支持添加的辦公應用類型

• 使用私網IP或者私網域名可訪問的應用

  企業私網應用是為企業員工辦公所使用的內部應用服務、服務器或數據庫等IT資源，只允許特定用戶訪問該應用。

• 使用公網IP或者公網域名可訪問的應用（已配置白名單訪問機制）

  企業對公網應用地址配置了白名單訪問機制，例如通過ECS安全組或者云防火墻的訪問控制策略，只允許特定的IP段訪問該應用。

添加辦公應用

當您將企業辦公應用添加到SASE上，基于對所有應用采用零信任的安全原則，SASE默認創建一條禁止所有訪問的策略。所以您在添加應用后，還需要配置對應用訪問的放行策略。具體操作，請參見配置零信任策略。

1. 登錄辦公安全平臺控制臺。

2. 在左側導航欄，選擇內網訪問 > 應用管理。

3. 在辦公應用頁面，單擊添加應用，根據如下步驟配置應用。

   支持手動配置和批量導入兩種方式：

   • 手動配置

     1. 在手動配置頁簽，根據如下表格說明設置基礎配置參數。

        配置項	說明
        應用名稱	應用的名稱。 長度為2~100個字符，支持輸入漢字、字母、數字、中劃線（-）、下劃線（_）和半角句號（.）。
        標簽	應用的自定義標簽，方便您對應用進行分類、搜索和管理。 說明 您可以添加自定義標簽，方便您對應用進行分類、搜索和管理，也可以直接使用系統默認標簽。
        狀態	應用的啟用或禁用狀態。

     2. 單擊下一步，根據如下表格說明設置應用地址信息。

        配置項	說明
        應用地址	填寫待SASE訪問的企業辦公應用地址、端口信息、及其協議類型。 應用地址支持以下類型： 如果辦公應用地址是精確IP。例如“10.10.XX.XX”。 如果辦公應用地址是IP段。例如“10.0.0.0/8”、“172.16.0.0/12”、“192.168.0.0/24”。 如果辦公應用地址是精確域名。例如“www.aliyun.com”。 如果辦公應用地址是泛域名。例如填寫泛域名“*.aliyun.com”，則根據您填寫的端口信息匹配“*.aliyun.com”的子域名，確定SASE可以訪問該泛域名下的某些子域名。 端口號的填寫方式如下： 如果辦公應用使用的端口號是連續的，您可以配置端口號的范圍。例如80~8080端口，表示80~8080的全閉合區間。 如果辦公應用使用的端口號是不連續的，您可以添加多個端口號。例如80、8080。 如果辦公應用使用的是一個端口號，您只需要將起始端口寫一樣即可。例如80。 支持應用的協議類型： TCP協議 UDP協議
        端口
        協議
        高級設置 > web應用訪問加固	如果您需要對Web應用的訪問流量進行安全校驗或者訪問溯源，可以配置如下安全加固策略。 安全校驗 針對Host請求頭進行檢測，防止惡意繞過 訪問溯源 HTTP header中增加用戶名等信息用于訪問溯源

   • 批量導入

     1. 在批量導入頁簽，單擊模板下載。

     2. 單擊上傳本地文件，上傳已填寫的模板文件。

        說明

        支持XLSX文件，文件的上限為100 MB。

4. 單擊確定。

   創建成功的企業辦公應用會在應用列表顯示。

應用域名解析

域名解析策略

1. 企業員工（內網訪問終端用戶）發起域名解析請求，優先去云解析 PrivateZone（Alibaba Cloud DNS PrivateZone）進行域名解析記錄查詢，并返回解析結果。

   說明

   如果您的業務組網中接入了PrivateZone，則SASE會自動同步PrivateZone的解析數據，您無需在SASE控制臺上配置PrivateZone信息。關于PrivateZone的詳細介紹，請參見內網DNS解析簡介。

2. 若域名解析請求未在PrivateZone內獲取到解析結果，則判斷是否配置了自定義DNS解析（默認DNS服務和其他DNS服務），若配置了則將此請求轉發至自定義DNS解析，并返回解析結果。

   • 如果企業員工未在SASE App上切換DNS服務，則使用默認DNS服務來解析域名。

   • 如果企業員工在SASE App上切換到指定DNS服務，則使用指定的DNS服務來解析域名。

3. 若未配置自定義DNS解析，則此域名解析請求會發送至ECS實例配置的默認DNS解析，并返回解析結果。

配置自定義DNS服務

1. 在辦公應用頁面，單擊內網DNS配置。

2. 在DNS地址對話框，配置默認DNS服務和其他DNS服務。

   一個DNS服務可以配置多個服務器IP，如果一個服務器IP解析失敗，會將域名解析請求發送到該DNS服務的其他服務器進行解析。

   

為辦公應用添加白名單

什么情況下需要為應用添加白名單

如果業務中無需對個別辦公應用的網絡流量進行安全分析與審計，可以通過白名單配置，將該應用的IP或者域名地址加入內網訪問白名單。加入白名單后，該應用的網絡流量不經過SASE。

例如，您在辦公應用管理中配置了泛域名*.abc.com，但是子域名123.abc.com的業務流量因為企業認為是安全的，無需SASE分析與審計，則可以為子域名123.abc.com配置白名單。

配置辦公應用白名單

支持對需要加白的應用IP或者域名添加到辦公應用白名單，可添加多個辦公應用，例如添加多個IP或者IP段、多個域名或者通配符域名。關于白名單配置的詳細操作，請參見配置內網訪問白名單。

刪除和編輯辦公應用

您可以根據實際情況，執行如下操作：

• 編輯：單擊詳情，在詳情面板，查看指定的企業辦公應用信息，或者修改應用信息。

• 刪除：單擊刪除，刪除指定的企業辦公應用。

  重要

  企業辦公應用被刪除后，企業員工將無法訪問該應用。請謹慎操作。