办公安全平台SASE(Secure Access Service Edge)提供的应用管理功能,帮助您管理企业的应用或资源。本文介绍如何配置应用或资源。
背景信息
当您为企业员工配置办公需要员工访问的企业应用和资源时,可以使用SASE提供的内网应用功能。企业员工安装SASE客户端,并通过身份与安全策略校验,便可以访问对应的局域网应用或资源。
根据您的使用场景不同,应用管理分为内网应用和公网应用,具体介绍如下:
- 内网应用:当您需要为企业员工配置办公所需要的局域网应用时,可以使用SASE提供的内网应用功能。企业员工安装SASE客户端,并通过身份与安全策略校验,便可以访问对应的局域网应用或资源。
- 公网应用:当您需要为合作伙伴或承包商开放Web应用时,可以使用SASE提供的公网应用功能。企业合作伙伴或承包商通过浏览器与身份校验,便可以访问开放的Web应用。说明 当您使用公网应用,并且协议类型为HTTPS时,请确保已绑定相应的证书。关于绑定证书的具体操作,请参见上传证书。
配置企业办公应用
企业办公应用是为企业员工办公所使用的内部Web应用服务、服务器或数据库等IT资源,无需企业员工配置公网地址。企业员工需使用安装了SASE客户端的办公设备,并通过身份与安全策略校验,才能访问这些应用与资源。
- 登录办公安全平台控制台。
- 在左侧导航栏,选择 。
- 在内网应用页签的标签区域,单击添加,设置标签名称,然后单击确定。为应用添加自定义的标签,方便您对应用进行分类、搜索和管理。
- 在内网应用页签,单击添加应用。支持手动配置和批量导入两种方式:
- 手动配置
- 在手动配置页签,根据如下表格说明设置基础配置参数。
配置项 说明 名称 内网应用的名称。 长度为2~100个字符,支持输入汉字、字母、数字、中划线(-)、下划线(_)和半角句号(.)。
描述 内网应用的说明。 标签 应用的自定义标签,方便您对应用进行分类、搜索和管理。 您可以在内网应用的标签区域添加标签,或者单击添加自定义标签添加标签。
访问控制 应用的访问权限。取值: - 启用:表示应用处于可服务状态。
- 禁用:表示应用处于不可服务状态。
- 单击下一步,根据如下表格说明设置应用地址信息。然后单击确定。
配置项 说明 应用地址 应用的内网访问地址。支持使用IP、IP段、域名和泛域名的方式定义企业应用或资源。您可根据应用的实际情况,设置应用的多个内网访问地址。 说明 当您配置的是企业内网网段的域名时,您需要添加DNS地址进行域名解析。- 在内网应用页签,单击DNS地址。
- 在DNS地址对话框,添加DNS服务器地址。然后单击确定。
DNS地址是指企业内网的DNS服务器地址。每一组DNS服务最多可以添加2个DNS服务器地址。默认会显示您本地的DNS服务器地址。
端口 应用使用的端口号或者端口段。 协议 应用的协议类型。取值:全部、TCP协议、UDP协议。
- 在手动配置页签,根据如下表格说明设置基础配置参数。
- 批量导入
- 在批量导入页签,单击模板下载。
- 单击上传本地文件,上传已填写的模板文件。然后单击确定。说明 支持XLS、XLSX文件,文件的上限为100 MB。
添加成功的内网应用会在应用列表显示。您可以根据实际情况,执行如下操作:
- 查看入侵防御信息:当您配置的是企业内网网段的域名时,Web入侵防御功能会自动开启。您可以单击入侵防御图标(
或
),跳转到Web入侵防御页面查看详细的入侵行为信息。更多内容,请参见Web入侵防御。
- 编辑:单击详情,在详情面板,查看指定应用的信息,或者修改应用信息。
- 删除:单击删除,删除指定应用。
- 手动配置
配置办公区识别条件
您可以通过设置识别条件来定义企业办公区特征,SASE客户端通过设置的特征来识别员工设备所在位置是在办公区,当在办公区时,关联的应用流量无需通过云上的SASE网关。
- 登录办公安全平台控制台。
- 在左侧导航栏,选择 。
- 在办公区识别页签,单击添加识别条件。
- 配置办公区识别条件。支持设置1个或者多个办公区识别条件。
配置项 说明 名称 条件的名称。长度为2~128个字符,支持输入汉字、字母、数字、中划线(-)和下划线(_)。 条件配置 单个办公区识别条件中的条件配置如下,您可以设置1个或者多个条件配置,多个条件配置为或的逻辑关系。 - 办公区SSID:输入您的办公区SSID。服务集标识符SSID(Service Set Identifier)是无线局域网络(WLAN)的名称。
- 可访问内网IP:仅在办公区网络环境下才能访问的内网IP地址,SASE客户端会自动探测此IP,当连通性正常时,被作为办公区识别的特征之一。
- 可访问内网域名:仅在办公区网络环境下才能访问的内网域名地址,SASE客户端会自动探测此域名,当连通性正常时,被作为办公区识别的特征之一。
关联应用 通过应用标签或者应用名称关联内网应用。
配置公网应用
- 登录办公安全平台控制台。
- 在左侧导航栏,选择 。
- 可选:在标签区域,单击添加,设置标签名称,然后单击确定。为应用添加自定义的标签,方便您对应用进行分类、搜索和管理。
- 可选:上传证书。如果应用使用的是HTTPS协议,需要绑定对应证书。
- 在公网应用页签,单击证书管理。
- 在证书管理面板,单击上传证书。
- 在上传证书的对话框,输入您的证书名称、描述信息、证书文件及私钥文件。然后单击确定。重要 证书过期后,请及时在证书管理页签中上传更新的证书,以免公网应用无法访问。
- 创建公网应用。
- 在公网应用页签中,单击添加应用。
- 请根据如下参数说明设置相关参数,然后单击确定。
配置项 说明 名称 添加的内网应用的名称。 长度为2~100个字符,支持输入汉字、字母、数字、中划线(-)、下划线(_)和半角句号(.)。
描述 公网应用的说明。 状态 为应用设置访问权限。取值: - 启用:表示应用处于可服务状态。
- 禁用:表示应用处于不可服务状态。
标签 为应用添加自定义的标签,方便您对应用进行分类、搜索和管理。 您可以在内网应用的标签区域添加标签,或者单击添加自定义标签添加标签。
应用地址 应用的域名、端口号及证书。 说明 支持配置HTTP、HTTPS协议的应用。如果应用使用的是HTTPS协议,需要导入对应证书。源站地址 部署应用的源站IP地址。 源站端口 应用在源站服务器上使用的端口号。
当您需要修改应用的配置时,可以在内网应用页面,单击目标应用右侧操作列的详情,对已添加的应用进行编辑。
添加公网应用后,SASE会为指定应用自动生成一条CNAME记录。您需要将CNAME地址添加到应用所在的DNS解析服务。DNS解析配置完成后,访问Web应用的流量会到SASE边缘集群的安全网关上,由安全网关对该访问流量进行安全校验。您可以根据实际情况,执行如下操作:
- 编辑:单击编辑,在编辑应用对话框,修改应用信息。
- 详情:单击详情,在详情面板,查看指定应用的信息。
- 删除:单击删除,删除指定应用。
- 查找:在搜索栏设置相关信息,查找指定应用。
后续步骤
添加应用后,您可以在零信任策略中选择相关应用,实现对企业员工访问指定应用的访问进行有效管控。具体操作,请参见配置零信任策略。