内网访问安全常见问题

访问一个域名网站，如何配置内网DNS才能正常访问？

• 如果您的业务组网中接入了PrivateZone，则SASE会自动同步PrivateZone的解析数据，您无需在SASE控制台上配置PrivateZone信息。

• 如果您的业务组网中未接入PrivateZone时，您可以配置自定义DNS服务。一个DNS服务可以配置多个服务器IP，如果一个服务器IP解析失败，会将域名解析请求发送到该DNS服务的其他服务器进行解析。

关于SASE域名解析策略以及如何配置自定义DNS服务，请参见应用域名解析。

为何应用配置完成后实际无法正常访问，但是却可以ping通？

终端设备上的ping工具不能作为是否连通的判断依据。因为macOS系统允许所有的网段ping通，Windows系统只允许198.18和198.19这两个网段ping通。

所以建议您使用Telnet.nc或其他命令作为连通的判断依据。

部分Windows电脑无法正常访问内网的域名业务，是什么原因？

一般情况下出现这种问题的电脑大部分是Windows 11系统。因为Windows 11系统的浏览器有安全DNS配置，需要关掉安全DNS才可以正常访问。如果Windows11系统DNS配置被安全软件或者是手动修改成使用DoH，需要改成非加密的模式。

内网访问不通，应该如何排查？

在日志审计页面查看是否有对应的访问日志，查看对应日志的放行动作，判断是放行还是阻断。

• 如果动作为阻断，查看阻断的原因。一般包含未配置应用、未分配访问权限、终端安全基线不合规等，根据提示原因修改配置。

• 如果动作为放行，在内网访问 > 网络配置页面，查看应用所在的网络是否已经打通。

  如果应用部署在阿里云，查看对应VPC或CEN是否打通。

  如果应用部署在非阿里云，查看对应的专线是否打通，SASE连接器是否已经关联了对应的应用。

在哪里下载connector组件？

在连接器管理页面复制命令执行即可。具体操作，请参见打通非阿里云业务的网络通道。