如果企業為了辦公數據的安全性,將業務應用部署在私網網段上,此時為了讓企業異地辦公場景下企業員工能夠安全地訪問業務應用,可以使用SASE為您打通辦公網絡,為企業搭建一個內網辦公環境。本文為您介紹如何快速搭建一個內網辦公環境。
場景示例
A公司的業務應用部署在阿里云杭州ECS的私網網段(10.0.216.224)上,ECS所在的VPC名稱為VPC_test1,A公司研發一部的所有員工在上海分公司辦公。此時企業需要通過SASE內網訪問功能,實現研發一部所有員工能夠訪問杭州私網網段的業務應用。
前提條件
已在華東1(杭州)地域,創建了業務需使用的專有網絡 VPC和云服務器 ECS,且在ECS的私網網段上部署了企業的業務應用。
準備工作
購買的ECS實例必須滿足以下條件:
實例已分配公網IP地址或綁定彈性公網IP(EIP)。
操作系統必須為CentOS 7.x。
實例安全組的入方向規則已放行22、80、443端口。具體操作,請參見添加安全組規則。
根據以上要求,本示例準備的ECS:公網IP為47.110.XX.XX,私網IP為10.0.216.224。
操作步驟
遠程連接需要部署的ECS實例。具體操作,請參見ECS遠程連接方式概述。
運行以下命令,安裝Nginx。
sudo yum -y install nginx運行以下命令,查看Nginx版本。
nginx -v返回結果類似如下所示,表示Nginx安裝成功。
nginx version: nginx/1.20.1運行以下命令,啟動Nginx服務。
service nginx start
步驟一:配置自定義身份源
本文為了快速驗證功能,以自定義身份源為例為您介紹。
登錄辦公安全平臺控制臺。在左側導航欄,選擇。
在身份源管理頁簽,定位到默認啟用的自定義身份源,單擊編輯,按照如下信息配置自定義身份源。然后單擊確定。
電腦設備登錄方式:賬號密碼登錄
移動設備登錄方式:賬號密碼登錄
在身份源列表,定位到已創建的自定義身份源,單擊用戶管理。
在用戶管理面板,單擊添加用戶,按照如下信息添加企業員工信息。然后單擊確定。
因為SASE下發策略是按照用戶組下發的,所以需要先為企業先創建部門,然后為該部門添加企業用戶。
待添加的企業員工信息包含用戶名、部門、郵箱、手機號、備注等。您配置郵箱和手機號后,為用戶生成的初始用戶名和密碼會發送到您的郵箱或手機。
本示例創建的部門為A公司研發一部,該部門有兩名員工,分別是開發人員1和開發人員2。
步驟二:配置內網業務應用資源
在左側導航欄,選擇。
在辦公應用頁面,單擊添加應用,按照如下信息配置應用。然后單擊確定。
名稱:A公司內網應用
應用地址:選擇設置應用的IP,填寫10.0.216.224
端口:1~65535
協議:全部協議
步驟三:打通阿里云業務的網絡通道
在左側導航欄,選擇。
在頁簽,定位到企業使用的業務VPC,開啟網絡打通開關。
步驟四:創建零信任訪問策略
由于SASE默認會配置一條禁止所有訪問的策略,所以您需要為指定員工配置放行策略,允許員工訪問內網應用。
在左側導航欄,選擇。
在零信任策略頁面,單擊添加策略。
在添加策略面板,按照如下信息配置放行策略,然后單擊確定。
策略名稱:A公司內網應用放行策略
優先級:1
動作:允許訪問
生效用戶:單擊添加,在自定義用戶組頁簽,配置組織架構等于A公司研發一部
已選應用:單擊添加,在應用頁簽,選擇A公司內網應用
策略狀態:已啟用
步驟五:驗證配置是否成功
打開SASE App,輸入企業認證標識,然后單擊確定。
您可以在辦公安全平臺的設置頁面,配置企業認證標識。
使用郵箱或者手機接收到的初始賬號名稱和密碼進行登錄。
單擊連接內網。
訪問企業考勤管理應用(http://10.0.216.224)。
如果能夠成功訪問,表示您已配置成功。