飞连
飞连
- 文档首页
飞连管理员指南零信任接入VPN 策略管理 VPN 访问权限
文档反馈
问问助手您可以在飞连管理后台为 VPN 节点配置访问策略。通过定义不同的访问控制逻辑,实现对员工连接 VPN 后可访问的网络资源范围的精细化管理。
在配置具体策略前,建议首先明确业务所需的“默认访问模式”。模式的选择决定了后续权限管理的基准线。
模式名称 | 核心逻辑 | 适用场景 |
|---|---|---|
默认开放模式 | 先全量开放,后局部限制。所有员工默认拥有访问全部内网资源的权限,需针对特定高敏感资源新增限制类策略。 | 内部资源敏感度较低,大部分资源可对全员公开的场景。 |
默认拒绝模式 | 先全量封禁,后局部授权。所有员工默认无法访问任何内网资源,需根据员工职能,逐一新增授予类策略以开放必要权限。 | 遵循最小权限原则,对内网安全性要求较高的场景。 |
VPN 访问策略必须关联具体的网络资源对象。在配置策略前,请确保已在VPN 应用管理模块中完成内网 IP、网段或域名的录入。详情参考管理 VPN 应用。
切换默认访问模式
- 登录管理后台。
- 在左侧导航栏,选择零信任接入 > VPN 策略 > 访问权限。
- 在页面上方,单击切换模式,在对话框中选择模式并单击确定。
- 注意:切换模式将影响全员的初始访问状态,请在配置前确认已添加必要的保障策略。
配置资源访问策略
网络资源需结合访问策略方可生效。
在访问权限页面右侧,单击 + 新增策略。
在新增访问策略对话框中,完成以下配置:
配置项
功能说明
切换权限策略
定义该策略的行为属性。在对话框顶部单击切换,可选择限制员工访问权限或者授予员工访问权限。
- 限制员工访问权限:一般在默认开放模式里选择该配置项,在策略内添加网络资源后,员工连接 VPN 时无法访问这些资源。
- 授予员工访问权限:一般在默认拒绝模式里选择该配置项,在策略内添加网络资源后,员工连接 VPN 时可以访问这些资源。
策略名称
自定义策略名称,用于标识该权限规则。建议采用“部门+资源+权限”命名,如
研发部-代码服务器-授予。选择资源
指定受控的网络资源。支持单选、多选或按资源标签批量关联。
匹配优先级
当存在多条策略时,决定策略的执行顺序。取值 0 ~ 100,数值越大表示优先级越高。系统按数值由高到低匹配,一旦匹配成功即停止后续检测。如果存在两条优先级数值相同的策略,则优先执行策略修改时间最新的一条。
生效对象
确定该策略的应用范围。支持按员工(部门、角色)或设备(单台设备、设备组)维度进行指定。
生效时长
在下拉列表中选择生效时长或自定义生效时长。
生效节点
限制策略生效的 VPN 物理节点。若公司拥有多个 VPN 接入点,可指定该权限仅在连接特定节点时生效。若不选择节点则表示对所有节点生效。
单击确定,策略即刻下发。
访问权限验证
为避免配置错误导致业务中断,建议使用内置检测功能验证策略有效性。
在访问权限页面右侧,单击可访问检测。
选择 IP 检测或域名检测。
输入对象(员工账号)及目的地址(IP 或域名)。
单击执行检测。系统将模拟该员工的访问请求,并反馈最终判定结果(通过/拒绝)以及命中哪条策略。
- 登录管理后台。
- 在左侧导航栏,选择零信任接入 > VPN 策略 > 访问权限。
- 在访问权限页签内,支持以下操作:
- 编辑策略:在策略列表右侧单击编辑,可手动调整策略内容,包括策略名称、网络资源、匹配优先级以及生效对象等信息。
- 删除策略:在策略列表右侧单击删除。删除策略会导致相关权限立即失效,请在确认业务需求后再执行此操作。
- 导出策略:在策略列表右上方单击导出,可批量导出当前的策略列表
.xlsx文件,方便管理员进行线下权限审计或配置备份。- 导出逻辑说明:导出的表格采用“一对象一行”的逻辑编排。如果一条策略关联了多个生效对象(如多个部门、角色或员工),导出后将对应拆分为多行显示,便于管理员直接在 Excel 中利用筛选功能,快速检索特定员工或部门所拥有的全部权限详情。导出示例如下。
- 导出逻辑说明:导出的表格采用“一对象一行”的逻辑编排。如果一条策略关联了多个生效对象(如多个部门、角色或员工),导出后将对应拆分为多行显示,便于管理员直接在 Excel 中利用筛选功能,快速检索特定员工或部门所拥有的全部权限详情。导出示例如下。