办公安全平台SASE(Secure Access Service Edge)提供的应用管理功能,帮助您管理企业的应用或资源。本文介绍如何配置应用或资源。

背景信息

当您为企业员工配置办公需要员工访问的企业应用和资源时,可以使用SASE提供的内网应用功能。企业员工安装SASE客户端,并通过身份与安全策略校验,便可以访问对应的局域网应用或资源。

根据您的使用场景不同,应用管理分为内网应用和公网应用,具体介绍如下:
  • 内网应用:当您需要为企业员工配置办公所需要的局域网应用时,可以使用SASE提供的内网应用功能。企业员工安装SASE客户端,并通过身份与安全策略校验,便可以访问对应的局域网应用或资源。
  • 公网应用:当您需要为合作伙伴或承包商开放Web应用时,可以使用SASE提供的公网应用功能。企业合作伙伴或承包商通过浏览器与身份校验,便可以访问开放的Web应用。
    说明 当您使用公网应用,并且协议类型为HTTPS时,请确保已绑定相应的证书。关于绑定证书的具体操作,请参见上传证书。

配置企业办公应用

企业办公应用是为企业员工办公所使用的内部Web应用服务、服务器或数据库等IT资源,无需企业员工配置公网地址。企业员工需使用安装了SASE客户端的办公设备,并通过身份与安全策略校验,才能访问这些应用与资源。

  1. 登录办公安全平台控制台
  2. 在左侧导航栏,选择内网访问 > 应用管理
  3. 内网应用页签的标签区域,单击添加,设置标签名称,然后单击确定
    为应用添加自定义的标签,方便您对应用进行分类、搜索和管理。
  4. 内网应用页签,单击添加应用
    支持手动配置和批量导入两种方式:
    • 手动配置
      1. 手动配置页签,根据如下表格说明设置基础配置参数。
        配置项说明
        名称内网应用的名称。

        长度为2~100个字符,支持输入汉字、字母、数字、中划线(-)、下划线(_)和半角句号(.)。

        描述内网应用的说明。
        标签应用的自定义标签,方便您对应用进行分类、搜索和管理。

        您可以在内网应用标签区域添加标签,或者单击添加自定义标签添加标签。

        访问控制应用的访问权限。取值:
        • 启用:表示应用处于可服务状态。
        • 禁用:表示应用处于不可服务状态。
      2. 单击下一步,根据如下表格说明设置应用地址信息。然后单击确定
        配置项说明
        应用地址应用的内网访问地址。支持使用IP、IP段、域名和泛域名的方式定义企业应用或资源。您可根据应用的实际情况,设置应用的多个内网访问地址。
        说明 当您配置的是企业内网网段的域名时,您需要添加DNS地址进行域名解析。
        1. 内网应用页签,单击DNS地址
        2. DNS地址对话框,添加DNS服务器地址。然后单击确定

          DNS地址是指企业内网的DNS服务器地址。每一组DNS服务最多可以添加2个DNS服务器地址。默认会显示您本地的DNS服务器地址。

        端口应用使用的端口号或者端口段。
        协议应用的协议类型。取值:全部TCP协议UDP协议
    • 批量导入
      1. 批量导入页签,单击模板下载
      2. 单击上传本地文件,上传已填写的模板文件。然后单击确定
        说明 支持XLSXLSX文件,文件的上限为100 MB。
    添加成功的内网应用会在应用列表显示。

    您可以根据实际情况,执行如下操作:

    • 查看入侵防御信息:当您配置的是企业内网网段的域名时,Web入侵防御功能会自动开启。您可以单击入侵防御图标(12),跳转到Web入侵防御页面查看详细的入侵行为信息。更多内容,请参见Web入侵防御
    • 编辑:单击详情,在详情面板,查看指定应用的信息,或者修改应用信息。
    • 删除:单击删除,删除指定应用。

配置办公区识别条件

您可以通过设置识别条件来定义企业办公区特征,SASE客户端通过设置的特征来识别员工设备所在位置是在办公区,当在办公区时,关联的应用流量无需通过云上的SASE网关。

  1. 登录办公安全平台控制台
  2. 在左侧导航栏,选择内网访问 > 应用管理
  3. 办公区识别页签,单击添加识别条件
  4. 配置办公区识别条件。
    支持设置1个或者多个办公区识别条件。
    配置项说明
    名称条件的名称。长度为2~128个字符,支持输入汉字、字母、数字、中划线(-)和下划线(_)。
    条件配置单个办公区识别条件中的条件配置如下,您可以设置1个或者多个条件配置,多个条件配置为的逻辑关系。
    • 办公区SSID:输入您的办公区SSID。服务集标识符SSID(Service Set Identifier)是无线局域网络(WLAN)的名称。
    • 可访问内网IP:仅在办公区网络环境下才能访问的内网IP地址,SASE客户端会自动探测此IP,当连通性正常时,被作为办公区识别的特征之一。
    • 可访问内网域名:仅在办公区网络环境下才能访问的内网域名地址,SASE客户端会自动探测此域名,当连通性正常时,被作为办公区识别的特征之一。
    关联应用通过应用标签或者应用名称关联内网应用。

配置公网应用

  1. 登录办公安全平台控制台
  2. 在左侧导航栏,选择内网访问 > 应用管理
  3. 可选:标签区域,单击添加,设置标签名称,然后单击确定
    为应用添加自定义的标签,方便您对应用进行分类、搜索和管理。
  4. 可选:上传证书。
    如果应用使用的是HTTPS协议,需要绑定对应证书。
    1. 公网应用页签,单击证书管理
    2. 证书管理面板,单击上传证书
    3. 上传证书的对话框,输入您的证书名称描述信息、证书文件私钥文件。然后单击确定
      重要 证书过期后,请及时在证书管理页签中上传更新的证书,以免公网应用无法访问。
  5. 创建公网应用。
    1. 公网应用页签中,单击添加应用
    2. 请根据如下参数说明设置相关参数,然后单击确定
      配置项说明
      名称添加的内网应用的名称。

      长度为2~100个字符,支持输入汉字、字母、数字、中划线(-)、下划线(_)和半角句号(.)。

      描述公网应用的说明。
      状态为应用设置访问权限。取值:
      • 启用:表示应用处于可服务状态。
      • 禁用:表示应用处于不可服务状态。
      标签为应用添加自定义的标签,方便您对应用进行分类、搜索和管理。

      您可以在内网应用标签区域添加标签,或者单击添加自定义标签添加标签。

      应用地址应用的域名、端口号及证书。
      说明 支持配置HTTP、HTTPS协议的应用。如果应用使用的是HTTPS协议,需要导入对应证书。
      源站地址部署应用的源站IP地址。
      源站端口应用在源站服务器上使用的端口号。

    当您需要修改应用的配置时,可以在内网应用页面,单击目标应用右侧操作列的详情,对已添加的应用进行编辑。

    添加公网应用后,SASE会为指定应用自动生成一条CNAME记录。您需要将CNAME地址添加到应用所在的DNS解析服务。DNS解析配置完成后,访问Web应用的流量会到SASE边缘集群的安全网关上,由安全网关对该访问流量进行安全校验。

    您可以根据实际情况,执行如下操作:

    • 编辑:单击编辑,在编辑应用对话框,修改应用信息。
    • 详情:单击详情,在详情面板,查看指定应用的信息。
    • 删除:单击删除,删除指定应用。
    • 查找:在搜索栏设置相关信息,查找指定应用。

后续步骤

添加应用后,您可以在零信任策略中选择相关应用,实现对企业员工访问指定应用的访问进行有效管控。具体操作,请参见配置零信任策略