪問云上業務資源,并對企業員工的訪問權限進行管控。

image

操作步驟

步驟一:配置身份源和用戶組

身份源主要是為企業員工提供身份認證功能,SASE支持第三方和自建的身份認證系統。目前支持LDAP、釘釘、企業微信、飛書、IDaaS、自定義身份源。如果您的業務涉及多種身份源,可以一次性配置多種身份源信息(即多身份源),以便于您以不同的身份源使用SASE服務。

本文為了快速驗證功能,以自定義身份源為例為您介紹。

  1. 登錄辦公安全平臺控制臺。在左側導航欄,選擇身份認證管理 > 身份接入。

  2. 在身份接入頁面,單擊身份源管理頁簽,定位到自定義身份源,單擊操作列的編輯,按照如下信息配置自定義身份源。

    配置項

    說明

    示例值

    電腦設備登錄方式

    支持賬號密碼登錄無密碼登錄。

    • 使用賬號密碼登錄方式時,您可以開啟雙因素認證,取值:

      • OTP認證:開啟OTP認證后,您還要選擇OTP令牌模式,目前支持如下三種模式:

        • 允許SASE移動端展示令牌:即SASE自帶OTP,需要員工安裝SASE移動端App。

        • 允許第三方App令牌:需確保OTP客戶端時鐘同步正常,目前支持標準及常見的OTP認證軟件,例如阿里云App等。

        • 允許企業自有令牌:若需兼容企業自研OTP,請在技術人員支持下進行配置。

      • 驗證碼認證:開啟驗證碼認證后,您還需要選擇認證方式,目前支持如下兩種方式:

        • 短信驗證:需確保配置的身份源中每個用戶都已錄入手機號。

        • 郵箱驗證:需確保配置的身份源中每個用戶都已錄入郵箱。

    • 使用無密碼登錄方式時,需要先下載并登錄SASE移動端App,然后進行掃碼認證。

    賬號密碼登錄

    移動設備登錄方式

    支持賬號密碼登錄指紋或人臉識別認證

    使用指紋或人臉識別認證方式時,首次登錄SASE App時仍需要輸入賬號名與密碼。

    賬號密碼登錄

    image

  3. 用戶組管理頁簽,單擊添加用戶組,添加用戶后單擊確定。

    用戶信息包含用戶名、部門、郵箱、手機號等。

    image

步驟二:配置內網業務應用資源

企業辦公應用是為企業員工辦公所使用的內部應用、服務器或數據庫等IT資源,無需企業員工配置公網地址。企業員工需使用安裝了SASE App的辦公設備,并通過身份與安全策略校驗,便可以訪問對應的局域網應用或資源。

  1. 在左側導航欄,選擇內網訪問 > 應用管理。

  2. 辦公應用頁面的自定義標簽區域,單擊添加,設置標簽名稱,然后單擊確定

    自定義標簽最多支持100個。

  3. 單擊添加應用,根據如下步驟配置應用。

    如果您的業務存在用于解析企業內網網段的DNS服務器,您可以單擊內網DNS配置,在DNS地址對話框手動填寫默認DNS服務自定義DNS服務。默認DNS組(1個DNS組最多可以添加2個DNS服務器IP)會作為企業主DNS下發到SASE安全客戶端,企業員工可在客戶端上自行切換DNS組以便滿足辦公時特殊的訪問需求。

    如果您不配置DNS服務,SASE會默認為您配置阿里云DNS服務器用于企業內網網段的DNS解析。如果業務配置了云解析PrivateZone時,優先使用PrivateZone進行IP或者域名解析。

    1. 手動配置頁簽,根據如下表格說明設置基礎配置參數。

      配置項

      說明

      示例值

      應用名稱

      內網應用的名稱。

      長度為1~128個字符,支持輸入漢字、字母、數字、中劃線(-)、下劃線(_)和半角句號(.)。

      考勤管理應用

      描述

      內網應用的說明。

      企業員工的考勤管理地址

      標簽

      應用的自定義標簽,方便您對應用進行分類、搜索和管理。

      OA系統

      狀態

      應用的訪問權限。取值:

      • 啟用:表示應用處于可服務狀態。

      • 禁用:表示應用處于不可服務狀態。

      啟用

    2. 單擊下一步,根據如下表格說明設置應用地址信息。

      配置項

      說明

      示例值

      應用地址

      應用的內網訪問地址。支持使用IP、IP段、域名和泛域名的方式定義企業應用或資源。您可根據應用的實際情況,設置應用的多個內網訪問地址。

      10.10.XX.XX

      端口

      應用使用的端口號或者端口段。

      80~200

      協議

      應用的協議類型。取值:全部協議TCP協議UDP協議

      全部

    image.png

步驟三:打通網絡通道

在打通網絡通道之前,您需要先確認當前的業務部署情況,根據業務部署選擇合適的打通方案。

業務部署環境

解決方案

配置環境準備

企業的業務資源部署在阿里云上

通過網絡配置功能實現指定阿里云VPC資源與SASE終端用戶的網絡互通。

網絡配置 > 阿里云業務頁面,開啟目標業務服務器所在VPC的網絡打通開關。

辦公電腦要求:

  • Windows(64位、32位、.msi 64位、.msi 32位)適用于Win7及以上

  • macOS適用于macOS 10.10及以上

  • Linux適用于Ubuntu 18.04及以上、UOS

企業的業務資源部署在非阿里云環境(例如AWS、騰訊云等),且業務組網已經部署的阿里云VBR、CCN、VPN網關

通過阿里云提供的網絡通道專線、SAG、IPsecVPN,實現SASE終端訪問非阿里云環境的業務資源。

網絡配置 > 非阿里云業務 > 云上網絡實例頁簽,配置回源VPC并開啟網絡打通開關即可。

辦公電腦要求:

  • Windows(64位、32位、.msi 64位、.msi 32位)適用于Win7及以上

  • macOS適用于macOS 10.10及以上

  • Linux適用于Ubuntu 18.04及以上、UOS

企業的業務資源部署在非阿里云環境

SASE提供連接器(connector)功能與您的非阿里云網絡環境組網連接,實現使用SASE App訪問非阿里云環境的業務。

該方式不需要依賴其他網絡產品即可實現業務組網的訪問。

網絡配置 > 非阿里云業務 > 連接器列表頁簽,手動添加SASE連接器,然后執行命令部署連接器并確保已開啟連接器實例開關。

辦公電腦要求:

  • Windows(64位、32位、.msi 64位、.msi 32位)適用于Win7及以上

  • macOS適用于macOS 10.10及以上

  • Linux適用于Ubuntu 18.04及以上、UOS

本地連接器安裝部署的服務器要求:

  • 虛擬機或服務器配置:

    • CPU:4核

    • 內存:8 GB

    • 磁盤:40 GB

    • 操作系統:CentOS7版本及以上

  • 網絡配置:可以訪問公網。如果存在防火墻配置,需要放行部署的服務器或虛擬機出方向443、8000端口。

  • 規格限制:200 MB流量轉發。

  • 端口說明:請確保9000~9010未被占用。

本文以企業的業務資源部署在非阿里云環境為例,為您詳細介紹如何打通網絡通道。

  1. 在左側導航欄,選擇內網訪問 > 網絡配置。

  2. 網絡配置頁面,單擊非阿里云業務

  3. 添加連接器并關聯應用。

    1. 連接器列表頁簽,單擊添加連接器。

      最多支持添加5個連接器。

    2. 添加連接器面板,根據實際業務配置相關參數。然后單擊確定

      配置項

      說明

      示例值

      地域

      連接器的地域。為保障訪問質量,建議選擇與您服務器距離最近的地域。

      北京

      實例名稱

      連接器的名稱。

      某公司接入內網訪問連接器

      實例開關

      只有實例開關為開啟狀態時,SASE終端用戶才可以訪問連接器關聯的應用。

      重要

      關閉實例開關,會導致終端用戶使用SASE App無法訪問內網應用。請謹慎操作。

      已啟用

      image

  4. 安裝并部署連接器。

    在部署連接器之前,您可以單擊操作部署,在部署面板獲取部署連接器的詳細命令。

    1. root用戶登錄待部署的服務器或者虛擬機,執行如下命令下載連接器。

      wget 'https://sase-app.oss-cn-hangzhou.aliyuncs.com/connector/install_connector.latest.sh' -O /tmp/install_connector.sh

    2. 執行如下命令修改權限。

      chmod a+x /tmp/install_connector.sh

    3. 執行如下命令安裝連接器。

      sudo /tmp/install_connector.sh 163710033944**** 1404F395-6456D8CE-B02D4B20-0DFB**** connector-97861d0d3b91****
      說明

      其中,163710033944****是當前的阿里云賬號UID;1404F395-6456D8CE-B02D4B20-0DFB****是SASE生成的授權License;connector-97861d0d3b91****是創建的連接器實例ID。

    4. 執行如下命令啟動連接器。

      sudo systemctl start aliyun_sase_connector

      image.png

步驟四:創建零信任訪問策略

零信任策略幫助您管控企業員工、企業合作伙伴對應用和資源的訪問權限。創建零信任策略的過程,就是將企業用戶組和業務應用進行資源權限劃分,系統默認會有一條禁止所有訪問的策略,您需要配置放行策略,將不同的資源分配給不同的用戶組。

  1. 在左側導航欄,選擇內網訪問 > 零信任策略

  2. 零信任策略頁面,單擊添加策略。

  3. 添加策略面板,根據如下參數說明設置基礎信息,然后單擊確定。

    目前創建配置零信任策略的數量不限制,您可以根據實際業務需要,創建多條零信任策略。

    配置項

    說明

    示例值

    策略名稱

    添加零信任策略的名稱。

    長度為2~100個字符,支持輸入漢字、字母、數字、中劃線(-)和下劃線(_)。

    考勤管理應用放行策略

    描述

    零信任策略的說明。

    所有用戶可以訪問考勤管理應用

    優先級

    設置策略的優先級。最高優先級為1,新創建策略的優先級取值上限即當前賬號下配置的零信任策略條數+1。例如,當前賬號已配置的零信任策略條數為17,此時新創建的策略優先級的取值范圍:1~18。

    在策略存在沖突的情況下,優先級高的策略生效。

    1

    動作

    設置策略的訪問權限。取值:

    • 允許訪問:表示該條策略是允許用戶或者終端訪問指定應用。

    • 禁止訪問:表示該條策略是拒絕用戶或者終端訪問指定應用。

    允許訪問

    生效用戶

    設置策略生效的用戶組,即零信任策略針對指定用戶組的終端設備生效。SASE對命中策略的訪問行為進行相應的處理,即放行或者攔截該訪問行為。

    單擊添加,用戶組頁簽,選擇生效的用戶組。如果當前用戶組不能滿足您的需求,可以在自定義用戶組頁簽重新配置用戶組。關于如何配置用戶組,請參見配置用戶組。

    某公司所有員工

    已選應用

    根據動作中設置的允許訪問或者禁止訪問的應用。

    單擊添加,在標簽頁簽,根據配置的標簽選擇指定的應用。您也可以在應用頁簽,直接選擇應用。

    考勤管理應用

    安全基線

    選擇滿足企業辦公的安全基線模板。

    -

    策略狀態

    為策略設置生效狀態。

    已啟用

    image.png

步驟五:驗證配置是否成功

  1. 打開SASE App,輸入企業認證標識,然后單擊確定。

    您可以在辦公安全平臺設置頁面,配置企業認證標識

  2. 使用郵箱或者手機接收到的初始賬號名稱和密碼進行登錄。

  3. 單擊連接內網。

  4. 訪問企業考勤管理應用。

    如果能夠成功訪問,表示您已配置成功。