飞连
飞连
- 文档首页
飞连管理员指南零信任接入VPN 模式VPN 应用管理管理 VPN 模式应用资源
文档反馈
问问助手本文档旨在指导您如何实现对 VPN 用户的精细化访问控制。首先,您需要将企业内网的应用、服务器或 IP 段抽象并定义为可管理的“应用资源”;然后,通过创建“访问策略”,将这些资源与具体的员工或设备进行关联,并明确授予或限制其访问权限。
登录管理后台。
在左侧导航栏,选择零信任接入 > 应用管理 > VPN 应用。
在 VPN 应用页面右侧,单击新增资源以添加网络资源。
在右侧弹出的新增资源抽屉页中,完成以下配置,并单击确定。
配置项
说明
资源名称
自定义名称,用于标识该网络资源。
资源标签
网络资源支持通过标签进行分类,后续在配置访问策略时,您可以通过选择资源标签来批量设置网络资源。
资源类型
可选域名或者 IP 地址。
协议栈
不同的资源类型,对应的协议栈有区别,具体如下:
- 如果资源类型是域名,对应协议支持选择全部、https 或者 http。
- 如果资源类型是 IP 地址,对应的协议支持选择全部、tcp、udp 或者 icmp,支持多选。
资源配置类型
选择端口全局匹配或端口精细匹配。
- 端口全局匹配:适用于一个资源内所有的域名/IP发布相同的端口的场景。
- 端口精细匹配:适用于一个资源内不同的域名/IP发布不一样端口的场景。
域名列表
设置员工连接 VPN 后允许访问的域名。
- 若选择端口全局匹配:请在文本框中填写域名,支持输入域名(例如:
www.example.com)或泛域名(例如:*.example.com),添加多个域名时需要使用逗号或者空格间隔。
您也可以在配置域名时填写端口信息(例如:www.example.com:80),此时无需再配置端口列表。说明
您可以单击域名列表下方的选择资源,从域名资源中快速添加域名。
- 若选择端口精细匹配:单击域名列表右侧的添加,您可以配置多条域名 + 端口的网络资源。域名列表支持输入域名(例如:
www.example.com),添加多个域名时需要使用逗号或者空格间隔。在端口列表中设置域名的端口(例如:80)或端口范围(例如:0-65535)。说明
您也可以单击快速添加批量添加网络资源,格式为
域名:端口,例如example.com:80或者example.com:1-65535,每行一个,可添加多行。
端口列表
设置网络资源所需的端口,支持单端口(例如:80)、端口范围(例如:1-65535)。添加多个端口时需要使用逗号或者空格间隔。
说明
- 若配置域名列表时未添加端口,且端口列表配置为空,则默认发布该域名的 80 和 443 端口。
- 若配置域名列表时已添加端口(例如:
www.example.com:80),则无需再配置端口列表参数。 - 若资源类型为 IP 地址,该参数必填。
IP 列表
设置员工连接 VPN 后允许访问的 IP 地址。IP 列表支持输入单 IP(例如,10.10.0.0)、IP 地址范围(例如,10.10.56.217-10.10.56.250)、CIDR(例如,10.10.0.0/24)。添加多个 IP 地址时需要使用逗号或者空格间隔。
- 若选择端口全局匹配:请直接在文本框中填写 IP 地址。
说明
- 若您需要配置网络资源对任意 IP 有效,请设置为 0.0.0.0/0。
- 您可以单击域名列表下方的选择资源,从 IP 资源中快速添加 IP 地址。
- 若选择端口精细匹配:单击 IP 列表右侧的添加,配置 IP 列表和端口列表,您可以配置多条 IP + 端口的网络资源。
说明
您也可以单击快速添加批量添加网络资源,格式为
IP:端口,例如10.10.0.0:80、10.10.0.0/24:1-65535、10.10.56.217-10.10.56.250:100-200,每行一个,可添加多行。
网络资源本身不具有权限限制,需要后续结合访问策略进行配置,才可以生效相应的 VPN 访问权限。
登录管理后台。
在左侧导航栏,选择零信任接入 > VPN 策略。
在访问权限页签内,单击新增策略。
在新增访问策略对话框,完成以下配置,并单击确定。
配置项
说明
切换权限策略
在对话框顶部单击切换,可选择限制员工访问权限或者授予员工访问权限。
- 限制员工访问权限:一般在默认开放模式里选择该配置项,在策略内添加网络资源后,员工连接 VPN 时无法访问这些资源。
- 授予员工访问权限:一般在默认拒绝模式里选择该配置项,在策略内添加网络资源后,员工连接 VPN 时可以访问这些资源。
策略名称
自定义名称,用于标识该策略。
选择资源
选择指定的网络资源。支持选择一个或多个网络资源,或者选择资源标签批量添加网络资源。
匹配优先级
指当前策略的优先级。取值范围为 0 ~ 100,数值越大表示优先级越高。您可以同时生效多条策略,飞连在对终端检测时,按优先级数值大小依次匹配策略,命中后停止匹配,如果一直未命中,则执行完所有策略后停止检测。如果存在两条优先级数值相同的策略,则优先执行策略修改时间最新的一条。
生效对象
支持选择员工或者设备。
- 如果选择员工,则需要以部门或者角色的维度指定该策略的员工生效范围。
- 如果选择设备,组需要以设备或者分组的维度指定该策略的设备生效范围。
生效时长
在下拉列表中选择生效时长或自定义生效时长。
生效节点
设置策略生效的节点范围,在下拉列表中可以多选指定的节点、可以全选。
可选配置项,若不选择节点则表示对所有节点生效。(可选)使用飞连提供的可访问检测功能,判断已配置网络资源以及访问策略是否成功生效。
- 在访问权限页面右侧,单击可访问检测。
- 在可访问检测对话框,选择 IP 检测或域名检测,并完成以下配置。
- IP 检测:指定对象(即员工)、目的 IP 以及目的端口,进行检测。
- 域名检测:指定对象(即员工)、目的域名,进行检测。
- 单击执行检测。
根据检测结果可以判断相应的访问策略是否正常生效。
- 在访问权限页面右侧,单击可访问检测。
- 登录管理后台。
- 在左侧导航栏,选择零信任接入 > 应用管理 > VPN 应用。
在网络资源页签内,支持以下操作:
- 批量导入网络资源:下载网络资源导入模版,根据模版中的填写说明和示例批量配置网络资源并保存,填写时请勿修改表格的结构,上传编辑后的网络资源导入模版。
- 批量导出网络资源:在确认对话框中单击确定。下载至本地后,文件名称为
export-acl-resource-list.xlsx。 - 标签列表
在标签列表单击添加标签,可以手动添加标签,后续在新增网络资源时可以选择标签进行归类。 - 资源列表。
- 在资源列表中单击某一指定的网络资源,可以查看该网络资源的基本信息,以及相关的访问策略。
- 在指定资源信息页中单击新增访问策略,可以基于该资源快速创建 VPN 访问策略。
- 每一条网络资源,均支持编辑原有配置信息,或者被删除。
注意
资源被删除后不可恢复,请谨慎操作。
- 选中一条或多条网络资源后,可以单击页面底部复制资源,资源被复制后保存为 JSON 格式的数据,您可以粘贴到极速模式网络资源内。
例如,配置允许访问的 VPN 访问策略后,可以将策略内的网络资源复制到极速模式网络资源。后续员工可以通过极速模式 VPN 访问相应的网络资源。
- 域名 IP 池。
在页签右上角单击域名 IP 池,可以选择配置受控域名直接解析的 IP 地址。默认情况下已配置了0.0.0.0IP 地址,表示系统默认对所有 IP 进行解包,建议您保持默认配置即可。如果您觉得将所有 IP 解包影响数据转发效率,则可以根据受控域名指定小范围的 IP 池。