如果企业为了办公数据的安全性,将业务应用部署在私网网段上,此时为了让企业异地办公场景下企业员工能够安全地访问业务应用,可以使用SASE为您打通办公网络,为企业搭建一个内网办公环境。本文为您介绍如何快速搭建一个内网办公环境。
场景示例
A公司的业务应用部署在阿里云杭州ECS的私网网段(10.0.216.224)上,ECS所在的VPC名称为VPC_test1,A公司研发一部的所有员工在上海分公司办公。此时企业需要通过SASE内网访问功能,实现研发一部所有员工能够访问杭州私网网段的业务应用。
前提条件
已在华东1(杭州)地域,创建了业务需使用的专有网络 VPC和云服务器 ECS,且在ECS的私网网段上部署了企业的业务应用。
准备工作
购买的ECS实例必须满足以下条件:
实例已分配公网IP地址或绑定弹性公网IP(EIP)。
操作系统必须为CentOS 7.x。
实例安全组的入方向规则已放行22、80、443端口。具体操作,请参见添加安全组规则。
根据以上要求,本示例准备的ECS:公网IP为47.110.XX.XX,私网IP为10.0.216.224。
操作步骤
远程连接需要部署的ECS实例。具体操作,请参见ECS远程连接方式概述。
运行以下命令,安装Nginx。
sudo yum -y install nginx运行以下命令,查看Nginx版本。
nginx -v返回结果类似如下所示,表示Nginx安装成功。
nginx version: nginx/1.20.1运行以下命令,启动Nginx服务。
service nginx start
步骤一:配置自定义身份源
本文为了快速验证功能,以自定义身份源为例为您介绍。
登录办公安全平台控制台。在左侧导航栏,选择。
在身份源管理页签,定位到默认启用的自定义身份源,单击编辑,按照如下信息配置自定义身份源。然后单击确定。
电脑设备登录方式:账号密码登录
移动设备登录方式:账号密码登录
在身份源列表,定位到已创建的自定义身份源,单击用户管理。
在用户管理面板,单击添加用户,按照如下信息添加企业员工信息。然后单击确定。
因为SASE下发策略是按照用户组下发的,所以需要先为企业先创建部门,然后为该部门添加企业用户。
待添加的企业员工信息包含用户名、部门、邮箱、手机号、备注等。您配置邮箱和手机号后,为用户生成的初始用户名和密码会发送到您的邮箱或手机。
本示例创建的部门为A公司研发一部,该部门有两名员工,分别是开发人员1和开发人员2。
步骤二:配置内网业务应用资源
在左侧导航栏,选择。
在办公应用页面,单击添加应用,按照如下信息配置应用。然后单击确定。
名称:A公司内网应用
应用地址:选择设置应用的IP,填写10.0.216.224
端口:1~65535
协议:全部协议
步骤三:打通阿里云业务的网络通道
在左侧导航栏,选择。
在页签,定位到企业使用的业务VPC,开启网络打通开关。
步骤四:创建零信任访问策略
由于SASE默认会配置一条禁止所有访问的策略,所以您需要为指定员工配置放行策略,允许员工访问内网应用。
在左侧导航栏,选择。
在零信任策略页面,单击添加策略。
在添加策略面板,按照如下信息配置放行策略,然后单击确定。
策略名称:A公司内网应用放行策略
优先级:1
动作:允许访问
生效用户:单击添加,在自定义用户组页签,配置组织架构等于A公司研发一部
已选应用:单击添加,在应用页签,选择A公司内网应用
策略状态:已启用
步骤五:验证配置是否成功
打开SASE App,输入企业认证标识,然后单击确定。
您可以在办公安全平台的设置页面,配置企业认证标识。
使用邮箱或者手机接收到的初始账号名称和密码进行登录。
单击连接内网。
访问企业考勤管理应用(http://10.0.216.224)。
如果能够成功访问,表示您已配置成功。