You need to enable JavaScript to run this app.
导航
飞连
  • 文档首页
    • /
  • 飞连

管理 VPN 访问权限

最近更新时间2024.03.07 15:14:50

首次发布时间2022.11.29 10:24:02

我的收藏

您可以在飞连管理后台为 VPN 节点配置访问权限,限制员工连接 VPN 后,允许或不允许访问的网络资源范围。

操作步骤
  1. 登录飞连管理后台。
  2. 在左侧导航栏,选择 VPN 管理访问权限
  3. VPN 访问权限页面上方,单击切换模式,然后在切换默认模式对话框中,选择模式并单击确定
    图片
    模式说明:
    • 默认开放模式:该模式下所有员工可以通过 VPN 节点访问全部网络资源,后续手动设置的访问策略将用于限制指定网络资源的访问权限,适用于大部分网络资源均可对员工开放的场景。
    • 默认拒绝模式:该模式下所有员工禁止通过 VPN 节点访问任何网络资源,后续手动设置的访问策略将用于开放指定网络资源的访问权限,适用于仅少部分网络资源可对员工开放的场景。
      您也可以在默认拒绝模式中,设置一个授权访问大范围网络资源权限的策略,并根据企业网络要求分别配置多个限制小范围网络资源权限的策略。
  4. 添加网络资源。
    网络资源本身不具有权限限制,需要后续结合访问策略进行配置,才可以生效相应的 VPN 访问权限。

    1. VPN 访问权限页面,单击网络资源页签。

    2. 网络资源页签中,单击新增资源

    3. 新增资源对话框,完成以下配置,并单击确定
      图片
      配置项说明:

      配置项

      说明

      资源名称

      自定义名称,用于标识该网络资源。

      资源标签

      网络资源支持通过标签进行分类,后续在配置访问策略时,您可以通过选择资源标签来批量设置网络资源。

      资源类型

      可选域名或者 IP 地址

      • 选择域名,需要配置以下信息:
        • 协议栈:域名对应协议,支持选择全部https 或者 http
        • 域名列表:设置该网络资源包含的域名,需要包含端口信息(默认添加 80 和 443 端口),格式示例:www.example.com:80。添加多个域名时需要使用逗号或者空格间隔。
      • 选择 IP 地址,需要配置以下信息:
        • 协议栈:IP 地址遵循的协议,支持选择全部tcpudp 或者 icmp,支持多选。
        • IP 列表:设置网络资源包含的 IP 地址,支持单 IP(例如,10.10.0.0)、IP 地址范围(例如,10.10.56.217-10.10.56.218)、CIDR(例如,10.10.0.0/24)。添加多个 IP 地址时需要使用逗号或者空格间隔。
        • 端口列表:设置网络资源所需的端口范围,支持单端口(例如,80)、端口范围(例如,0-65535)。添加多个端口时需要使用逗号或者空格间隔。
  5. 配置访问策略。

    1. VPN 访问权限页面的访问策略页签,单击新增策略

    2. 新增访问策略对话框,完成以下配置,并单击确定
      图片
      配置项说明:

      配置项

      说明

      切换权限策略

      在对话框顶部单击切换,可选择限制员工访问权限或者授予员工访问权限

      • 限制员工访问权限:一般在默认开放模式里选择该配置项,在策略内添加网络资源后,员工连接 VPN 时无法访问这些资源。
      • 授予员工访问权限:一般在默认拒绝模式里选择该配置项,在策略内添加网络资源后,员工连接 VPN 时可以访问这些资源。

      策略名称

      自定义名称,用于标识该策略。

      选择资源

      选择指定的网络资源。支持选择一个或多个网络资源,或者选择资源标签批量添加网络资源。

      匹配优先级

      指当前策略的优先级。取值范围为 0 ~ 100,数值越大表示优先级越高。您可以同时生效多条策略,飞连在对终端检测时,按优先级数值大小依次匹配策略,命中后停止匹配,如果一直未命中,则执行完所有策略后停止检测。如果存在两条优先级数值相同的策略,则优先执行策略修改时间最新的一条。

      生效对象

      支持选择员工或者设备

      • 如果选择员工,则需要以部门或者角色的维度指定该策略的员工生效范围。
      • 如果选择设备,组需要以设备或者分组的维度指定该策略的设备生效范围。
  6. (可选)使用飞连提供的可访问检测功能,判断已配置网络资源以及访问策略是否成功生效。
    1. VPN 访问权限页面右上角,单击可访问检测
      图片
    2. 可访问检测对话框,选择 IP 检测域名检测,并完成以下配置。
      图片
      • IP 检测:指定对象(即员工)、目的 IP 以及目的端口,进行检测。
      • 域名检测:指定对象(即员工)、目的域名,进行检测。
    3. 单击执行检测
      根据检测结果可以判断相应的访问策略是否正常生效。

管理网络资源

图片
网络资源页签,支持以下操作:

  • 标签列表
    标签列表单击添加标签,可以手动添加标签,后续在新增网络资源时可以选择标签进行归类。
  • 资源列表
    • 在资源列表中,找到指定资源并在操作列单击新增访问策略,可以基于该资源快速创建 VPN 访问策略。
    • 每一条网络资源,均支持编辑原有配置信息,或者被删除

      注意

      资源被删除后不可恢复,请谨慎操作。

    • 选中一条或多条网络资源后,可以单击复制资源,资源被复制后保存为 JSON 格式的数据,您可以粘贴到极速模式网络资源内。
      例如,配置允许访问的 VPN 访问策略后,可以将策略内的网络资源复制到极速模式网络资源。后续员工可以通过极速模式 VPN 访问相应的网络资源。
    • 在资源列表中单击某一指定的网络资源,可以查看该网络资源的基本信息,以及相关的访问策略。
  • 域名 IP 池
    在页签右上角单击域名 IP 池,可以选择配置受控域名直接解析的 IP 地址。默认情况下已配置了 0.0.0.0 IP 地址,表示系统默认对所有 IP 进行解包,建议您保持默认配置即可。如果您觉得将所有 IP 解包影响数据转发效率,则可以根据受控域名指定小范围的 IP 池。

管理访问策略

图片
访问策略页签,支持以下操作:

  • 在指定访问策略右侧单击编辑,可手动调整策略内容,包括策略名称、网络资源、匹配优先级以及生效对象等信息。
  • 在指定访问策略右侧单击删除,可删除策略,策略删除后将不再继续限制 VPN 的访问权限。

    注意

    策略被删除后无法恢复,请谨慎操作。