全部产品
Search
文档中心

办公安全平台:管理员首次配置内网访问指南

更新时间:Jun 07, 2026

本文介绍内网访问功能的业务原理及使用逻辑,帮助企业管理员在开通办公安全平台SASE(Secure Access Service Edge)产品后,快速上手内网访问功能。

内网访问安全简介

内网访问是基于软件定义边界SDP(Software Defined Perimeter)技术,打造SaaS化零信任网络访问功能,在不需暴露公网地址和改造企业原有网络架构的情况下,通过SASE内网访问解决方案实现企业员工通过内网访问云上业务资源,并对企业员工的访问权限进行管控。

image

操作步骤

步骤一:配置身份源

身份源主要是为企业员工提供身份认证功能,SASE支持第三方和自建的身份认证系统。目前支持LDAP、钉钉、企业微信、飞书、IDaaS、自定义身份源。如果您的业务涉及多种身份源,可以配置多个身份源信息,并开启身份认证状态,以便于您以不同的身份源使用SASE服务。

本文为了快速验证功能,以自定义身份源为例为您介绍。

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,选择身份认证 > 身份接入

  3. 身份同步页签,定位到自定义身份源,单击操作列的编辑,根据配置向导配置自定义身份源。具体操作,请参见对接自定义身份源

  4. 用户组管理页签,单击添加用户组

  5. 添加用户组面板中,配置用户组的组织架构账户名称邮箱手机号等信息。并单击确定。具体操作,请参见用户组管理

步骤二:配置用户组

配置策略时,需要指定该策略生效的用户组。

  1. 在左侧导航栏,选择身份认证 > 身份接入

  2. 用户组管理页签中,单击添加用户组

  3. 添加用户组面板中,配置用户组的组织架构账户名称邮箱手机号等信息。并单击确定。具体操作,请参见用户组管理

步骤三:配置内网业务应用资源

企业办公应用是为企业员工办公所使用的内部应用、服务器或数据库等IT资源,无需企业员工配置公网地址。企业员工需使用安装了SASE App的办公设备,并通过身份与安全策略校验,便可以访问对应的局域网应用或资源。

  1. 在左侧导航栏,选择内网访问 > 应用管理

  2. 办公应用页面的自定义标签区域,单击添加,设置标签名称,然后单击确定

    自定义标签最多支持100个。

  3. 单击添加应用,根据如下步骤配置应用。

    如果您的业务存在用于解析企业内网网段的DNS服务器,您可以单击内网DNS配置,在DNS地址对话框手动填写默认DNS服务其他DNS服务。默认DNS组(1个DNS组最多可以添加2个DNS服务器IP)会作为企业主DNS下发到SASE安全客户端,企业员工可在客户端上自行切换DNS组以便满足办公时特殊的访问需求。

    如果您不配置DNS服务,SASE会默认为您配置阿里云DNS服务器用于企业内网网段的DNS解析。如果业务配置了云解析PrivateZone时,优先使用PrivateZone进行IP或者域名解析。

    1. 手动配置页签,根据如下表格说明设置基础配置参数。

      配置项

      说明

      示例值

      应用名称

      内网应用的名称。

      长度为1~128个字符,支持输入汉字、字母、数字、中划线(-)、下划线(_)和半角句号(.)。

      考勤管理应用

      描述

      内网应用的说明。

      企业员工的考勤管理地址

      标签

      应用的自定义标签,方便您对应用进行分类、搜索和管理。

      OA系统

      状态

      应用的访问权限。取值:

      • 启用:表示应用处于可服务状态。

      • 禁用:表示应用处于不可服务状态。

      启用

    2. 单击下一步,根据如下表格说明设置应用地址信息。

      配置项

      说明

      示例值

      应用地址

      应用的内网访问地址。支持使用IP、IP段、域名和泛域名的方式定义企业应用或资源。您可根据应用的实际情况,设置应用的多个内网访问地址。

      10.10.XX.XX

      端口

      应用使用的端口号或者端口段。

      80~200

      协议

      应用的协议类型。取值:全部协议TCP协议UDP协议

      全部

步骤四:打通网络通道

在打通网络通道之前,您需要先确认当前的业务部署情况,根据业务部署选择合适的打通方案。

业务部署环境

解决方案

配置环境准备

企业的业务资源部署在阿里云上

通过网络配置功能实现指定阿里云VPC资源与SASE终端用户的网络互通。

网络配置 > 阿里云业务页面,开启目标业务服务器所在VPC的网络打通开关。

办公电脑要求:

  • Windows(64位、32位、.msi 64位、.msi 32位)适用于Win7及以上

  • macOS适用于macOS 10.10及以上

  • Linux适用于Ubuntu 18.04及以上、UOS

企业的业务资源部署在非阿里云环境(例如AWS、腾讯云等),且业务组网已经部署的阿里云VBR、CCN、VPN网关

通过阿里云提供的网络通道专线、SAG、IPsecVPN,实现SASE终端访问非阿里云环境的业务资源。

网络配置 > 非阿里云业务 > 云上网络实例页签,配置回源VPC并开启网络打通开关即可。

办公电脑要求:

  • Windows(64位、32位、.msi 64位、.msi 32位)适用于Win7及以上

  • macOS适用于macOS 10.10及以上

  • Linux适用于Ubuntu 18.04及以上、UOS

企业的业务资源部署在非阿里云环境

SASE提供连接器(connector)功能与您的非阿里云网络环境组网连接,实现使用SASE App访问非阿里云环境的业务。

该方式不需要依赖其他网络产品即可实现业务组网的访问。

网络配置 > 非阿里云业务 > 连接器列表页签,手动添加SASE连接器,然后执行命令部署连接器并确保已开启连接器实例开关。

办公电脑要求:

  • Windows(64位、32位、.msi 64位、.msi 32位)适用于Win7及以上

  • macOS适用于macOS 10.10及以上

  • Linux适用于Ubuntu 18.04及以上、UOS

本地连接器安装部署的服务器要求:

  • 虚拟机或服务器配置:

    • CPU:4核

    • 内存:8 GB

    • 磁盘:40 GB

    • 操作系统:CentOS7版本及以上

  • 网络配置:可以访问公网。如果存在防火墙配置,需要放行部署的服务器或虚拟机出方向443、8000端口。

  • 规格限制:200 MB流量转发。

  • 端口说明:请确保9000~9010未被占用。

本文以企业的业务资源部署在非阿里云环境为例,为您详细介绍如何打通网络通道。

  1. 在左侧导航栏,选择内网访问 > 网络配置

  2. 网络配置页面,单击非阿里云业务

  3. 添加连接器并关联应用。

    1. 连接器列表页签,单击添加连接器

      最多支持添加5个连接器。

    2. 添加连接器面板,根据实际业务配置相关参数。然后单击确定

      配置项

      说明

      示例值

      地域

      连接器的地域。为保障访问质量,建议选择与您服务器距离最近的地域。

      北京

      实例名称

      连接器的名称。

      某公司接入内网访问连接器

      实例开关

      只有实例开关为开启状态时,SASE终端用户才可以访问连接器关联的应用。

      重要

      关闭实例开关,会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。

      已启用

      在左侧导航栏选择 内网访问 > 网络配置,单击 非阿里云业务 页签,在 连接器列表 区域可查看已添加的连接器实例及其状态,并可通过 添加连接器 按钮新增连接器。

  4. 安装并部署连接器。

    1. 单击操作部署,在部署面板复制部署连接器的详细命令。

      curl -sSL https://sase-app.oss-cn-hangzhou.aliyuncs.com/connector.default.sh | ALIUID=1637xxxx0585 CODE=AE854025xxxxDB714E2C INSTANCE_ID=connector-09fcxxxxd8ba bash
    2. 以root用户登录待部署的服务器或者虚拟机,执行该命令。

步骤五:创建零信任访问策略

零信任策略帮助您管控企业员工、企业合作伙伴对应用和资源的访问权限。创建零信任策略的过程,就是将企业用户组和业务应用进行资源权限划分,系统默认会有一条禁止所有访问的策略,您需要配置放行策略,将不同的资源分配给不同的用户组。

  1. 在左侧导航栏,选择内网访问 > 访问控制

  2. 零信任策略页签中,单击添加策略

  3. 新增策略面板,根据如下参数说明设置基础信息,然后单击确定

    目前创建配置零信任策略的数量不限制,您可以根据实际业务需要,创建多条零信任策略。

    配置项

    说明

    示例值

    策略名称

    添加零信任策略的名称。

    长度为2~100个字符,支持输入汉字、字母、数字、中划线(-)和下划线(_)。

    考勤管理应用放行策略

    描述

    零信任策略的说明。

    所有用户可以访问考勤管理应用

    优先级

    设置策略的优先级。最高优先级为1,新创建策略的优先级取值上限即当前账号下配置的零信任策略条数+1。例如,当前账号已配置的零信任策略条数为17,此时新创建的策略优先级的取值范围:1~18。

    在策略存在冲突的情况下,优先级高的策略生效。

    1

    动作

    设置策略的访问权限。取值:

    • 允许访问:表示该条策略是允许用户或者终端访问指定应用。

    • 禁止访问:表示该条策略是拒绝用户或者终端访问指定应用。

    允许访问

    生效用户

    设置策略生效的用户组,即零信任策略针对指定用户组的终端设备生效。SASE对命中策略的访问行为进行相应的处理,即放行或者拦截该访问行为。

    单击添加用户组页签,选择生效的用户组。如果当前用户组不能满足您的需求,可以在自定义用户组页签重新配置用户组。关于如何配置用户组,请参见用户组管理

    某公司所有员工

    已选应用

    根据动作中设置的允许访问或者禁止访问的应用。

    单击添加,在标签页签,根据配置的标签选择指定的应用。您也可以在应用页签,直接选择应用。

    考勤管理应用

    安全基线

    选择满足企业办公的安全基线模板。

    -

    策略状态

    为策略设置生效状态。

    已启用

步骤六:验证配置是否成功

  1. 打开您已安装的SASE App。

  2. 输入企业认证标识,然后单击确定

    您可以登录办公安全平台控制台在左侧导航栏的设置页面,获取企业认证标识

  3. 使用邮箱或者手机接收到的初始账号名称和密码进行登录。

  4. 单击连接内网

  5. 访问企业考勤管理应用。

    如果能够成功访问,表示您已配置成功。