企業管理員首次使用SASE內網訪問如何配置 - Secure Access Service Edge

本文介紹內網訪問功能的業務原理及使用邏輯，協助企業管理員在開通辦公安全平台SASE（Secure Access Service Edge）產品後，快速上手內網訪問功能。

內網訪問安全簡介

內網訪問是基於軟體定義程式邊界SDP（Software Defined Perimeter）技術，打造SaaS化零信任網路訪問功能，在不需暴露公網地址和改造企業原有網路架構的情況下，通過SASE內網訪問解決方案實現企業員工通過內網訪問雲上業務資源，並對企業員工的存取權限進行管控。

操作步驟

步驟一：配置身份源和使用者組

身份源主要是為企業員工提供身份認證功能，SASE支援第三方和自建的身份認證系統。目前支援LDAP、DingTalk、企業微信、飛書、IDaaS、自訂身份源。如果您的業務涉及多種身份源，可以一次性配置多種身份源資訊（即多身份源），以便於您以不同的身份源使用SASE服務。

本文為了快速驗證功能，以自訂身份源為例為您介紹。

登入辦公安全平台控制台。在左側導覽列，選擇身份認證管理 > 身份接入。

在身份接入頁面，單擊身份源管理頁簽，定位到預設啟用的自訂身份源，單擊編輯，按照如下資訊配置自訂身份源。

配置項

說明

樣本值

電腦裝置登入方式

支援帳號密碼登入和無密碼登入。

使用帳號密碼登入方式時，您可以開啟雙因素認證，取值：
- OTP認證：開啟OTP驗證後，您還要選擇OTP令牌模式，目前支援如下三種模式：
  - 允許SASE移動端展示令牌：即SASE內建OTP，需要員工安裝SASE移動端App。
  - 允許第三方App令牌：需確保OTP用戶端時鐘同步正常，目前支援標準及常見的OTP認證軟體，例如阿里雲App等。
  - 允許企業自有令牌：若需相容企業自研OTP，請在技術人員支援下進行配置。
- 驗證碼認證：開啟簡訊驗證碼驗證，需確保配置的身份源中每個使用者都已錄入手機號。
使用無密碼登入方式時，需要先下載並登入SASE移動端App，然後進行掃碼認證。

帳號密碼登入

行動裝置登入方式

支援帳號密碼登入和指紋或Face Service認證。

使用指紋或Face Service認證方式時，首次登入SASE App時仍需要輸入帳號名與密碼。

帳號密碼登入

在使用者組管理頁簽，單擊添加使用者組，添加使用者後單擊確定。
使用者資訊包含使用者名稱、部門、郵箱、手機號等。

步驟二：配置內網業務應用資源

企業辦公應用是為企業員工辦公所使用的內部應用、伺服器或資料庫等IT資源，無需企業員工配置公網地址。企業員工需使用安裝了SASE App的辦公裝置，並通過身份與安全性原則校正，便可以訪問對應的區域網路應用或資源。

在左側導覽列，選擇內網訪問 > 應用管理。
在辦公應用頁簽的標籤地區，單擊添加，設定標籤名稱，然後單擊確定。

單擊添加應用，根據如下步驟配置應用。

如果您的業務存在用於解析企業內網網段的DNS伺服器，您可以單擊內網DNS配置，在DNS地址對話方塊手動填寫預設DNS服務和自訂DNS服務。預設DNS組（1個DNS組最多可以添加2個DNS伺服器IP）會作為企業主DNS下發到SASE安全用戶端，企業員工可在用戶端上自行切換DNS組以便滿足辦公時特殊的訪問需求。

如果您不配置DNS服務，SASE會預設為您配置阿里雲DNS伺服器用於企業內網網段的DNS解析。如果業務配置了雲解析PrivateZone時，優先使用PrivateZone進行IP或者網域名稱解析。

在手動設定頁簽，根據如下表格說明設定基礎配置參數。

配置項	說明	樣本值
名稱	內網應用的名稱。長度為2~100個字元，支援輸入漢字、字母、數字、中劃線（-）、底線（_）和半形句號（.）。	考勤管理應用
描述	內網應用的說明。	企業員工的考勤管理地址
標籤	應用的自訂標籤，方便您對應用進行分類、搜尋和管理。	OA系統
存取控制	應用的存取權限。取值：啟用：表示應用處於可服務狀態。禁用：表示應用處於不可服務狀態。	啟用

單擊下一步，根據如下表格說明設定應用地址資訊。

配置項	說明	樣本值
應用地址	應用的內網訪問地址。支援使用IP、IP段、網域名稱和泛網域名稱的方式定義公司專屬應用程式或資源。您可根據應用的實際情況，設定應用的多個內網訪問地址。	10.10.XX.XX
連接埠	應用使用的連接埠號碼或者連接埠段。	80~200
協議	應用的協議類型。取值：全部、TCP協議、UDP協議。	全部

步驟三：打通網路通道

在打通網路通道之前，您需要先確認當前的業務部署情況，根據業務部署選擇合適的打通方案。

業務部署環境	解決方案	配置環境準備
企業的業務資源部署在阿里雲上	通過網路設定功能實現指定阿里雲VPC資源與SASE終端使用者的網路互連。在網路設定 > 阿里雲業務頁面，開啟目標商務服務器所在VPC的網路打通開關。	辦公電腦要求： Windows（64位、32位、.msi 64位、.msi 32位）適用於Win7及以上 macOS適用於macOS 10.10及以上 Linux適用於Ubuntu 18.04及以上、UOS
企業的業務資源部署在非阿里雲環境（例如AWS、騰訊雲等），且業務組網已經部署的阿里雲VBR、CCN、VPN網關	通過阿里雲提供的網路通道專線、SAG、IPsecVPN，實現SASE終端訪問非阿里雲環境的業務資源。在網路設定 > 非阿里雲業務 > 雲上網路執行個體頁簽，配置回源VPC並開啟網路打通開關即可。	辦公電腦要求： Windows（64位、32位、.msi 64位、.msi 32位）適用於Win7及以上 macOS適用於macOS 10.10及以上 Linux適用於Ubuntu 18.04及以上、UOS
企業的業務資源部署在非阿里雲環境	SASE提供連接器（connector）功能與您的非阿里雲網路環境組網串連，實現使用SASE App訪問非阿里雲環境的業務。該方式不需要依賴其他網路產品即可實現業務組網的訪問。在網路設定 > 非阿里雲業務 > 連接器列表頁簽，手動添加SASE連接器，然後執行命令部署連接器並確保已開啟連接器執行個體開關。	辦公電腦要求： Windows（64位、32位、.msi 64位、.msi 32位）適用於Win7及以上 macOS適用於macOS 10.10及以上 Linux適用於Ubuntu 18.04及以上、UOS 本地連接器安裝部署的伺服器要求：虛擬機器或伺服器配置： CPU：4核記憶體：8 GB 磁碟：40 GB 作業系統：CentOS7版本及以上網路設定：可以訪問公網。如果存在防火牆配置，需要允許存取部署的伺服器或虛擬機器出方向443、8000連接埠。規格限制：200 MB流量轉寄。連接埠說明：請確保9000~9010未被佔用。

本文以企業的業務資源部署在非阿里雲環境為例，為您詳細介紹如何打通網路通道。

在左側導覽列，選擇內網訪問 > 網路設定。
在網路設定頁面，單擊非阿里雲業務。

添加連接器並關聯應用。

在連接器列表頁簽，單擊添加連接器。
最多支援添加5個連接器。

在添加連接器面板，根據實際業務配置相關參數。然後單擊確定。

配置項	說明	樣本值
地區	連接器的地區。為保障訪問品質，建議選擇與您伺服器距離最近的地區。	北京
執行個體名稱	連接器的名稱。	某公司接入內網訪問連接器
關聯應用	連接器相關 App名稱。只有相關 App才可以被SASE終端使用者通過本地連接器訪問。	考勤管理應用
執行個體開關	只有執行個體開關為開啟狀態時，SASE終端使用者才可以訪問連接器相關 App。重要關閉connector網路打通開關，會導致終端使用者使用SASE App無法訪問內網應用。請謹慎操作。	已啟用

建立完成後，會顯示建立的連接器的授權License為1404F395-6456D8CE-B02D4B20-0DFB****。

安裝並部署連接器。
在部署連接器之前，您可以單擊操作列部署，在部署面板擷取部署連接器的詳細命令。
1. 以root使用者登入待部署的伺服器或者虛擬機器，執行如下命令下載連接器。
```
wget 'https://sase-app.oss-cn-hangzhou.aliyuncs.com/connector/install_connector.latest.sh' -O /tmp/install_connector.sh
```
2. 執行如下命令修改許可權。
```
chmod a+x /tmp/install_connector.sh
```
3. 執行如下命令安裝連接器。
```
sudo /tmp/install_connector.sh 163710033944**** 1404F395-6456D8CE-B02D4B20-0DFB**** connector-97861d0d3b91****
```
  說明
  其中，163710033944****是當前的阿里雲帳號UID；1404F395-6456D8CE-B02D4B20-0DFB****是SASE產生的授權License；connector-97861d0d3b91****是建立的連接器執行個體ID。
4. 執行如下命令啟動連接器。
```
sudo systemctl start aliyun_sase_connector
```

步驟四：建立零信任存取原則

零信任策略協助您管控企業員工、企業共同作業夥伴對應用和資源的存取權限。建立零信任策略的過程，就是將企業使用者組和業務應用進行資源許可權劃分，系統預設會有一條禁止所有訪問的策略，您需要配置允許存取策略，將不同的資源分派給不同的使用者組。

在左側導覽列，選擇內網訪問 > 零信任策略。
在零信任策略頁面，單擊添加策略。

在添加策略面板，根據如下參數說明設定基礎資訊，然後單擊確定。

目前建立配置零信任策略的數量不限制，您可以根據實際業務需要，建立多條零信任策略。

配置項	說明	樣本值
策略名稱稱	添加零信任策略的名稱。長度為2~100個字元，支援輸入漢字、字母、數字、中劃線（-）和底線（_）。	考勤管理應用允許存取策略
描述	零信任策略的說明。	所有使用者可以訪問考勤管理應用
優先順序	設定策略的優先順序。最高優先順序為1，新建立策略的優先順序取值上限即當前帳號下配置的零信任策略條數+1。例如，當前帳號已配置的零信任策略條數為17，此時新建立的策略優先順序的取值範圍：1~18。在策略存在衝突的情況下，優先順序高的策略生效。	1
動作	設定策略的存取權限。取值：允許訪問：表示該條策略是允許使用者或者終端訪問指定應用。禁止訪問：表示該條策略是拒絕使用者或者終端訪問指定應用。	允許訪問
生效使用者	設定策略生效的使用者組，即零信任策略針對指定使用者組的終端裝置生效。SASE對命中策略的訪問行為進行相應的處理，即允許存取或者攔截該訪問行為。單擊添加，在使用者組頁簽，選擇生效的使用者組。如果目前使用者組不能滿足您的需求，可以在自訂使用者組頁簽重新設定使用者組。關於如何配置使用者組，請參見配置使用者組。	某公司所有員工
已選應用	設定策略生效使用者組允許訪問的應用。單擊添加，在標籤頁簽，根據配置的標籤選擇指定的應用。您也可以在應用頁簽，直接選擇應用。	考勤管理應用
安全基準	選擇滿足企業辦公的安全基準模板。	-
策略狀態	為原則設定生效狀態。	已啟用

步驟五：驗證配置是否成功

開啟SASE App，輸入企業認證標識，然後單擊確定。
您可以在辦公安全平台的設定頁面，配置企業認證標識。
使用郵箱或者手機接收到的初始帳號名稱和密碼進行登入。
單擊串連內網。
訪問企業考勤管理應用。
如果能夠成功訪問，表示您已配置成功。