本文梳理了SASE內網訪問安全的常見問題,如果您的業務中遇到相關問題可以參考解決。
訪問一個網域名稱網站,如何配置內網DNS才能正常訪問?
如果您的業務組網中接入了PrivateZone,則SASE會自動同步PrivateZone的解析資料,您無需在SASE控制台上配置PrivateZone資訊。
如果您的業務組網中未接入PrivateZone時,您可以配置自訂DNS服務。一個DNS服務可以配置多個伺服器IP,如果一個伺服器IP解析失敗,會將網域名稱解析請求發送到該DNS服務的其他伺服器進行解析。
關於SASE網域名稱解析策略以及如何配置自訂DNS服務,請參見應用網域名稱解析。
為何應用配置完成後實際無法正常訪問,但是卻可以ping通?
終端裝置上的ping工具不能作為是否連通的判斷依據。因為macOS系統允許所有的網段ping通,Windows系統只允許198.18和198.19這兩個網段ping通。
所以建議您使用Telnet.nc或其他命令作為連通的判斷依據。
部分Windows電腦無法正常訪問內網的網域名稱業務,是什麼原因?
一般情況下出現這種問題的電腦大部分是Windows 11系統。因為Windows 11系統的瀏覽器有安全DNS配置,需要關掉安全DNS才可以正常訪問。如果Windows11系統DNS配置被安全軟體或者是手動修改成使用DoH,需要改成非加密的模式。
內網訪問不通,應該如何排查?
在日誌審計頁面查看是否有對應的訪問日誌,查看對應日誌的允許存取動作,判斷是允許存取還是阻斷。
如果動作為阻斷,查看阻斷的原因。一般包含未配置應用、未分配存取權限、終端安全基準不合規等,根據提示原因修改配置。
如果動作為允許存取,在頁面,查看應用所在的網路是否已經打通。
如果應用部署在阿里雲,查看對應VPC或CEN是否打通。
如果應用部署在非阿里雲,查看對應的專線是否打通,SASE連接器是否已經關聯了對應的應用。
在哪裡下載connector組件?
在連接器管理頁面複製命令執行即可。具體操作,請參見打通非阿里雲業務的網路通道。