管理员首次配置内网访问指南

本文介绍内网访问功能的业务原理及使用逻辑,帮助企业管理员在开通办公安全平台SASE(Secure Access Service Edge)产品后,快速上手内网访问功能。

内网访问安全简介

内网访问是基于软件定义边界SDP(Software Defined Perimeter)技术,打造SaaS化零信任网络访问功能,在不需暴露公网地址和改造企业原有网络架构的情况下,通过SASE内网访问解决方案实现企业员工通过内网访问云上业务资源,并对企业员工的访问权限进行管控。

image

操作步骤

步骤一:配置身份源和用户组

身份源主要是为企业员工提供身份认证功能,SASE支持第三方和自建的身份认证系统。目前支持LDAP、钉钉、企业微信、飞书、IDaaS、自定义身份源。如果您的业务涉及多种身份源,可以一次性配置多种身份源信息(即多身份源),以便于您以不同的身份源使用SASE服务。

本文为了快速验证功能,以自定义身份源为例为您介绍。

  1. 登录办公安全平台控制台。在左侧导航栏,选择身份认证管理 > 身份接入

  2. 在身份接入页面,单击身份源管理页签,定位到自定义身份源,单击操作列的编辑,按照如下信息配置自定义身份源。

    配置项

    说明

    示例值

    电脑设备登录方式

    支持账号密码登录无密码登录

    • 使用账号密码登录方式时,您可以开启双因素认证,取值:

      • OTP认证:开启OTP认证后,您还要选择OTP令牌模式,目前支持如下三种模式:

        • 允许SASE移动端展示令牌:即SASE自带OTP,需要员工安装SASE移动端App。

        • 允许第三方App令牌:需确保OTP客户端时钟同步正常,目前支持标准及常见的OTP认证软件,例如阿里云App等。

        • 允许企业自有令牌:若需兼容企业自研OTP,请在技术人员支持下进行配置。

      • 验证码认证:开启验证码认证后,您还需要选择认证方式,目前支持如下两种方式:

        • 短信验证:需确保配置的身份源中每个用户都已录入手机号。

        • 邮箱验证:需确保配置的身份源中每个用户都已录入邮箱。

    • 使用无密码登录方式时,需要先下载并登录SASE移动端App,然后进行扫码认证。

    账号密码登录

    移动设备登录方式

    支持账号密码登录指纹或人脸识别认证

    使用指纹或人脸识别认证方式时,首次登录SASE App时仍需要输入账号名与密码。

    账号密码登录

    image

  3. 用户组管理页签,单击添加用户组,添加用户后单击确定

    用户信息包含用户名、部门、邮箱、手机号等。

    image

步骤二:配置内网业务应用资源

企业办公应用是为企业员工办公所使用的内部应用、服务器或数据库等IT资源,无需企业员工配置公网地址。企业员工需使用安装了SASE App的办公设备,并通过身份与安全策略校验,便可以访问对应的局域网应用或资源。

  1. 在左侧导航栏,选择内网访问 > 应用管理

  2. 办公应用页面的自定义标签区域,单击添加,设置标签名称,然后单击确定

    自定义标签最多支持100个。

  3. 单击添加应用,根据如下步骤配置应用。

    如果您的业务存在用于解析企业内网网段的DNS服务器,您可以单击内网DNS配置,在DNS地址对话框手动填写默认DNS服务自定义DNS服务。默认DNS组(1个DNS组最多可以添加2个DNS服务器IP)会作为企业主DNS下发到SASE安全客户端,企业员工可在客户端上自行切换DNS组以便满足办公时特殊的访问需求。

    如果您不配置DNS服务,SASE会默认为您配置阿里云DNS服务器用于企业内网网段的DNS解析。如果业务配置了云解析PrivateZone时,优先使用PrivateZone进行IP或者域名解析。

    1. 手动配置页签,根据如下表格说明设置基础配置参数。

      配置项

      说明

      示例值

      应用名称

      内网应用的名称。

      长度为1~128个字符,支持输入汉字、字母、数字、中划线(-)、下划线(_)和半角句号(.)。

      考勤管理应用

      描述

      内网应用的说明。

      企业员工的考勤管理地址

      标签

      应用的自定义标签,方便您对应用进行分类、搜索和管理。

      OA系统

      状态

      应用的访问权限。取值:

      • 启用:表示应用处于可服务状态。

      • 禁用:表示应用处于不可服务状态。

      启用

    2. 单击下一步,根据如下表格说明设置应用地址信息。

      配置项

      说明

      示例值

      应用地址

      应用的内网访问地址。支持使用IP、IP段、域名和泛域名的方式定义企业应用或资源。您可根据应用的实际情况,设置应用的多个内网访问地址。

      10.10.XX.XX

      端口

      应用使用的端口号或者端口段。

      80~200

      协议

      应用的协议类型。取值:全部协议TCP协议UDP协议

      全部

    image.png

步骤三:打通网络通道

在打通网络通道之前,您需要先确认当前的业务部署情况,根据业务部署选择合适的打通方案。

业务部署环境

解决方案

配置环境准备

企业的业务资源部署在阿里云上

通过网络配置功能实现指定阿里云VPC资源与SASE终端用户的网络互通。

网络配置 > 阿里云业务页面,开启目标业务服务器所在VPC的网络打通开关。

办公电脑要求:

  • Windows(64位、32位、.msi 64位、.msi 32位)适用于Win7及以上

  • macOS适用于macOS 10.10及以上

  • Linux适用于Ubuntu 18.04及以上、UOS

企业的业务资源部署在非阿里云环境(例如AWS、腾讯云等),且业务组网已经部署的阿里云VBR、CCN、VPN网关

通过阿里云提供的网络通道专线、SAG、IPsecVPN,实现SASE终端访问非阿里云环境的业务资源。

网络配置 > 非阿里云业务 > 云上网络实例页签,配置回源VPC并开启网络打通开关即可。

办公电脑要求:

  • Windows(64位、32位、.msi 64位、.msi 32位)适用于Win7及以上

  • macOS适用于macOS 10.10及以上

  • Linux适用于Ubuntu 18.04及以上、UOS

企业的业务资源部署在非阿里云环境

SASE提供连接器(connector)功能与您的非阿里云网络环境组网连接,实现使用SASE App访问非阿里云环境的业务。

该方式不需要依赖其他网络产品即可实现业务组网的访问。

网络配置 > 非阿里云业务 > 连接器列表页签,手动添加SASE连接器,然后执行命令部署连接器并确保已开启连接器实例开关。

办公电脑要求:

  • Windows(64位、32位、.msi 64位、.msi 32位)适用于Win7及以上

  • macOS适用于macOS 10.10及以上

  • Linux适用于Ubuntu 18.04及以上、UOS

本地连接器安装部署的服务器要求:

  • 虚拟机或服务器配置:

    • CPU:4核

    • 内存:8 GB

    • 磁盘:40 GB

    • 操作系统:CentOS7版本及以上

  • 网络配置:可以访问公网。如果存在防火墙配置,需要放行部署的服务器或虚拟机出方向443、8000端口。

  • 规格限制:200 MB流量转发。

  • 端口说明:请确保9000~9010未被占用。

本文以企业的业务资源部署在非阿里云环境为例,为您详细介绍如何打通网络通道。

  1. 在左侧导航栏,选择内网访问 > 网络配置

  2. 网络配置页面,单击非阿里云业务

  3. 添加连接器并关联应用。

    1. 连接器列表页签,单击添加连接器

      最多支持添加5个连接器。

    2. 添加连接器面板,根据实际业务配置相关参数。然后单击确定

      配置项

      说明

      示例值

      地域

      连接器的地域。为保障访问质量,建议选择与您服务器距离最近的地域。

      北京

      实例名称

      连接器的名称。

      某公司接入内网访问连接器

      实例开关

      只有实例开关为开启状态时,SASE终端用户才可以访问连接器关联的应用。

      重要

      关闭实例开关,会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。

      已启用

      image

  4. 安装并部署连接器。

    在部署连接器之前,您可以单击操作部署,在部署面板获取部署连接器的详细命令。

    1. root用户登录待部署的服务器或者虚拟机,执行如下命令下载连接器。

      wget 'https://sase-app.oss-cn-hangzhou.aliyuncs.com/connector/install_connector.latest.sh' -O /tmp/install_connector.sh
    2. 执行如下命令修改权限。

      chmod a+x /tmp/install_connector.sh
    3. 执行如下命令安装连接器。

      sudo /tmp/install_connector.sh 163710033944**** 1404F395-6456D8CE-B02D4B20-0DFB**** connector-97861d0d3b91****
      说明

      其中,163710033944****是当前的阿里云账号UID;1404F395-6456D8CE-B02D4B20-0DFB****是SASE生成的授权License;connector-97861d0d3b91****是创建的连接器实例ID。

    4. 执行如下命令启动连接器。

      sudo systemctl start aliyun_sase_connector

      image.png

步骤四:创建零信任访问策略

零信任策略帮助您管控企业员工、企业合作伙伴对应用和资源的访问权限。创建零信任策略的过程,就是将企业用户组和业务应用进行资源权限划分,系统默认会有一条禁止所有访问的策略,您需要配置放行策略,将不同的资源分配给不同的用户组。

  1. 在左侧导航栏,选择内网访问 > 零信任策略

  2. 零信任策略页面,单击添加策略

  3. 添加策略面板,根据如下参数说明设置基础信息,然后单击确定

    目前创建配置零信任策略的数量不限制,您可以根据实际业务需要,创建多条零信任策略。

    配置项

    说明

    示例值

    策略名称

    添加零信任策略的名称。

    长度为2~100个字符,支持输入汉字、字母、数字、中划线(-)和下划线(_)。

    考勤管理应用放行策略

    描述

    零信任策略的说明。

    所有用户可以访问考勤管理应用

    优先级

    设置策略的优先级。最高优先级为1,新创建策略的优先级取值上限即当前账号下配置的零信任策略条数+1。例如,当前账号已配置的零信任策略条数为17,此时新创建的策略优先级的取值范围:1~18。

    在策略存在冲突的情况下,优先级高的策略生效。

    1

    动作

    设置策略的访问权限。取值:

    • 允许访问:表示该条策略是允许用户或者终端访问指定应用。

    • 禁止访问:表示该条策略是拒绝用户或者终端访问指定应用。

    允许访问

    生效用户

    设置策略生效的用户组,即零信任策略针对指定用户组的终端设备生效。SASE对命中策略的访问行为进行相应的处理,即放行或者拦截该访问行为。

    单击添加,用户组页签,选择生效的用户组。如果当前用户组不能满足您的需求,可以在自定义用户组页签重新配置用户组。关于如何配置用户组,请参见配置用户组

    某公司所有员工

    已选应用

    根据动作中设置的允许访问或者禁止访问的应用。

    单击添加,在标签页签,根据配置的标签选择指定的应用。您也可以在应用页签,直接选择应用。

    考勤管理应用

    安全基线

    选择满足企业办公的安全基线模板。

    -

    策略状态

    为策略设置生效状态。

    已启用

    image.png

步骤五:验证配置是否成功

  1. 打开SASE App,输入企业认证标识,然后单击确定

    您可以在办公安全平台设置页面,配置企业认证标识

  2. 使用邮箱或者手机接收到的初始账号名称和密码进行登录。

  3. 单击连接内网

  4. 访问企业考勤管理应用。

    如果能够成功访问,表示您已配置成功。