配置办公应用

在使用SASE内网访问之前,您需要将企业办公应用的IP地址或域名地址配置到SASE办公应用中。只有已配置的办公应用,企业员工才能通过SASE App进行访问。本文介绍支持添加的应用类型,如何添加办公应用以及应用域名的解析策略。

支持添加的办公应用类型

  • 使用私网IP或者私网域名可访问的应用

    企业私网应用是为企业员工办公所使用的内部应用服务、服务器或数据库等IT资源,只允许特定用户访问该应用。

  • 使用公网IP或者公网域名可访问的应用(已配置白名单访问机制)

    企业对公网应用地址配置了白名单访问机制,例如通过ECS安全组或者云防火墙的访问控制策略,只允许特定的IP段访问该应用。

添加办公应用

当您将企业办公应用添加到SASE上,基于对所有应用采用零信任的安全原则,SASE默认创建一条禁止所有访问的策略。所以您在添加应用后,还需要配置对应用访问的放行策略。具体操作,请参见配置零信任策略

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,选择内网访问 > 应用管理

  3. 办公应用页面,单击添加应用,根据如下步骤配置应用。

    支持手动配置和批量导入两种方式:

    • 手动配置

      1. 手动配置页签,根据如下表格说明设置基础配置参数。

        配置项

        说明

        应用名称

        应用的名称。

        长度为2~100个字符,支持输入汉字、字母、数字、中划线(-)、下划线(_)和半角句号(.)。

        标签

        应用的自定义标签,方便您对应用进行分类、搜索和管理。

        说明

        您可以添加自定义标签,方便您对应用进行分类、搜索和管理,也可以直接使用系统默认标签。

        状态

        应用的启用或禁用状态。

      2. 单击下一步,根据如下表格说明设置应用地址信息。

        配置项

        说明

        应用地址

        填写待SASE访问的企业办公应用地址、端口信息、及其协议类型。

        应用地址支持以下类型:

        • 如果办公应用地址是精确IP。例如“10.10.XX.XX”。

        • 如果办公应用地址是IP段。例如“10.0.0.0/8”、“172.16.0.0/12”、“192.168.0.0/24”。

        • 如果办公应用地址是精确域名。例如“www.aliyun.com”。

        • 如果办公应用地址是泛域名。例如填写泛域名“*.aliyun.com”,则根据您填写的端口信息匹配“*.aliyun.com”的子域名,确定SASE可以访问该泛域名下的某些子域名。

        端口号的填写方式如下:

        • 如果办公应用使用的端口号是连续的,您可以配置端口号的范围。例如80~8080端口,表示80~8080的全闭合区间。

        • 如果办公应用使用的端口号是不连续的,您可以添加多个端口号。例如80、8080。

        • 如果办公应用使用的是一个端口号,您只需要将起始端口写一样即可。例如80。

        支持应用的协议类型:

        • TCP协议

        • UDP协议

        端口

        协议

        高级设置 > web应用访问加固

        如果您需要对Web应用的访问流量进行安全校验或者访问溯源,可以配置如下安全加固策略。

        • 安全校验

          针对Host请求头进行检测,防止恶意绕过

        • 访问溯源

          HTTP header中增加用户名等信息用于访问溯源

    • 批量导入

      1. 批量导入页签,单击模板下载

      2. 单击上传本地文件,上传已填写的模板文件。

        说明

        支持XLSX文件,文件的上限为100 MB。

  4. 单击确定

    创建成功的企业办公应用会在应用列表显示。

应用域名解析

域名解析策略

  1. 企业员工(内网访问终端用户)发起域名解析请求,优先去云解析 PrivateZone(Alibaba Cloud DNS PrivateZone)进行域名解析记录查询,并返回解析结果。

    说明

    如果您的业务组网中接入了PrivateZone,则SASE会自动同步PrivateZone的解析数据,您无需在SASE控制台上配置PrivateZone信息。关于PrivateZone的详细介绍,请参见内网DNS解析简介

  2. 若域名解析请求未在PrivateZone内获取到解析结果,则判断是否配置了自定义DNS解析(默认DNS服务其他DNS服务),若配置了则将此请求转发至自定义DNS解析,并返回解析结果。

    • 如果企业员工未在SASE App上切换DNS服务,则使用默认DNS服务来解析域名。

    • 如果企业员工在SASE App上切换到指定DNS服务,则使用指定的DNS服务来解析域名。

  3. 若未配置自定义DNS解析,则此域名解析请求会发送至ECS实例配置的默认DNS解析,并返回解析结果。

image

配置自定义DNS服务

  1. 办公应用页面,单击内网DNS配置

  2. DNS地址对话框,配置默认DNS服务其他DNS服务

    一个DNS服务可以配置多个服务器IP,如果一个服务器IP解析失败,会将域名解析请求发送到该DNS服务的其他服务器进行解析。

    image.png

为办公应用添加白名单

什么情况下需要为应用添加白名单

如果业务中无需对个别办公应用的网络流量进行安全分析与审计,可以通过白名单配置,将该应用的IP或者域名地址加入内网访问白名单。加入白名单后,该应用的网络流量不经过SASE

例如,您在办公应用管理中配置了泛域名*.abc.com,但是子域名123.abc.com的业务流量因为企业认为是安全的,无需SASE分析与审计,则可以为子域名123.abc.com配置白名单。

配置办公应用白名单

支持对需要加白的应用IP或者域名添加到办公应用白名单,可添加多个办公应用,例如添加多个IP或者IP段、多个域名或者通配符域名。关于白名单配置的详细操作,请参见配置内网访问白名单

删除和编辑办公应用

您可以根据实际情况,执行如下操作:

  • 编辑:单击详情,在详情面板,查看指定的企业办公应用信息,或者修改应用信息。

  • 删除:单击删除,删除指定的企业办公应用。

    重要

    企业办公应用被删除后,企业员工将无法访问该应用。请谨慎操作。

相关文档

  • 对添加的办公应用创建放行策略。具体操作,请参见配置零信任策略

  • 如果企业员工在您可信的区域内办公,您无需对员工访问办公应用的流量进行分析和审计时,您可以配置可信办公区。具体操作,请参见配置办公区识别