本文介紹如何通過Bastionhost實現純內網環境下的安全營運。
背景資訊
隨著使用者業務安全需求的提升,業務的純內網訪問成為企業中關鍵的安全要求,營運人員無論在公司還是出差辦公、居家辦公等遠程營運情境下,如何限制僅能使用內網進行營運訪問,保障營運安全成為關鍵問題。
解決方案
為滿足使用者純內網環境下的安全營運訪問需求,Bastionhost提供支援公網和私網訪問網域名稱的限制開關,通過關閉公網訪問網域名稱營運地址,僅放開內網網域名稱營運地址,實現使用者在通過Bastionhost營運時,僅能通過內網接入Bastionhost進行營運,無法通過外網接入Bastionhost進行營運。
Bastionhost內網營運情境支援多種形式的內網接入。
營運人員在公司時,如果公司已有專線與Bastionhost實現內網連通,Bastionhost配置僅開放內網網域名稱訪問後,營運人員可通過公司的專線直接存取Bastionhost進行內網營運。
營運人員出差或居家等遠程辦公情境下,可通過關閉Bastionhost公網訪問網域名稱,僅放開內網訪問網域名稱,並使用辦公安全平台SASE(Secure Access Service Edge)或SSL-VPN連通Bastionhost業務,實現內網安全營運。
步驟一:關閉Bastionhost公網訪問網域名稱,僅放開內網訪問網域名稱
在頂部功能表列,選擇Bastionhost所在的地區。
在Bastionhost執行個體列表,定位到目標執行個體,關閉公網右側開關。
步驟二:串連內網營運訪問
情境一:公司內網直接營運
如果公司已有專線與Bastionhost實現內網連通,在終端串連公司內網後,即可使用營運用戶端通過Bastionhost內網網域名稱地址進行內網營運訪問。具體操作,請參見營運概述。
情境二:使用SSL-VPN串連Bastionhost進行營運
下面以阿里雲SSL-VPN為例,為您介紹使用SSL-VPN訪問內網操作步驟。
前提條件
已擷取Bastionhost所在VPC執行個體ID以及交換器執行個體ID。
您可以登入Bastionhost控制台,查看目標Bastionhost執行個體對應的VPC執行個體ID和交換器執行個體ID。
已擷取Bastionhost網段資訊。
您可以通過登入專用網路控制台或交換器控制台,通過Bastionhost所在VPC執行個體ID或交換器執行個體ID,擷取網段資訊。
已購買SSL-VPN。更多資訊,請參見SSL-VPN計費說明。
操作步驟
在SSL-VPN原則設定中,配置BastionhostVPC和交換器所在網段。具體操作,請參見SSL-VPN入門概述。
通過SSL-VPN用戶端訪問Bastionhost進行內網資產營運。
完成配置,並在終端串連SSL-VPN後,即可使用營運用戶端通過Bastionhost內網網域名稱地址進行內網營運訪問。具體操作,請參見營運概述。