在您要使用远程零信任办公服务访问您的应用或者系统资源之前,您需要将其添加到边缘安全加速平台进行管理。
背景说明
企业内部应用系统,例如内部WEB应用服务、服务器或数据库等IT资源,一般未暴露在公网,需要通过专有网络访问。在您添加这部分应用系统到平台后,您的员工登录远程零信任办公服务客户端完成身份认证后,便可以访问这部分局域网内的应用或系统资源。
操作步骤
- 登录边缘安全加速控制台。
- 在首页产品能力栏目,选择零信任进入工作台。
- 左侧导航栏AOne零信任-应用-应用配置,查看应用列表。
- 可根据业务需求进行相关配置。
应用标签
标签是作为应用的分类分组标识,通过标签可以对应用进行分组管理,根据不同的应用类型和标签分类,实现对应用的快速筛选和授权选择。
可针对应用标签进行新增、编辑、删除。
字段 是否必填项 字段说明 标签名称 是 应用标签的名称。 应用管理员 否 若您有配置应用管理员,则可以勾选对应应用管理员,被勾选的应用管理员能具备该标签对应的所有应用的管理权限。
应用配置
您可点击应用列表分页进行应用的管理,包括应用的添加,编辑,删除操作。
支持应用批量导入,点击批量导入按钮进行模板下载,需按照模版要求进行导入文件,目前支持的文件类型为*.xls,*.xlsx,单个文件最多支持导入100个应用,超过100个请分多个文件多次导入。
应用信息
应用的基础配置信息,新增或编辑时可进行配置。
对应字段说明如下:
字段 是否必填项 字段说明 应用名称
是 应用的名称。
应用描述
否 应用的说明。 应用标签 否 请在下拉框勾选应用标签,应用标签列表来源于应用标签分页您添加的所有应用标签,若需新增应用标签,请滑动到下拉框底部单击添加标签按钮进行添加。 应用负责人 否 应用可自定义其负责人,方便您进行区分人员进行管理应用。 应用重要等级 是 请给应用选择对应重要程度等级,在配置各类防护策略时您可根据应用的等级对出现异常访问的行为进行梯度降权,越高等级的应用将越受到保护,若未选择,则默认为低等应用。 应用系统图标 否 支持图片上传对应图标,也可以从待选图标里面选择图标,配置图标后,该图标将作为该应用在客户端的展示图标。企业员工用户通过终端点击该图标实现WEB类型应用快捷访问。网络类型应用不支持图标点击快捷访问。
应用配置
- WEB应用:http,https,ws,wss协议类型应用。
- 网络应用:除WEB应用协议外的其他协议,例如tcp,udp,ssh。
对于不同的应用类型(WEB应用、网络应用),应用地址的添加字段存在差异。
WEB应用类型配置
新增时进入应用配置模块进行配置:
编辑时不能更改应用分类,可配置具体应用地址:
对应字段说明如下:
字段 是否必填项 字段说明 入口URL 是 用户可在客户端点击应用则可访问入口URL,便于应用快捷访问、应用地址统一管理。
将根据入口URL默认添加为应用地址,不允许进行删除。
企业门户上架 是 企业门户是企业向员工展示的门户网站,选择企业门户上架开启,则在客户端的企业门户页面可展示该应用以及对应的入口地址URL,员工可点击进行快捷访问。 应用地址 是 应用地址分为域名、IP地址、IP范围、IP网段,请按照要求进行相关配置:
域名:支持输入1个域名(如ctyun.cn)或泛域名(如*.ctyun.cn),不支持中文。
IP地址:支持输入1个IP地址(如1.1.1.1),若有多个请增加多条或配置IP范围或IP网段。
IP范围:支持输入1个IP范围(如1.1.1.1-1.1.1.16)。
IP网段:支持输入1个IP网段(如1.1.1.1/32)。
协议:支持http、https、ws、wss进行选择。
端口:支持配置端口或端口范围(如81-85),多个端口用“,”隔开,不支持同时配置端口和端口范围或配置多个端口范围。
关联连接器集群 是 您可将不同数据中心的应用关联到对应的所属不同连接器上,实现不同的应用走不同的连接器回源。例如北京、内蒙机房分别部署连接器,则位于内蒙网络的应用资源,需将其关联到内蒙连接器上。为保证访问正常,不允许两个存在相同IP地址的应用关联到不同的连接器上,请勿将相同IP地址或不同域名相同解析IP的应用使用不同的连接器回源访问。
网络应用类型配置
新增时进入应用配置模块进行配置:
编辑时不能更改应用分类,可配置具体应用地址:
对应字段说明如下:
字段 是否必填项 字段说明 应用地址 是 应用地址分为域名、IP地址、IP范围、IP网段,请按照要求进行相关配置:
域名:支持输入1个域名(如ctyun.cn)或泛域名(如*.ctyun.cn),不支持中文。
IP地址:支持输入1个IP地址(如1.1.1.1),若有多个请增加多条或配置IP范围或IP网段。
IP范围:支持输入1个IP范围(如1.1.1.1-1.1.1.16)。
IP网段:支持输入1个IP网段(如1.1.1.1/32)。
协议:TCP、UDP、全部,根据具体协议选择。
端口:支持配置端口或端口范围(如81-85),多个端口用“,”隔开,不支持同时配置端口和端口范围或配置多个端口范围。
关联连接器集群 是 您可将不同数据中心的应用关联到对应的所属不同连接器上,实现不同的应用走不同的连接器回源。例如北京、内蒙机房分别部署连接器,则位于内蒙网络的应用资源,需将其关联到内蒙连接器上。为保证访问正常,不允许两个存在相同IP地址的应用关联到不同的连接器上,请勿将相同IP地址或不同域名相同解析IP的应用使用不同的连接器回源访问。
连通性探测配置
您可以进行连通性探测探测配置,检测连接器到应用的访问连通性,保障应用配置的可用性,也可以跳过检测进行下一步。
对应字段说明如下:
字段 是否必填项 字段说明 探测地址 是 分类:单选、域名、IP地址。
若选择IP地址,需输入具体的单个IP地址(如:1.1.1.1)。
若应用地址需具体URL才可访问,则需配置URL路径,会拼接URL进行探测。
探测地址:仅支持单个域名或单个IP输入。
探测协议:支持HTTP、HTTPS、TCP、UDP,若配置WEB类型应用,默认初始化使用HTTP,HTTPS协议,以探测返回HTTP状态码为2xx和3xx则为正常,若配置网络类型应用,默认初始化使用TCP协议,以网络可达为正常。
探测路径:若应用地址需具体URL才可访问,则需配置URL路径,会拼接URL进行探测。
探测端口:仅支持输入1个端口号。
常态化连通性检测 否 开启后,该应用将根据连通性探测触发条件自动进行探测。 连通性探测触发条件 否 探测地址修改时、关联连接器集群修改时、连接器实例升级时这三个默认勾选且不允许取消勾选,可以选择时间:1小时、6小时、12小时、24小时。
应用授权
未授权应用则默认不引流,按原有路径进行访问,建议可添加到已授权策略,避免策略过多。若暂未明确授权范围,可先跳过配置,后续再进行统一授权。
具体配置模式参考应用授权。