快速入门

内网应用访问快速配置

内网安全访问，是基于零信任架构以及软件定义边界SDP（Software Defined Perimeter），构建的SaaS化网络访问功能。无需暴露公网地址或者改造企业原有网络架构，内网访问可以对内网应用代理，管控访问权限。
当企业需要为员工配置办公所需要的内网（企业局域网）应用时，可以使用零信任安全平台提供的内网访问功能。企业员工通过身份认证与安全策略校验，即可访问对应的内网应用。以下是零信任安全办公平台SASE公有云版本的快速接入配置。

一、添加用户

用户身份，作为企业员工认证的基础元素，使用零信任安全平台建议首先进行用户添加。
通过在零信任安全平台配置用户、用户组进行用户的添加。平台支持自定义添加用户，也可以通过导入用户方式批量添加用户。
访问身份管理-用户列表，点击添加用户，可进行单个用户的添加，
点击导入用户可以下载模板，进行批量用户导入，每次最多可以导入500条用户信息。

• 添加用户时，标星项为必填项，新创建的用户状态默认为停用状态，如过您需要账号生效，点击开启用户状态开关。

• 对用户进行“启用、停用”操作。用户邮箱将会收到平台发送的邮件，邮件中包含了登录所需要的必备信息。

用户登录所需信息：

用户名：登录所需的用户名信息。
密码：登录时的初始密码。
组织名称：登录时用户需要选择的对应的组织，通常为管理员自定义的名称。

通过无端登录后的用户，可以获取到二次认证的二维码，用户通过Authenticator等软件扫描二维码，即可获取动态码。
初次设置完成后，可通过用户名、密码、动态码三者结合一起的认证。
如果无需启用动态码的二次认证，可以访问身份管理-认证配置-二次认证配置，进行关闭。

二、安装连接器

连接器专线用于打通零信任安全平台与企业IDC之间网络连接。建议一个连接器组安装多个连接器组成集群，用于负载均衡流量，实现高可用网络。
准备工作：
准备一台CentOS 7 以上版本的服务器或虚拟机。建议4C/8G/500GB硬盘或以上配置，用于安装连接器。
服务器或虚拟机，需要能与互联网正常通信，且与待测试的内网应用网络之间可达。

配置步骤：
1.登录控制台，点击「内网访问」-「内网连接」-「添加连接器组」，进入新建连接器组页面，输入连接器组名称。
2.填写连接器组名称后，点击该连接器组的编辑操作。可以看到连接器安装说明，点击复制安装命令，并且开启允许安装按钮。
3. 拷贝安装命令到准备好的虚拟机中执行（需要在root帐号下执行）。
4.安装完成后，点击刚刚创建的连接器组「详情」，确认连通性是否正常。若连通性显示正常，则完成安装。
至此连接器建立完成，您可进行下一步添加应用。

三、添加应用

点击「内网访问」-「应用管理」，点击添加应用，其中红色标星部分为必填项。

• 应用名称：输入您内网应用所需名称，如ERP应用。

• 内网应用的域名或者IP地址：输入内网应用的域名、IP地址和使用的端口。

• 连接器组：绑定应用到刚刚建立的连接器组。

• HOST改写：如当您的源站需要识别指定HOST，需要对该功能进行开启配置。

注：如果内网应用填写域名，需要连接器可访问内网域名解析服务器，获取应用IP地址。

四、添加访问策略

应用添加完成后，可对该应用进行访问控制策略的配置。

配置步骤：
点击「内网访问」-「访问策略」，进入访问策略配置页面。
点击添加策略，

• 策略名称：为策略定义名称，建议输入汉字以及策略适用场景、范围，小于32个字符

• 策略状态：策略的开启或者关闭

• 匹配用户组：策略适用的用户组范围

• 匹配应用组：策略适用的应用组范围

• 用户来源：选择性配置，终端用户的来源位置

• 策略生效时间：策略生效的时间周期，如每周一至周五的工作时间。

五、用户登录

以上步骤配置完成后，可通过建立的用户进行测试登录。
以通过浏览器方式登录举例，点击访问门户，会弹出统一登录页面。
选择用户所属组织，使用用户名、密码进行登录。

如在访问策略中建立了一条用户A可访问应用A的访问控制策略。
则在登录后，则可以看到可访问的应用，配置正常。