更新时间:2024-04-26
1. 概述
锐灵XMG网关从XMG 3.0.4版本正式引入SASE云服务,解决中小型企业及多分支上云管的数据安全问题,无需客户额外购买新的AF、AC等设备;
本文介绍了XMG网关云安全访问服务功能配置,实现中小型多分支企业客户的分支网关对接深信服SASE平台的能力,提升客户分支基础网络安全能力,避免分支网络直接暴露在互联网中,提升分支网络安全能力;。
2. 深信服SASE云平台配置操作
要实现XMG网关云安全访问服务功能,首先要注册深信服云图(https://x.sangfor.com.cn/)账号(需要实名),并且开通云安全访问服务功能模块(不购买序列号只能申请免费试用15天)。
2.1. 获取设备接入码
登录深信服SASE云平台(网址:https://x.sangfor.com.cn/),联系销售人员开通云安全访问服务功能模块后,点击【管理】-【分支管理】,新增填写带*号信息,填写好点击确定。在【第三方设备】里面点击“复制接入码”。
2.2. 配置审计策略
在【策略配置】-【互联网应用审计】-【Web端审计】功能界面,点击【新增策略】按钮,可以创建【审计策略】配置。
可以新增多条策略,设置动作为【审计】或【不审计】,从而实现按需(内容、文件类型、时间段、适用范围-用户/终端/目的IP/IP段)审计上网内容的目的。
2.3. 配置应用管控
在【策略配置】-【互联网应用管控】-【互联网应用管控】功能界面,点击【新增策略】按钮,可以创建【应用管控】配置。
可以新增多条应用管控策略,设置动作为【允许】或【拒绝】,从而实现按需(管控内容、类型、时间段、适用范围-用户/终端/目的IP/IP段)互联网应用管控的目的。
3. XMG网关功能配置操作
3.1. 开启XMG网关云安全访问服务
完成XMG网关的开局调试,让XMG网关具备访问外网的权限。
在【云安全访问服务】中粘贴第二章节复制的引流码,按图示操作,测试成功后点击连接。
网络无问题,连接成功后可看到“已连接”状态。
相关参数概念如下:
【服务平台】国内安全服务厂商提供的云安全访问服务平台。
【接入码】安全服务厂商提供的设备接入码,若选择的安全服务厂商为深信服,则需登录到深信服云安全访问服务平台(https://sase.sangfor.com.cn)获取。
【引流节点】服务平台提供的引流节点IP地址,网关默认自动获取,也可到云安全访问服务平台上切换引流节点模式为本地模式,此种模式下网关可在本地输入引流节点及秘钥。
【秘钥】引流节点校验网关设备是否准许引流。
【链路时延】当前引流链路时延大小。
【异常逃生】若启用服务异常逃生,则网关探测引流节点不通时,原引流流量从本地转发,未启用服务异常逃生功能时,若网关探测引流节点不通,仍引流到引流节点。
【目标地址探测】默认三个内置公网探测点,允许输入5个公网域名或服务器IP地址作为自定义探测点,主要用于探测链路时延、引流节点联通状态。
【探测间隔】探测报文发送间隔。
【重试次数】连续探测失败达到重试次数,则认为达到异常逃生条件。
3.2. 常见SASE对接报错代码
对接不成功,可以在【云安全访问服务】中点击查看日志,根据日志中的错误代码分析。
3.3. XMG网关配置引流策略
在【高级功能】-【云安全访问服务】-【引流策略】-【基础规则】配置界面,新增引流策略,按图示完成引流策略配置。其中源IP、目的IP、目的端口留空即可。
引流规则决定当前网关哪些流量可以引流到云安全访问服务平台进行安全审计;您也可以在云安全访问服务平台上切换引流配置模式为云端模式,此种模式下,引流配置默认从服务平台上获取,且不可在网关本地进行更改;
也可以在【域名规则】里面新增域名规则引流策略,域名规则优先级高于基础规则。并且域名规则必须要匹配角色,有线用户要匹配中域名引流规则,必须进行有线认证。
4. 审计和应用管控效果查看
用手机连接无线访问指定网站,然后在SASE平台【日志】-【全部行为】中可查看到用户上网记录。
点击详情也可以看到终端具体访问哪些网站。
5. 注意事项
- 要实现XMG网关云安全访问服务功能,首先要注册深信服云图(https://x.sangfor.com.cn/)账号(需要实名),并且开通云安全访问服务功能模块(不购买序列号只能申请免费试用15天)。
- 建议XMG网关上启用服务异常逃生功能,则网关探测引流节点不通时,原引流流量从本地转发,未启用服务异常逃生功能时,若网关探测引流节点不通,仍引流到引流节点,会导致用户断网,影响客户的业务使用。