SASE服务自带SaaS接入点,作为企业初始化接入点帮助企业接入网络。同时SASE服务也支持企业在办公区、数据中心或其他云服务上部署企业的专属接入点,解决企业员工在办公区时访问企业应用的零信任权限管理问题。本文介绍如何管理SaaS接入点和配置专属接入点,以及如何配置终端接入策略。
配置终端接入点
SASE采用SD-WAN的组网技术,SASE App可以智能识别并连接最近的接入点,以保证企业员工的办公使用体验。
SaaS接入点
开通内网访问安全功能后,SaaS的所有接入点开关默认开启。当前内网访问安全VPN版和基础版默认有5个国内接入点,内网访问安全高级版默认包含5个国内接入点和4个国外接入点。
您可以根据实际业务,自定义配置需要使用的接入点。
登录办公安全平台控制台。
在左侧导航栏,选择 。
在SASE服务自带的SaaS接入点信息。
页面,查看当前定位到目标接入点,在接入点开关列,开启或者关闭接入点。
单击目标接入点操作列详情,可查看接入点地址以及接入点的名称及配置信息,也可以修改接入点的名称。
专属接入点
专属接入点相比SaaS接入点的优势在于您可以将专属接入点部署在您所在区域的服务器,在办公区办公时也可以使用细粒度的零信任管理策略。
仅内网访问高级版支持配置专属接入点。如果您需要升级版本,请参见办公安全平台计费概述。
专属接入点部署的服务器要求
配置专属接入点需要企业自备专属接入点部署的服务器,且服务器规格需满足如下条件:
操作系统:CentOS 7版本及以上、Ubuntu 18.04版本及以上、Debian 12版本及以上并禁用SELinux。
CPU:4核
单台服务台支撑接入带宽:400 Mbps
内存:8 GB
一个专属接入点支持多个服务器(物理机或虚拟机)上部署,以实现接入点的高可用性,避免单点故障。
步骤一:添加专属接入点
在
页签,单击添加专属接入点。在添加专属接入点面板,配置如下信息,然后单击确定。
配置项
说明
中文接入点名称
设置专属接入点的中文名称。
英文接入点名称
设置专属接入点的英文名称。
接入点所在地区
设置专属接入点所在地区。可选范围:中国内地或者非中国内地。
接入点地址配置
支持配置公网接入地址和私网接入地址。您可以根据实际业务进行配置。
配置公网接入地址
公网接入地址
企业员工通过远程或者居家办公时,使用SASE App会自动通过公网域名连接专属接入点,经过零信任策略的权限验证后,专属接入点会将接入流量转发至目标办公应用。
重要使用前请确认专属接入点所在服务器的IP地址可以访问企业的办公应用。
证书内容
上传公网地址的证书内容。证书文件支持.crt、.pem。
私钥内容
上传证书的私钥内容。私钥文件支持.key、.pem。
配置私网接入地址
私网接入地址
企业员工在办公区办公时,使用SASE App会自动通过私网域名连接专属接入点,经过零信任策略的权限验证后,专属接入点会将接入流量转发至目标办公应用。
重要使用前请确认专属接入点所在服务器的私网IP地址可以访问企业的办公应用,若开启此配置建议所有办公应用都只放行接入点服务器的私网IP。
证书内容
上传公网地址的证书内容。证书文件支持.crt、.pem。
私钥内容
上传证书的私钥内容。私钥文件支持.key、.pem。
端口
填写接入点地址的端口号。
状态
设置专属接入点的开启状态。只有已启用状态的专属接入点才可以被企业员工使用。
步骤二:在服务器上部署专属接入点
在
页签,定位到已添加的专属接入点,单击右侧操作列部署。在部署服务器页签,复制部署命令并在服务器上部署专属接入点。
部署完成后,需要您手动在部署服务器的DNS解析上添加域名解析记录。
SASE还为您提供了在服务器上升级和卸载专属接入点的命令,如果您有业务需要,可以按照提供的命令升级或者卸载。
部署成功后,您可以通过专属接入点,使用公网访问服务器。这种组网搭建业务数据不经过SASE,但是日志会上报给SASE。
如果您不想业务服务器的公网地址暴露,可以修改网络组网,将接入点配置在一个可以暴露公网的服务器上,从而将公网和业务网络进行安全隔离。这种情况下,您需要创建SASE连接器并打通专属接入点与SASE连接器的网络通道(如下步骤三)。具体操作,请参见使用SASE连接器。
步骤三:打通专属接入点与SASE连接器的网络通道
在
页签,定位到已添加的专属接入点,单击右侧操作列部署。在关联服务器页签,开启关联服务器开关。
配置SASE连接器所在服务器与专属接入点所在服务器的反向连接端口。
默认指定专属接入点的连接端口为9813,如果该端口已被业务占用,您可以重新指定反向连接端口。
配置与SASE连接器所在服务器通信的专属接入点所在服务器的IP地址。
建议您优先使用内网IP进行通信。如果需要使用公网IP通信,需设置访问控制策略,只放行专属接入点所在服务器与SASE连接器所在服务器的公网通信IP。
如果您的业务组网中存在多个业务服务器,且每个业务服务器都配置了SASE连接器,需要配置每个业务服务器的IP地址。
单击确定。
配置完成后,您可以在专属接入点列表查看接入点状态及信息。
配置终端接入策略
SASE会为您内置一条授权SASESASE自带的中国内地接入点策略,且策略状态为开启状态。如果您已授权开启全球办公的接入点,SASE内置的终端接入策略中也会包含全球办公的接入点。
如果内置的接入点策略不满足您的业务需求,也可以自定义终端接入策略。
登录办公安全平台控制台。
在左侧导航栏,选择 。
在策略管理页面,单击添加策略。
在新增策略面板,配置如下信息,然后单击确定。
配置项
说明
策略名称
设置终端接入策略的名称。
长度为1~64个字符,支持输入汉字、字母、数字、中划线(-)、下划线(_)和半角句号(.)。
授权接入点
设置生效用户允许访问的接入点。
备用接入点
添加备用接入点。备用接入点默认不展示,当授权接入点延迟均为500 ms以上时会启用。
策略状态
设置终端接入策略的开启状态。只有已开启状态的策略才能生效。
其他操作
如果您的服务器已经卸载了专属接入点,您可以单击删除,删除目标专属接入点。
后续步骤
企业员工登录SASE App,选择网络接入点,连接内网访问。具体操作,请参见开启或关闭内网访问的安全防护。
相关文档
关于如何授权开启全球办公的接入点,请参见打通全球办公的网络通道。