文档

为公网应用配置专属回源服务

更新时间:

当企业的办公应用可通过公网访问,企业对公网应用配置了白名单机制,例如通过ECS安全组或者云防火墙的访问控制策略,只允许特定的IP段访问该应用。这种场景下,SASE会自动分配公用的回源IP(指SASE代理客户端请求源站服务器时使用的IP地址)。如果企业有更高的安全需求,可以配置专属回源服务,获取企业独享的IP地址用于回源。本文介绍如何配置专属回源服务。

前提条件

  • 已开通SASE内网访问安全高级版。具体操作,请参见计费概述

  • 企业对公网应用地址配置了白名单机制。例如通过ECS安全组的能力,只允许企业员工访问该应用。

  • 确保指定地域的阿里云业务网络打通。具体操作,请参见打通阿里云业务的网络通道

重要

关闭关联VPC的网络打通或删除关联VPC都会导致专属回源服务失效,影响您的业务。

步骤一:配置专属回源服务

若企业公网应用部署在同一地域,则在公网应用所在地域开通专属回源服务;若企业公网应用分散部署在多个地域,则在所有地域开通专属回源服务。

  1. 登录办公安全平台控制台在左侧导航栏,选择内网访问 > 网络配置

  2. 单击专属回源服务,在添加专属回源对话框,选择待关联VPC所在的地域,并关联VPC,将状态设置为开启。

  3. 单击确定

    添加完成后,SASE会自动为您分配两个独享的公网访问IP地址用于回源。您可以在专属回源列表中查看分配的独享回源IP。

    image.png

步骤二:放行分配的回源IP

您需要在您的网络部署中放行SASE为您分配的企业独享IP地址。

由于SASE零信任网关会通过分配的独享公网访问IP地址与您的办公应用通信,在应用所在的源站服务器看来,配置SASE专属回源服务后,所有请求来源IP都会变成SASE为您分配的独享回源IP,从而隐藏真实的客户端IP。且您的公网应用地址配置了白名单机制,如果不放行专属回源IP,就会导致客户端访问源站服务器的网络不通。

后续步骤

网络打通后,您需要配置企业员工可访问的业务应用。详细信息,请参见配置办公应用配置零信任策略

相关文档