配置辦公應(yīng)用
在使用SASE內(nèi)網(wǎng)訪問之前,您需要將企業(yè)辦公應(yīng)用的IP地址或域名地址配置到SASE辦公應(yīng)用中。只有已配置的辦公應(yīng)用,企業(yè)員工才能通過SASE App進(jìn)行訪問。本文介紹支持添加的應(yīng)用類型,如何添加辦公應(yīng)用以及應(yīng)用域名的解析策略。
支持添加的辦公應(yīng)用類型
使用私網(wǎng)IP或者私網(wǎng)域名可訪問的應(yīng)用
企業(yè)私網(wǎng)應(yīng)用是為企業(yè)員工辦公所使用的內(nèi)部應(yīng)用服務(wù)、服務(wù)器或數(shù)據(jù)庫等IT資源,只允許特定用戶訪問該應(yīng)用。
使用公網(wǎng)IP或者公網(wǎng)域名可訪問的應(yīng)用(已配置白名單訪問機(jī)制)
企業(yè)對公網(wǎng)應(yīng)用地址配置了白名單訪問機(jī)制,例如通過ECS安全組或者云防火墻的訪問控制策略,只允許特定的IP段訪問該應(yīng)用。
添加辦公應(yīng)用
當(dāng)您將企業(yè)辦公應(yīng)用添加到SASE上,基于對所有應(yīng)用采用零信任的安全原則,SASE默認(rèn)創(chuàng)建一條禁止所有訪問的策略。所以您在添加應(yīng)用后,還需要配置對應(yīng)用訪問的放行策略。具體操作,請參見配置零信任策略。
登錄辦公安全平臺控制臺。
在左側(cè)導(dǎo)航欄,選擇 。
在辦公應(yīng)用頁面,單擊添加應(yīng)用,根據(jù)如下步驟配置應(yīng)用。
支持手動配置和批量導(dǎo)入兩種方式:
手動配置
在手動配置頁簽,根據(jù)如下表格說明設(shè)置基礎(chǔ)配置參數(shù)。
配置項
說明
應(yīng)用名稱
應(yīng)用的名稱。
長度為2~100個字符,支持輸入漢字、字母、數(shù)字、中劃線(-)、下劃線(_)和半角句號(.)。
標(biāo)簽
應(yīng)用的自定義標(biāo)簽,方便您對應(yīng)用進(jìn)行分類、搜索和管理。
說明您可以添加自定義標(biāo)簽,方便您對應(yīng)用進(jìn)行分類、搜索和管理,也可以直接使用系統(tǒng)默認(rèn)標(biāo)簽。
狀態(tài)
應(yīng)用的啟用或禁用狀態(tài)。
單擊下一步,根據(jù)如下表格說明設(shè)置應(yīng)用地址信息。
配置項
說明
應(yīng)用地址
填寫待SASE訪問的企業(yè)辦公應(yīng)用地址、端口信息、及其協(xié)議類型。
應(yīng)用地址支持以下類型:
如果辦公應(yīng)用地址是精確IP。例如“10.10.XX.XX”。
如果辦公應(yīng)用地址是IP段。例如“10.0.0.0/8”、“172.16.0.0/12”、“192.168.0.0/24”。
如果辦公應(yīng)用地址是精確域名。例如“www.aliyun.com”。
如果辦公應(yīng)用地址是泛域名。例如填寫泛域名“*.aliyun.com”,則根據(jù)您填寫的端口信息匹配“*.aliyun.com”的子域名,確定SASE可以訪問該泛域名下的某些子域名。
端口號的填寫方式如下:
如果辦公應(yīng)用使用的端口號是連續(xù)的,您可以配置端口號的范圍。例如80~8080端口,表示80~8080的全閉合區(qū)間。
如果辦公應(yīng)用使用的端口號是不連續(xù)的,您可以添加多個端口號。例如80、8080。
如果辦公應(yīng)用使用的是一個端口號,您只需要將起始端口寫一樣即可。例如80。
支持應(yīng)用的協(xié)議類型:
TCP協(xié)議
UDP協(xié)議
端口
協(xié)議
web應(yīng)用訪問加固
如果您需要對Web應(yīng)用的訪問流量進(jìn)行安全校驗或者訪問溯源,可以配置如下安全加固策略。
安全校驗
針對Host請求頭進(jìn)行檢測,防止惡意繞過
訪問溯源
HTTP header中增加用戶名等信息用于訪問溯源
批量導(dǎo)入
在批量導(dǎo)入頁簽,單擊模板下載。
單擊上傳本地文件,上傳已填寫的模板文件。
說明支持XLSX文件,文件的上限為100 MB。
單擊確定。
創(chuàng)建成功的企業(yè)辦公應(yīng)用會在應(yīng)用列表顯示。
應(yīng)用域名解析
域名解析策略
企業(yè)員工(內(nèi)網(wǎng)訪問終端用戶)發(fā)起域名解析請求,優(yōu)先去云解析 PrivateZone(Alibaba Cloud DNS PrivateZone)進(jìn)行域名解析記錄查詢,并返回解析結(jié)果。
說明如果您的業(yè)務(wù)組網(wǎng)中接入了PrivateZone,則SASE會自動同步PrivateZone的解析數(shù)據(jù),您無需在SASE控制臺上配置PrivateZone信息。關(guān)于PrivateZone的詳細(xì)介紹,請參見內(nèi)網(wǎng)DNS解析簡介。
若域名解析請求未在PrivateZone內(nèi)獲取到解析結(jié)果,則判斷是否配置了自定義DNS解析(默認(rèn)DNS服務(wù)和其他DNS服務(wù)),若配置了則將此請求轉(zhuǎn)發(fā)至自定義DNS解析,并返回解析結(jié)果。
如果企業(yè)員工未在SASE App上切換DNS服務(wù),則使用默認(rèn)DNS服務(wù)來解析域名。
如果企業(yè)員工在SASE App上切換到指定DNS服務(wù),則使用指定的DNS服務(wù)來解析域名。
若未配置自定義DNS解析,則此域名解析請求會發(fā)送至ECS實例配置的默認(rèn)DNS解析,并返回解析結(jié)果。
配置自定義DNS服務(wù)
在辦公應(yīng)用頁面,單擊內(nèi)網(wǎng)DNS配置。
在DNS地址對話框,配置默認(rèn)DNS服務(wù)和其他DNS服務(wù)。
一個DNS服務(wù)可以配置多個服務(wù)器IP,如果一個服務(wù)器IP解析失敗,會將域名解析請求發(fā)送到該DNS服務(wù)的其他服務(wù)器進(jìn)行解析。
為辦公應(yīng)用添加白名單
什么情況下需要為應(yīng)用添加白名單
如果業(yè)務(wù)中無需對個別辦公應(yīng)用的網(wǎng)絡(luò)流量進(jìn)行安全分析與審計,可以通過白名單配置,將該應(yīng)用的IP或者域名地址加入內(nèi)網(wǎng)訪問白名單。加入白名單后,該應(yīng)用的網(wǎng)絡(luò)流量不經(jīng)過SASE。
例如,您在辦公應(yīng)用管理中配置了泛域名*.abc.com,但是子域名123.abc.com的業(yè)務(wù)流量因為企業(yè)認(rèn)為是安全的,無需SASE分析與審計,則可以為子域名123.abc.com配置白名單。
配置辦公應(yīng)用白名單
支持對需要加白的應(yīng)用IP或者域名添加到辦公應(yīng)用白名單,可添加多個辦公應(yīng)用,例如添加多個IP或者IP段、多個域名或者通配符域名。關(guān)于白名單配置的詳細(xì)操作,請參見配置內(nèi)網(wǎng)訪問白名單。
刪除和編輯辦公應(yīng)用
您可以根據(jù)實際情況,執(zhí)行如下操作:
編輯:單擊詳情,在詳情面板,查看指定的企業(yè)辦公應(yīng)用信息,或者修改應(yīng)用信息。
刪除:單擊刪除,刪除指定的企業(yè)辦公應(yīng)用。
重要企業(yè)辦公應(yīng)用被刪除后,企業(yè)員工將無法訪問該應(yīng)用。請謹(jǐn)慎操作。
相關(guān)文檔
對添加的辦公應(yīng)用創(chuàng)建放行策略。具體操作,請參見配置零信任策略。
如果企業(yè)員工在您可信的區(qū)域內(nèi)辦公,您無需對員工訪問辦公應(yīng)用的流量進(jìn)行分析和審計時,您可以配置可信辦公區(qū)。具體操作,請參見配置辦公區(qū)識別。