如果企業員工在企業辦公區域內辦公,無需使用SASE App內網引流或者部分應用不需要SASE App引流時,可以通過設置特征條件來定義企業辦公區,SASE App通過設置的特征來識別員工設備所在位置是否在辦公區,并執行對應的引流策略。本文介紹如何配置可信辦公區。
辦公區引流策略說明
接入SASE后,默認企業員工訪問業務應用的流量引流到SASE并進行權限校驗并轉發。您可以根據企業辦公區的網絡拓撲情況,選擇企業員工在辦公區時使用SASE App的不引流策略。避免員工在辦公區誤使用SASE App辦公導致公網出口帶寬的占用。
SASE支持以下兩種辦公區不引流策略:
在辦公區時,SASE App不引流
用于企業辦公區的網絡可以訪問業務需要的所有辦公應用的場景,不需要通過SASE進行網絡打通。
在辦公區時,SASE App針對指定辦公應用不引流
用于企業辦公區的網絡只可以訪問部分辦公應用的場景,不能訪問的應用需要通過SASE打通網絡通道。
操作步驟
登錄辦公安全平臺控制臺。
在左側導航欄,選擇。
在接入點管理頁簽,單擊辦公區識別,選擇辦公區引流策略。
根據如下說明,增加辦公區識別條件。
支持設置1個或者多個辦公區識別條件。如果存在多個辦公區識別條件,SASE只要匹配到其中1個識別條件,即可判斷該區域為辦公區。
配置項
說明
名稱
條件的名稱。長度為2~128個字符,支持輸入漢字、字母、數字、中劃線(-)和下劃線(_)。
條件配置
單個辦公區識別條件中的條件配置如下,您可以設置1個或者多個條件配置。條件取值:
辦公區SSID:輸入您的辦公區SSID。服務集標識符SSID(Service Set Identifier)是無線局域網絡(WLAN)的名稱。
可訪問內網IP:僅在辦公區網絡環境下才能訪問的內網IP地址,SASE客戶端會自動探測此IP,當連通性正常時,被作為辦公區識別的特征之一。
可訪問內網域名:僅在辦公區網絡環境下才能訪問的內網域名地址,SASE客戶端會自動探測此域名,當連通性正常時,被作為辦公區識別的特征之一。
辦公網IP段:僅在辦公區網絡環境下才能訪問的內網IP地址段。
多個條件之間您可以設置邏輯關系為OR或者AND。默認為邏輯OR,您可以單擊OR將邏輯關系切換為AND。
如果您選擇針對指定應用不引流的策略,則需要再關聯相關應用。
單擊配置,在添加應用面板,通過應用標簽或者應用名稱添加相關的內網辦公應用。
單擊保存。
其他操作
您可以根據實際情況,執行如下操作:
編輯:單擊編輯,修改已配置的識別條件。
刪除:單擊刪除,刪除指定的識別條件。
重要識別條件被刪除后,SASE識別辦公區時不會匹配該條件。請謹慎操作。
相關文檔
如果您需要通過SASE打通網絡通道,請根據網絡拓撲,選擇合適的打通方式:
如果您的業務流量需要通過SASE進行審計與分析,可以配置應用的訪問策略。具體操作,請參見配置零信任策略。