在使用SASE內網訪問之前,您需要將企業辦公應用的IP地址或網域名稱地址配置到SASE辦公應用中。只有已配置的辦公應用,企業員工才能通過SASE App進行訪問。本文介紹支援添加的應用類型,如何添加辦公應用以及應用網域名稱的解析策略。
支援添加的辦公應用類型
使用私網IP或者私網網域名稱可訪問的應用
企業私網應用是為企業員工辦公所使用的內部應用服務、伺服器或資料庫等IT資源,只允許特定使用者訪問該應用。
使用公網IP或者公網網域名稱可訪問的應用(已配置白名單訪問機制)
企業對公網應用地址配置了白名單訪問機制,例如通過ECS安全性群組或者Cloud Firewall的存取控制策略,只允許特定的IP段訪問該應用。
添加辦公應用
當您將企業辦公應用添加到SASE上,基於對所有應用採用零信任的安全原則,SASE預設建立一條禁止所有訪問的策略。所以您在添加應用後,還需要配置對應用訪問的允許存取策略。具體操作,請參見配置零信任策略。
登入辦公安全平台控制台。
在左側導覽列,選擇。
在辦公應用頁面,單擊添加應用,根據如下步驟配置應用。
支援手動設定和大量匯入兩種方式:
手動設定
在手動設定頁簽,根據如下表格說明設定基礎配置參數。
配置項
說明
應用程式名稱
應用的名稱。
長度為2~100個字元,支援輸入漢字、字母、數字、中劃線(-)、底線(_)和半形句號(.)。
標籤
應用的自訂標籤,方便您對應用進行分類、搜尋和管理。
說明您可以添加自訂標籤,方便您對應用進行分類、搜尋和管理,也可以直接使用系統預設標籤。
狀態
應用的啟用或禁用狀態。
訪問模式
選擇您需要配置的訪問方式。
App訪問:需要安裝SASE App才能訪問辦公應用,支援訪問四層、七層應用,滿足員工辦公與營運的需求,同時支援豐富的終端安全檢測與管控策略。
瀏覽器訪問:無需安裝SASE App,使用瀏覽器即可訪問企業的Web辦公應用,此模式不支援終端安全檢測及管控策略。
單擊下一步,根據您在基礎配置中選擇的訪問模式不同,如下表格說明設定應用地址資訊。
App訪問模式
配置項
說明
應用地址
填寫待SASE訪問的企業辦公應用地址、連接埠資訊、及其協議類型。
應用地址支援以下類型:
如果辦公應用地址是精確IP。例如“10.10.XX.XX”。
如果辦公應用地址是IP段。例如“10.0.0.0/8”、“172.16.0.0/12”、“192.168.0.0/24”。
如果辦公應用地址是精確網域名稱。例如“www.aliyun.com”。
如果辦公應用地址是泛網域名稱。例如填寫泛網域名稱“*.aliyun.com”,則根據您填寫的連接埠資訊匹配“*.aliyun.com”的子網域名稱,確定SASE可以訪問該泛網域名稱下的某些子網域名稱。
連接埠號碼的填寫方式如下:
如果辦公應用使用的連接埠號碼是連續的,您可以配置連接埠號碼的範圍。例如80~8080連接埠,表示80~8080的全閉合區間。
如果辦公應用使用的連接埠號碼是不連續的,您可以添加多個連接埠號碼。例如80、8080。
如果辦公應用使用的是一個連接埠號碼,您只需要將開始端點口寫一樣即可。例如80。
支援應用的協議類型:
TCP協議
UDP協議
連接埠
協議
如果您需要對Web應用的訪問流量進行安全校正或者訪問溯源,可以配置如下安全強化策略。
安全校正:針對Host要求標頭進行檢測,防止惡意繞過。
訪問溯源:HTTP header中增加使用者名稱等資訊用於訪問溯源。
在HTTP請求中的要求標頭添加選定的溯源資訊,業務系統需自行擷取並解析新增的要求標頭,包括X-Csas-Client-IP(裝置IP)、X-Csas-Username(使用者名稱)和X-Csas-Device-Tag(裝置唯一ID)。
敏感应用检测:針對有下載行為的內網應用標記為敏感應用,可以在敏感應用標籤中進行查看。
當敏感應用存在下載操作時,會產生SLS日誌記錄。您可以在日誌分析中,選擇PA敏感檔案下載檢測日誌查看下載動作記錄。
超时配置:配置訪問辦公應用的7層連線逾時時間,逾時後會自動中斷連線。
应用层端口:web應用訪問加固相關配置的生效連接埠範圍。
重要只有訪問的連接埠在配置的生效連接埠範圍內,web應用訪問加固的相關配置才會生效。
開始端點口和結束連接埠必須在配置的應用連接埠範圍內。
瀏覽器訪問模式
配置項
說明
應用地址
填寫待SASE訪問的企業辦公應用地址、連接埠資訊、及其協議類型。
應用地址支援以下類型:
如果辦公應用地址是精確IP。例如“10.10.XX.XX”。
如果辦公應用地址是精確網域名稱。例如“www.aliyun.com”。
連接埠
設定連接埠號碼。例如80。
協議
支援應用的協議類型:
HTTPS協議
HTTP協議
代理網域名稱(SaaS代理網關)
支援網域名稱映射或CNAME兩種方式配置代理網關。您可以根據實際業務情況進行選擇。
網域名稱映射:設定映射網域名稱。SASE會產生新的網域名稱映射到原有的應用地址,企業員工通過新網域名稱訪問原有的應用。
CNAME:通過配置CNAME將原網域名稱解析到SASE零信任網關,不改變企業員工操作習慣。
自訂代理網域名稱:配置自訂代理網域名稱。
警告必須將自訂代理網域名稱CNAME解析到SASE存取點網域名稱中。
私網DNS:選擇用來解析內網網域名稱的DNS伺服器位址。
SSL認證:選擇SSL認證。
瀏覽器訪問配置
支援三種瀏覽器的訪問配置方式。您可以根據實際業務情況進行選擇。
HTML內網網域名稱重寫:通過修改HTML來實現網域名稱映射,您需要配置重寫前後地址。
JS內網請求重寫:通過修改JS檔案來實現網域名稱映射。您需要配置重寫前後地址。
匿名訪問:配置訪問IP或IP段及其訪問路徑白名單,對該IP或IP段不進行存取控制。
進階配置
對網關請求的Headers和Query參數進行改寫,實現更精細化的配置。
Headers改寫:通過對要求標頭和回應標頭的部分參數進行動態添加、設定或刪除,可以實現更靈活的請求控制與響應最佳化。
Query參數改寫:對Query參數中的部分參數進行動態添加、設定或刪除。
大量匯入
根據訪問模式不同,您可以選擇App訪問或者瀏覽器訪問。
App訪問:需要安裝SASE App才能訪問辦公應用,支援訪問四層、七層應用,滿足員工辦公與營運的需求,同時支援豐富的終端安全檢測與管控策略。
單擊4層模板下載,按照要求填寫模板。
單擊上傳本地檔案,上傳已填寫的模板檔案。
瀏覽器訪問:無需安裝SASE App,使用瀏覽器即可訪問企業的Web辦公應用,此模式不支援終端安全檢測及管控策略。
單擊7層模板下載,按照要求填寫模板。
單擊上傳本地檔案,上傳已填寫的模板檔案。
說明上傳檔案支援XLSX檔案,檔案的上限為100 MB。
單擊確定。
建立成功的企業辦公應用會在應用列表中顯示。
應用網域名稱解析
網域名稱解析策略
企業員工(內網訪問終端使用者)發起網域名稱解析請求,優先Alibaba Cloud DNS PrivateZone進行網域名稱解析記錄查詢,並返回解析結果。
說明如果您的業務組網中接入了PrivateZone,則SASE會自動同步PrivateZone的解析資料,您無需在SASE控制台上配置PrivateZone資訊。關於PrivateZone的詳細介紹,請參見內網DNS解析簡介。
若網域名稱解析請求未在PrivateZone內擷取到解析結果,則判斷是否配置了自訂DNS解析(預設DNS服務和其他DNS服務),若配置了則將此請求轉寄至自訂DNS解析,並返回解析結果。
如果企業員工未在SASE App上切換DNS服務,則使用預設DNS服務來解析網域名稱。
如果企業員工在SASE App上切換到指定DNS服務,則使用指定的DNS服務來解析網域名稱。
若未配置自訂DNS解析,則此網域名稱解析請求會發送至ECS執行個體配置的預設DNS解析,並返回解析結果。
配置自訂DNS服務
在辦公應用頁面,單擊內網DNS配置。
在DNS地址對話方塊,配置預設DNS服務和其他DNS服務。
一個DNS服務可以配置多個伺服器IP,如果一個伺服器IP解析失敗,會將網域名稱解析請求發送到該DNS服務的其他伺服器進行解析。
為辦公應用添加白名單
什麼情況下需要為應用添加白名單
如果業務中無需對個別辦公應用的網路流量進行安全分析與審計,可以通過白名單配置,將該應用的IP或者網域名稱地址加入內網訪問白名單。加入白名單後,該應用的網路流量不經過SASE。
例如,您在辦公應用管理中配置了泛網域名稱*.abc.com,但是子網域名稱123.abc.com的業務流量因為企業認為是安全的,無需SASE分析與審計,因此可以為子網域名稱123.abc.com配置白名單。
配置辦公應用白名單
支援對需要加白的應用IP或者網域名稱添加到辦公應用白名單,可添加多個辦公應用,例如添加多個IP或者IP段、多個網域名稱或者萬用字元網域名稱。關於白名單配置的詳細操作,請參見配置內網訪問白名單。
刪除和編輯辦公應用
您可以根據實際情況,執行如下操作:
編輯:單擊詳情,在詳情面板,查看指定的企業辦公應用資訊,或者修改應用資訊。
刪除:單擊刪除,刪除指定的企業辦公應用。
重要企業辦公應用被刪除後,企業員工將無法訪問該應用。請謹慎操作。