如果企業員工在企業辦公地區內辦公,無需使用SASE App內網引流或者部分應用不需要SASE App引流時,可以通過設定特徵條件來定義企業辦公區,SASE App通過設定的特徵來識別員工裝置所在位置是否在辦公區,並執行對應的引流策略。本文介紹如何配置可信辦公區。
辦公區引流策略說明
接入SASE後,預設企業員工訪問業務應用的流量引流到SASE並進行許可權校正並轉寄。您可以根據企業辦公區的網路拓撲情況,選擇企業員工在辦公區時使用SASE App的不引流策略。避免員工在辦公區誤使用SASE App辦公導致公網出口頻寬的佔用。
SASE支援以下兩種辦公區不引流策略:
在辦公區時,SASE App不引流
用於企業辦公區的網路可以訪問業務需要的所有辦公應用的情境,不需要通過SASE進行網路打通。
在辦公區時,SASE App針對指定辦公應用不引流
用於企業辦公區的網路只可以訪問部分辦公應用的情境,不能訪問的應用需要通過SASE打通網路通道。
操作步驟
登入辦公安全平台控制台。
在左側導覽列,選擇。
在存取點管理頁簽,單擊辦公區識別,選擇辦公區引流策略。
在辦公區識別頁面下方單擊添加識別條件。根據如下說明,添加辦公區識別條件。
支援設定1個或者多個辦公區識別條件。如果存在多個辦公區識別條件,SASE只要匹配到其中1個識別條件,即可判斷該地區為辦公區。
配置項
說明
條件名稱
條件的名稱。長度為2~128個字元,支援輸入漢字、字母、數字、中劃線(-)和底線(_)。
條件配置
單個辦公區識別條件中的條件配置如下,您可以設定1個或者多個條件配置。條件取值:
辦公區SSID:輸入您的辦公區SSID。服務組識別元SSID(Service Set Identifier)是無線區域網路絡(WLAN)的名稱。
可訪問內網IP:僅在辦公區網路環境下才能訪問的內網IP地址,SASE用戶端會自動探測此IP,當連通性正常時,被作為辦公區識別的特徵之一。
可訪問內網網域名稱:僅在辦公區網路環境下才能訪問的內網網域名稱地址,SASE用戶端會自動探測此網域名稱,當連通性正常時,被作為辦公區識別的特徵之一。
辦公網IP段:僅在辦公區網路環境下才能訪問的內網IP位址區段。
多個條件之間您可以設定邏輯關係為OR或者AND。預設為邏輯OR,您可以單擊OR將邏輯關係切換為AND。
如果您選擇針對指定應用不引流的策略,則需要再關聯相關應用。
單擊配置,在添加應用面板,通過應用標籤或者應用程式名稱添加相關的內網辦公應用。
單擊儲存。
其他動作
您可以根據實際情況,執行如下操作:
編輯:單擊編輯條件,修改已配置的識別條件。
刪除:先單擊編輯條件,再單擊刪除,刪除指定的識別條件。
重要識別條件被刪除後,SASE識別辦公區時不會匹配該條件。請謹慎操作。
相關文檔
如果您需要通過SASE打通網路通道,請根據網路拓撲,選擇合適的打通方式:
如果您的業務流量需要通過SASE進行審計與分析,可以配置應用的存取原則。具體操作,請參見配置零信任策略。