当企业的办公应用可通过公网访问,企业对公网应用配置了白名单机制,例如通过ECS安全组或者云防火墙的访问控制策略,只允许特定的IP段访问该应用。这种场景下,SASE会自动分配公用的回源IP(指SASE代理客户端请求源站服务器时使用的IP地址)。如果企业有更高的安全需求,可以配置专属回源服务,获取企业独享的IP地址用于回源。本文介绍如何配置专属回源服务。
前提条件
已开通SASE内网访问安全高级版。具体操作,请参见办公安全平台计费概述。
企业对公网应用地址配置了白名单机制。例如通过ECS安全组的能力,只允许企业员工访问该应用。
确保指定地域的阿里云业务网络打通。具体操作,请参见打通阿里云业务的网络通道。
关闭关联VPC的网络打通或删除关联VPC都会导致专属回源服务失效,影响您的业务。
步骤一:配置专属回源服务
若企业公网应用部署在同一地域,则在公网应用所在地域开通专属回源服务;若企业公网应用分散部署在多个地域,则在所有地域开通专属回源服务。
登录办公安全平台控制台。在左侧导航栏,选择 。
在专属回源服务页签,单击添加专属回源服务,选择待关联VPC所在的地域,并关联VPC,将状态设置为开启。
单击确定。
添加完成后,SASE会自动为您分配两个独享的公网访问IP地址用于回源。您可以在专属回源列表中查看分配的独享回源IP。
步骤二:放行分配的回源IP
您需要在您的网络部署中放行SASE为您分配的企业独享IP地址。
由于SASE零信任网关会通过分配的独享公网访问IP地址与您的办公应用通信,在应用所在的源站服务器看来,配置SASE专属回源服务后,所有请求来源IP都会变成SASE为您分配的独享回源IP,从而隐藏真实的客户端IP。且您的公网应用地址配置了白名单机制,如果不放行专属回源IP,就会导致客户端访问源站服务器的网络不通。
后续步骤
相关文档
如果您配置应用后,需要针对个别IP的流量放行,可以配置应用白名单。具体操作,请参见配置办公应用白名单。
如果您的业务应用部署在阿里云的网络资源上,请参见打通阿里云业务的网络通道。
如果您的业务应用部署在非阿里云的网络资源上,请参见打通非阿里云业务的网络通道。
如果需要解决全球办公场景,请参见打通全球办公的网络通道。