文档

如何快速搭建安全的内网办公环境

更新时间:

如果企业为了办公数据的安全性,将业务应用部署在私网网段上,此时为了让企业异地办公场景下企业员工能够安全地访问业务应用,可以使用SASE为您打通办公网络,为企业搭建一个内网办公环境。本文为您介绍如何快速搭建一个内网办公环境。

场景示例

A公司的业务应用部署在阿里云杭州ECS的私网网段(10.0.216.224)上,ECS所在的VPC名称为VPC_test1,A公司研发一部的所有员工在上海分公司办公。此时企业需要通过SASE内网访问功能,实现研发一部所有员工能够访问杭州私网网段的业务应用。

前提条件

已在华东1(杭州)地域,创建了业务需使用的专有网络 VPC云服务器 ECS,且在ECS的私网网段上部署了企业的业务应用。

如果您当前没有部署业务应用,可以按照如下操作进行应用部署。

准备工作

购买的ECS实例必须满足以下条件:

  • 实例已分配公网IP地址或绑定弹性公网IP(EIP)。

  • 操作系统必须为CentOS 7.x。

  • 实例安全组的入方向规则已放行22、80、443端口。具体操作,请参见添加安全组规则

根据以上要求,本示例准备的ECS:公网IP为47.110.XX.XX,私网IP为10.0.216.224。

image.png

操作步骤

  1. 远程连接需要部署的ECS实例。具体操作,请参见ECS远程连接方式概述

  2. 运行以下命令,安装Nginx。

    sudo yum -y install nginx
  3. 运行以下命令,查看Nginx版本。

    nginx -v

    返回结果类似如下所示,表示Nginx安装成功。

    nginx version: nginx/1.20.1
  4. 运行以下命令,启动Nginx服务。

    service nginx start

步骤一:配置自定义身份源

本文为了快速验证功能,以自定义身份源为例为您介绍。

  1. 登录办公安全平台控制台。在左侧导航栏,选择身份认证管理 > 身份接入

  2. 身份源管理页签,定位到默认启用的自定义身份源,单击编辑,按照如下信息配置自定义身份源。然后单击确定

    电脑设备登录方式:账号密码登录

    移动设备登录方式:账号密码登录

  3. 在身份源列表,定位到已创建的自定义身份源,单击用户管理

  4. 用户管理面板,单击添加用户,按照如下信息添加企业员工信息。然后单击确定

    因为SASE下发策略是按照用户组下发的,所以需要先为企业先创建部门,然后为该部门添加企业用户。

    待添加的企业员工信息包含用户名部门邮箱手机号备注等。您配置邮箱和手机号后,为用户生成的初始用户名和密码会发送到您的邮箱或手机。

    本示例创建的部门为A公司研发一部,该部门有两名员工,分别是开发人员1和开发人员2。

步骤二:配置内网业务应用资源

  1. 在左侧导航栏,选择内网访问 > 应用管理

  2. 办公应用页面,单击添加应用,按照如下信息配置应用。然后单击确定。

    名称:A公司内网应用

    访问控制:启用

    应用地址:选择设置应用的IP,填写10.0.216.224

    端口:1~65535

    协议:全部协议

步骤三:打通阿里云业务的网络通道

  1. 在左侧导航栏,选择内网访问 > 网络配置

  2. 阿里云业务 > VPC实例(未关联CEN)页签,定位到企业使用的业务VPC,开启网络打通开关。

步骤四:创建零信任访问策略

由于SASE默认会配置一条禁止所有访问的策略,所以您需要为指定员工配置放行策略,允许员工访问内网应用。

  1. 在左侧导航栏,选择内网访问 > 零信任策略

  2. 零信任策略页面,单击添加策略

  3. 添加策略面板,按照如下信息配置放行策略,然后单击确定

    策略名称A公司内网应用放行策略

    优先级1

    动作允许访问

    生效用户单击添加,在自定义用户组页签,配置组织架构等于A公司研发一部

    已选应用:单击添加,在应用页签,选择A公司内网应用

    策略状态:已启用

步骤五:验证配置是否成功

  1. 打开SASE App,输入企业认证标识,然后单击确定

    您可以在办公安全平台设置页面,配置企业认证标识

  2. 使用邮箱或者手机接收到的初始账号名称和密码进行登录。

  3. 单击连接内网

  4. 访问企业考勤管理应用(http://10.0.216.224)。

    如果能够成功访问,表示您已配置成功。