當企業的辦公應用可通過公網訪問,企業對公網應用配置了白名單機制,例如通過ECS安全組或者云防火墻的訪問控制策略,只允許特定的IP段訪問該應用。這種場景下,SASE會自動分配公用的回源IP(指SASE代理客戶端請求源站服務器時使用的IP地址)。如果企業有更高的安全需求,可以配置專屬回源服務,獲取企業獨享的IP地址用于回源。本文介紹如何配置專屬回源服務。
前提條件
已開通SASE內網訪問安全高級版。具體操作,請參見辦公安全平臺計費概述。
企業對公網應用地址配置了白名單機制。例如通過ECS安全組的能力,只允許企業員工訪問該應用。
確保指定地域的阿里云業務網絡打通。具體操作,請參見打通阿里云業務的網絡通道。
關閉關聯VPC的網絡打通或刪除關聯VPC都會導致專屬回源服務失效,影響您的業務。
步驟一:配置專屬回源服務
若企業公網應用部署在同一地域,則在公網應用所在地域開通專屬回源服務;若企業公網應用分散部署在多個地域,則在所有地域開通專屬回源服務。
登錄辦公安全平臺控制臺。在左側導航欄,選擇。
在專屬回源服務頁簽,單擊添加專屬回源服務,選擇待關聯VPC所在的地域,并關聯VPC,將狀態設置為開啟。
單擊確定。
添加完成后,SASE會自動為您分配兩個獨享的公網訪問IP地址用于回源。您可以在專屬回源列表中查看分配的獨享回源IP。
步驟二:放行分配的回源IP
您需要在您的網絡部署中放行SASE為您分配的企業獨享IP地址。
由于SASE零信任網關會通過分配的獨享公網訪問IP地址與您的辦公應用通信,在應用所在的源站服務器看來,配置SASE專屬回源服務后,所有請求來源IP都會變成SASE為您分配的獨享回源IP,從而隱藏真實的客戶端IP。且您的公網應用地址配置了白名單機制,如果不放行專屬回源IP,就會導致客戶端訪問源站服務器的網絡不通。
后續步驟
相關文檔
如果您配置應用后,需要針對個別IP的流量放行,可以配置應用白名單。具體操作,請參見配置辦公應用白名單。
如果您的業務應用部署在阿里云的網絡資源上,請參見打通阿里云業務的網絡通道。
如果您的業務應用部署在非阿里云的網絡資源上,請參見打通非阿里云業務的網絡通道。
如果需要解決全球辦公場景,請參見打通全球辦公的網絡通道。