如果企业员工在企业办公区域内办公,无需使用SASE App内网引流或者部分应用不需要SASE App引流时,可以通过设置特征条件来定义企业办公区,SASE App通过设置的特征来识别员工设备所在位置是否在办公区,并执行对应的引流策略。本文介绍如何配置可信办公区。
办公区引流策略说明
接入SASE后,默认企业员工访问业务应用的流量引流到SASE并进行权限校验并转发。您可以根据企业办公区的网络拓扑情况,选择企业员工在办公区时使用SASE App的不引流策略。避免员工在办公区误使用SASE App办公导致公网出口带宽的占用。
SASE支持以下两种办公区不引流策略:
在办公区时,SASE App不引流
用于企业办公区的网络可以访问业务需要的所有办公应用的场景,不需要通过SASE进行网络打通。
在办公区时,SASE App针对指定办公应用不引流
用于企业办公区的网络只可以访问部分办公应用的场景,不能访问的应用需要通过SASE打通网络通道。
操作步骤
登录办公安全平台控制台。
在左侧导航栏,选择 。
在接入点管理页签,单击办公区识别,选择办公区引流策略。
在办公区识别页面下方单击添加识别条件。根据如下说明,添加办公区识别条件。
支持设置1个或者多个办公区识别条件。如果存在多个办公区识别条件,SASE只要匹配到其中1个识别条件,即可判断该区域为办公区。
配置项
说明
条件名称
条件的名称。长度为2~128个字符,支持输入汉字、字母、数字、中划线(-)和下划线(_)。
条件配置
单个办公区识别条件中的条件配置如下,您可以设置1个或者多个条件配置。条件取值:
办公区SSID:输入您的办公区SSID。服务集标识符SSID(Service Set Identifier)是无线局域网络(WLAN)的名称。
可访问内网IP:仅在办公区网络环境下才能访问的内网IP地址,SASE客户端会自动探测此IP,当连通性正常时,被作为办公区识别的特征之一。
可访问内网域名:仅在办公区网络环境下才能访问的内网域名地址,SASE客户端会自动探测此域名,当连通性正常时,被作为办公区识别的特征之一。
办公网IP段:仅在办公区网络环境下才能访问的内网IP地址段。
多个条件之间您可以设置逻辑关系为OR或者AND。默认为逻辑OR,您可以单击OR将逻辑关系切换为AND。
如果您选择针对指定应用不引流的策略,则需要再关联相关应用。
单击配置,在添加应用面板,通过应用标签或者应用名称添加相关的内网办公应用。
单击保存。
其他操作
您可以根据实际情况,执行如下操作:
编辑:单击编辑条件,修改已配置的识别条件。
删除:先单击编辑条件,再单击删除,删除指定的识别条件。
重要识别条件被删除后,SASE识别办公区时不会匹配该条件。请谨慎操作。
相关文档
如果您需要通过SASE打通网络通道,请根据网络拓扑,选择合适的打通方式:
如果您的业务流量需要通过SASE进行审计与分析,可以配置应用的访问策略。具体操作,请参见配置零信任策略。