文档

内网访问安全常见问题

更新时间:

本文梳理了SASE内网访问安全的常见问题,如果您的业务中遇到相关问题可以参考解决。

访问一个域名网站,如何配置内网DNS才能正常访问?

  • 如果您的业务组网中接入了PrivateZone,则SASE会自动同步PrivateZone的解析数据,您无需在SASE控制台上配置PrivateZone信息。

  • 如果您的业务组网中未接入PrivateZone时,您可以配置自定义DNS服务。一个DNS服务可以配置多个服务器IP,如果一个服务器IP解析失败,会将域名解析请求发送到该DNS服务的其他服务器进行解析。

关于SASE域名解析策略以及如何配置自定义DNS服务,请参见应用域名解析

为何应用配置完成后实际无法正常访问,但是却可以ping通?

终端设备上的ping工具不能作为是否连通的判断依据。因为macOS系统允许所有的网段ping通,Windows系统只允许198.18和198.19这两个网段ping通。

所以建议您使用Telnet.nc或其他命令作为连通的判断依据。

部分Windows电脑无法正常访问内网的域名业务,是什么原因?

一般情况下出现这种问题的电脑大部分是Windows 11系统。因为Windows 11系统的浏览器有安全DNS配置,需要关掉安全DNS才可以正常访问。如果Windows11系统DNS配置被安全软件或者是手动修改成使用DoH,需要改成非加密的模式。

内网访问不通,应该如何排查?

日志审计页面查看是否有对应的访问日志,查看对应日志的放行动作,判断是放行还是阻断。

  • 如果动作为阻断,查看阻断的原因。一般包含未配置应用、未分配访问权限、终端安全基线不合规等,根据提示原因修改配置。

  • 如果动作为放行,在内网访问 > 网络配置页面,查看应用所在的网络是否已经打通。

    如果应用部署在阿里云,查看对应VPC或CEN是否打通。

    如果应用部署在非阿里云,查看对应的专线是否打通,SASE连接器是否已经关联了对应的应用。

在哪里下载connector组件?

连接器管理页面复制命令执行即可。具体操作,请参见打通非阿里云业务的网络通道

  • 本页导读 (1)