云安全访问服务SASE

深信服云安全访问服务(Sangfor Access)是国内首批基于SASE模型的云安全服务平台,将深信服已有的安全能力(上网行为管理、终端安全检测与响应、上网安全防护、内网安全接入服务等)聚合并云化,通过轻量级客户端软件,将网络流量引流上云进行管理和安全检测,满足企业总部、分公司、移动办公多场景下的办公安全需求。
点击可切换产品版本
知道了
不再提醒
新平台
{{sendMatomoQuery("云安全访问服务SASE","内网应用管理")}}

内网应用管理

更新时间:2024-11-01

功能介绍

通过平台能力管理和个性化配置内网业务,实现不同的业务场景都可以兼容使用。

 

前提条件

1、PC已通过引流客户端(ZTNA客户端)的方式成功接入云安全访问平台,控制台首页可看到用户在线,接入操作参考《快速入门》章节。

2、连接器已部署且对接正常(对接云平台正常、对接内网应用正常)。

3、已从IDAAS同步用户及组织架构至云安全访问服务用户/用户组列表。

1.  隧道应用发布

1.1. 应用属性配置

登录云图,进入云安全访问服务,进入策略>零信任网络访问>内网应用>内网应用管理,点击新增

1、选择隧道应用,应用名称、描述、应用分类

2、应用地址&排除地址:需配置协议(TCP、UDP、ICMP、ALL)、服务器地址、端口  (支持多条)

3、连接器:选择对应数据中心内网的连接器。

1.2. 个性化配置

1、应用中心设置:应用用户可见指定应用图标、指定应用打开方式

(1)应用用户可见:勾选为可见,不勾选即为隐藏;

(2)指定应用图标:可选择内置图标和自定义上传图标;

(3)指定应用打开方式:支持配置Windows、macOS、UOS/麒麟/Ubantu系统。

      ①浏览器类型说明:表现形态为【选择系统默认浏览器时,从客户端点击应用会打开默认浏览器跳转应用地址;从WEB端点击应用会在用户所在浏览器新开标签页跳转应用地址,一般应用于B/S架构应用 

      ②指定程序类型说明:表现形态为【通过指定的程序进行业务的访问,一般应用于C/S架构应用

      ③系统应用类型说明:表现形态为【通过远程桌面或文件管理系统进行业务的访问】

2、未授权用户告警页面设置

1.3. 代理配置(可选)

1.4. 单点登录(可选)

切记:相关配置完毕后点击确认提交。

 

一、配置内网IP/IP段:
    1、直接通过IP访问:
        最佳配置:
        1)配置内网IP/IP段至内网应用即可。
        注意事项:
        1)IP段中承载着不同业务,同样无法进行不同业务的精细化管控。
    2、通过内网域名的方式访问(并且可能也需要基于应用IP去做精细化管控):
        最佳配置:
        1)连接器环境需要配置正确的内网DNS(确保可以解析到内网域名)。
        2)在【策略】-【内网应用】-【内网应用管理】中配置应用的IP,还需要到【策略】-【高级安全设置】-【用户策略】配置内网DNS解析(为了下发给客户端去做解析)。
        注意事项:
        1)此时客户端解析出来的就是真实的内网IP地址
        2)用户策略配置了内网DNS和泛域名,即便是在应用列表也配置了泛域名,也没有影响,两者并不互斥,但如果内网应用里出现泛域名,就会优先匹配泛域名应用。那内网DNS和IP就没有意义了。
 
二、配置了全域名/泛域名应用:
   最佳配置:在应用列表配置全域名/泛域名即可。
   注意事项:
    1)连接器需要配置正确的内网DNS,确保可以解析到内网域名。
    2)FakeIP默认启用,并且客户端解析到的IP是虚拟的,不是真实内网IP。
    3)如果同时配置了全域名和泛域名应用,优先级为全域名大于泛域名,即优先命中全域名业务,如果命中不到在去命中泛域名业务。

2、WEB应用发布

2.1.应用属性配置

1、开启无端访问,第一次通过web应用发布引用的时候要点击【开启无端访问】,并输入工作台地址;

(1)使用企业自有域名:为使用自定义的域名和证书,适用于以往内网中通过域名访问的应用场景:

①填写自定义域名,如填写www.app-ztg.com;

②导入域名证书,填写证书名称、选择证书文件、输入证书密码,并勾选证书类型<Web应用授信证书>

③导入成功后,即可选择该证书,勾选后则会在授信证书看到该证书名称:

(2)使用默认域名:则为深信服SASE平台自带的企业域名后缀,如填写test,则为:test.app-ztna.com;

1、步骤1为首次使用WEB应用发布才需要配置;

2、工作台地址默认为单位主域名不带协议,例如:sangfor、baidu等;

3、企业自有域名有数量限制,默认一个用户只能导入一个证书;

4、WEB应用发布仅支持HTTP和HTTPS协议的应用发布,推荐使用隧道应用发布。

2、登录云图,进入云安全访问服务,进入[策略>零信任网络访问>内网应用>内网应用管理],点击<新增>

3、选择web应用,选择代理默认、填写应用名称、描述、应用分类;

代理模式默认选择门户模式;

4、前后台地址:后端服务器地址、前端访问地址 (支持多条和制定目录);

1、默认域名的前端访问地址当前均为深信服提供的互联网解析协议;

5、连接器:选择对应数据中心内网的连接器。

2.2. 个性化设置

1、应用中心设置:应用用户可见指定应用图标、指定应用打开方式

(1)应用用户可见:勾选为可见,不勾选即为隐藏;

(2)浏览器打开地址:是用户在应用中心点击应用图标打开的地址,请填写属于前端访问地址的有效子路径地址,会默认生成,可无需修改;

(3)指定应用图标:可选择内置图标和自定义上传图标;

(4)指定应用打开方式:支持配置Windows、macOS、UOS/麒麟/Ubantu系统

浏览器类型说明:表现形态为【选择系统默认浏览器时,从客户端点击应用会打开默认浏览器跳转应用地址;从WEB端点击应用会在用户所在浏览器新开标签页跳转应用地址,一般应用于B/S架构应用

2、未授权用户告警页面设置

2.3. 代理设置(可选)

1、请求参数改写:请求HOST、请求参数改写

2、响应内容改写:智能改写黑名单、手动改写

3、XFF设置:客户端源IP获取、XFF传递

4、超时设置:请求超时时间、响应超时时间

5、高级代理设置:HTTP 2.0支持、跨域请求兼容、保持连接方式、Accept-Encoding 透传

6、依赖站点:依赖站点

2.4. 负载配置(可选)

开启该功能必须在基础配置中勾选启用负载均衡,并添加备份后端服务器地址;

2.5. 安全设置(可选)

2.6. 单点登录(可选)