文档

配置终端接入点

更新时间:

SASE服务自带SaaS接入点,作为企业初始化接入点帮助企业接入网络。同时SASE服务也支持企业在办公区、数据中心或其他云服务上部署企业的专属接入点,解决企业员工在办公区时访问企业应用的零信任权限管理问题。本文介绍如何管理SaaS接入点和配置专属接入点,以及如何配置终端接入策略。

配置终端接入点

SASE采用SD-WAN的组网技术,SASE App可以智能识别并连接最近的接入点,以保证企业员工的办公使用体验。

SaaS接入点

开通内网访问安全功能后,SaaS的所有接入点开关默认开启。当前内网访问安全VPN版和基础版默认有5个国内接入点,内网访问安全高级版默认包含5个国内接入点和4个国外接入点。

您可以根据实际业务,自定义配置需要使用的接入点。

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,选择内网访问 > 终端接入

  3. 接入点管理 > SaaS接入点页面,查看当前SASE服务自带的SaaS接入点信息。

  4. 定位到目标接入点,在接入点开关列,开启或者关闭接入点。

    单击目标接入点操作详情,可查看接入点地址以及接入点的名称及配置信息,也可以修改接入点的名称。

专属接入点

专属接入点相比SaaS接入点的优势在于您可以将专属接入点部署在您所在区域的服务器,在办公区办公时也可以使用细粒度的零信任管理策略。

仅内网访问高级版支持配置专属接入点。如果您需要升级版本,请参见办公安全平台计费概述

专属接入点部署的服务器要求

配置专属接入点需要企业自备专属接入点部署的服务器,且服务器规格需满足如下条件:

  • 操作系统:CentOS 7版本及以上、Ubuntu 18.04版本及以上、Debian 12版本及以上并禁用SELinux。

  • CPU:4核

  • 单台服务台支撑接入带宽:400 Mbps

  • 内存:8 GB

说明

一个专属接入点支持多个服务器(物理机或虚拟机)上部署,以实现接入点的高可用性,避免单点故障。

步骤一:添加专属接入点

  1. 接入点管理 > 专属接入点页签,单击添加专属接入点

  2. 添加专属接入点面板,配置如下信息,然后单击确定

    配置项

    说明

    中文接入点名称

    设置专属接入点的中文名称。

    英文接入点名称

    设置专属接入点的英文名称。

    接入点所在地区

    设置专属接入点所在地区。可选范围:中国内地或者非中国内地。

    接入点地址配置

    支持配置公网接入地址和私网接入地址。您可以根据实际业务进行配置。

    配置公网接入地址

    • 公网接入地址

      企业员工通过远程或者居家办公时,使用SASE App会自动通过公网域名连接专属接入点,经过零信任策略的权限验证后,专属接入点会将接入流量转发至目标办公应用。

      重要

      使用前请确认专属接入点所在服务器的IP地址可以访问企业的办公应用。

    • 证书内容

      上传公网地址的证书内容。证书文件支持.crt、.pem。

    • 私钥内容

      上传证书的私钥内容。私钥文件支持.key、.pem。

    配置私网接入地址

    • 私网接入地址

      企业员工在办公区办公时,使用SASE App会自动通过私网域名连接专属接入点,经过零信任策略的权限验证后,专属接入点会将接入流量转发至目标办公应用。

      重要

      使用前请确认专属接入点所在服务器的私网IP地址可以访问企业的办公应用,若开启此配置建议所有办公应用都只放行接入点服务器的私网IP。

    • 证书内容

      上传公网地址的证书内容。证书文件支持.crt、.pem。

    • 私钥内容

      上传证书的私钥内容。私钥文件支持.key、.pem。

    端口

    填写接入点地址的端口号。

    状态

    设置专属接入点的开启状态。只有已启用状态的专属接入点才可以被企业员工使用。

步骤二:在服务器上部署专属接入点

  1. 接入点管理 > 专属接入点页签,定位到已添加的专属接入点,单击右侧操作部署

  2. 部署服务器页签,复制部署命令并在服务器上部署专属接入点。

    部署完成后,需要您手动在部署服务器的DNS解析上添加域名解析记录。

    SASE还为您提供了在服务器上升级和卸载专属接入点的命令,如果您有业务需要,可以按照提供的命令升级或者卸载。

    部署成功后,您可以通过专属接入点,使用公网访问服务器。这种组网搭建业务数据不经过SASE,但是日志会上报给SASE。

    如果您不想业务服务器的公网地址暴露,可以修改网络组网,将接入点配置在一个可以暴露公网的服务器上,从而将公网和业务网络进行安全隔离。这种情况下,您需要创建SASE连接器并打通专属接入点与SASE连接器的网络通道(如下步骤三)。具体操作,请参见使用SASE连接器

步骤三:打通专属接入点与SASE连接器的网络通道

  1. 接入点管理 > 专属接入点页签,定位到已添加的专属接入点,单击右侧操作部署

  2. 关联服务器页签,开启关联服务器开关。

  3. 配置SASE连接器所在服务器与专属接入点所在服务器的反向连接端口。

    默认指定专属接入点的连接端口为9813,如果该端口已被业务占用,您可以重新指定反向连接端口。

  4. 配置与SASE连接器所在服务器通信的专属接入点所在服务器的IP地址。

    建议您优先使用内网IP进行通信。如果需要使用公网IP通信,需设置访问控制策略,只放行专属接入点所在服务器与SASE连接器所在服务器的公网通信IP。

    如果您的业务组网中存在多个业务服务器,且每个业务服务器都配置了SASE连接器,需要配置每个业务服务器的IP地址。

  5. 单击确定

    配置完成后,您可以在专属接入点列表查看接入点状态及信息。

配置终端接入策略

SASE会为您内置一条授权SASESASE自带的中国内地接入点策略,且策略状态为开启状态。如果您已授权开启全球办公的接入点,SASE内置的终端接入策略中也会包含全球办公的接入点。

如果内置的接入点策略不满足您的业务需求,也可以自定义终端接入策略。

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,选择内网访问 > 终端接入

  3. 策略管理页面,单击添加策略

  4. 新增策略面板,配置如下信息,然后单击确定

    配置项

    说明

    策略名称

    设置终端接入策略的名称。

    长度为1~64个字符,支持输入汉字、字母、数字、中划线(-)、下划线(_)和半角句号(.)。

    授权接入点

    设置生效用户允许访问的接入点。

    备用接入点

    添加备用接入点。备用接入点默认不展示,当授权接入点延迟均为500 ms以上时会启用。

    策略状态

    设置终端接入策略的开启状态。只有已开启状态的策略才能生效。

其他操作

如果您的服务器已经卸载了专属接入点,您可以单击删除,删除目标专属接入点。

后续步骤

企业员工登录SASE App,选择网络接入点,连接内网访问。具体操作,请参见开启或关闭内网访问的安全防护

相关文档

关于如何授权开启全球办公的接入点,请参见打通全球办公的网络通道