You need to enable JavaScript to run this app.
导航
飞连
  • 文档首页
    • /飞连/管理员指南/零信任接入/应用管理/管理 VPN 应用
管理 VPN 应用
最近更新时间:2025.09.25 11:43:47首次发布时间:2025.09.23 15:42:13
复制全文
我的收藏
有用
有用
无用
无用

本文档旨在指导您如何实现对 VPN 用户的精细化访问控制。首先,您需要将企业内网的应用、服务器或 IP 段抽象并定义为可管理的“应用资源”;然后,通过创建“访问策略”,将这些资源与具体的员工或设备进行关联,并明确授予或限制其访问权限。

新增 VPN 应用资源

  1. 登录管理后台。

  2. 在左侧导航栏,选择零信任接入 > 应用管理VPN 应用

  3. VPN 应用页面右侧,单击新增资源以添加网络资源。

  4. 在右侧弹出的新增资源抽屉页中,完成以下配置,并单击确定
    Image

    配置项

    说明

    资源名称

    自定义名称,用于标识该网络资源。

    资源标签

    网络资源支持通过标签进行分类,后续在配置访问策略时,您可以通过选择资源标签来批量设置网络资源。

    资源类型

    可选域名或者 IP 地址

    协议栈

    不同的资源类型,对应的协议栈有区别,具体如下:

    • 如果资源类型是域名,对应协议支持选择全部https 或者 http
    • 如果资源类型是 IP 地址,对应的协议支持选择全部tcpudp 或者 icmp,支持多选。

    资源配置类型

    选择端口全局匹配端口精细匹配

    • 端口全局匹配:适用于一个资源内所有的域名/IP发布相同的端口的场景。
    • 端口精细匹配:适用于一个资源内不同的域名/IP发布不一样端口的场景。

    域名列表

    设置员工连接 VPN 后允许访问的域名。

    • 若选择端口全局匹配:请在文本框中填写域名,支持输入域名(例如:www.example.com)或泛域名(例如:*.example.com),添加多个域名时需要使用逗号或者空格间隔。
      您也可以在配置域名时填写端口信息(例如:www.example.com:80),此时无需再配置端口列表。

      说明

      您可以单击域名列表下方的选择资源,从域名资源中快速添加域名。

    • 若选择端口精细匹配:单击域名列表右侧的添加,您可以配置多条域名 + 端口的网络资源。域名列表支持输入域名(例如:www.example.com),添加多个域名时需要使用逗号或者空格间隔。在端口列表中设置域名的端口(例如:80)或端口范围(例如:0-65535)。

      说明

      您也可以单击快速添加批量添加网络资源,格式为域名:端口,例如example.com:80或者example.com:1-65535,每行一个,可添加多行。

    端口列表

    设置网络资源所需的端口,支持单端口(例如:80)、端口范围(例如:1-65535)。添加多个端口时需要使用逗号或者空格间隔。

    说明

    • 若配置域名列表时未添加端口,且端口列表配置为空,则默认发布该域名的 80 和 443 端口。
    • 若配置域名列表时已添加端口(例如:www.example.com:80),则无需再配置端口列表参数。
    • 若资源类型为 IP 地址,该参数必填。

    IP 列表

    设置员工连接 VPN 后允许访问的 IP 地址。IP 列表支持输入单 IP(例如,10.10.0.0)、IP 地址范围(例如,10.10.56.217-10.10.56.250)、CIDR(例如,10.10.0.0/24)。添加多个 IP 地址时需要使用逗号或者空格间隔。

    • 若选择端口全局匹配:请直接在文本框中填写 IP 地址。

      说明

      • 若您需要配置网络资源对任意 IP 有效,请设置为 0.0.0.0/0。
      • 您可以单击域名列表下方的选择资源,从 IP 资源中快速添加 IP 地址。
    • 若选择端口精细匹配:单击 IP 列表右侧的添加,配置 IP 列表端口列表,您可以配置多条 IP + 端口的网络资源。

      说明

      您也可以单击快速添加批量添加网络资源,格式为IP:端口,例如10.10.0.0:8010.10.0.0/24:1-6553510.10.56.217-10.10.56.250:100-200,每行一个,可添加多行。

配置资源访问策略

网络资源本身不具有权限限制,需要后续结合访问策略进行配置,才可以生效相应的 VPN 访问权限。

  1. 登录管理后台。

  2. 在左侧导航栏,选择零信任接入VPN 策略

  3. 访问权限页签内,单击新增策略
    Image

  4. 新增访问策略对话框,完成以下配置,并单击确定
    Image

    配置项

    说明

    切换权限策略

    在对话框顶部单击切换,可选择限制员工访问权限或者授予员工访问权限

    • 限制员工访问权限:一般在默认开放模式里选择该配置项,在策略内添加网络资源后,员工连接 VPN 时无法访问这些资源。
    • 授予员工访问权限:一般在默认拒绝模式里选择该配置项,在策略内添加网络资源后,员工连接 VPN 时可以访问这些资源。

    策略名称

    自定义名称,用于标识该策略。

    选择资源

    选择指定的网络资源。支持选择一个或多个网络资源,或者选择资源标签批量添加网络资源。

    匹配优先级

    指当前策略的优先级。取值范围为 0 ~ 100,数值越大表示优先级越高。您可以同时生效多条策略,飞连在对终端检测时,按优先级数值大小依次匹配策略,命中后停止匹配,如果一直未命中,则执行完所有策略后停止检测。如果存在两条优先级数值相同的策略,则优先执行策略修改时间最新的一条。

    生效对象

    支持选择员工或者设备

    • 如果选择员工,则需要以部门或者角色的维度指定该策略的员工生效范围。
    • 如果选择设备,组需要以设备或者分组的维度指定该策略的设备生效范围。

    生效时长

    在下拉列表中选择生效时长或自定义生效时长。

    生效节点

    设置策略生效的节点范围,在下拉列表中可以多选指定的节点、可以全选。
    可选配置项,若不选择节点则表示对所有节点生效。

  5. (可选)使用飞连提供的可访问检测功能,判断已配置网络资源以及访问策略是否成功生效。

    1. 访问权限页面右侧,单击可访问检测
      Image
    2. 可访问检测对话框,选择 IP 检测域名检测,并完成以下配置。
      Image
      • IP 检测:指定对象(即员工)、目的 IP 以及目的端口,进行检测。
      • 域名检测:指定对象(即员工)、目的域名,进行检测。
    3. 单击执行检测
      根据检测结果可以判断相应的访问策略是否正常生效。

管理 VPN 应用资源
  1. 登录管理后台。
  2. 在左侧导航栏,选择零信任接入 > 应用管理VPN 应用
    Image

网络资源页签内,支持以下操作:

  • 批量导入网络资源:下载网络资源导入模版,根据模版中的填写说明和示例批量配置网络资源并保存,填写时请勿修改表格的结构,上传编辑后的网络资源导入模版。
  • 批量导出网络资源:在确认对话框中单击确定。下载至本地后,文件名称为 export-acl-resource-list.xlsx
  • 标签列表
    标签列表单击添加标签,可以手动添加标签,后续在新增网络资源时可以选择标签进行归类。
  • 资源列表
    • 在资源列表中单击某一指定的网络资源,可以查看该网络资源的基本信息,以及相关的访问策略。
    • 在指定资源信息页中单击新增访问策略,可以基于该资源快速创建 VPN 访问策略。
      Image
    • 每一条网络资源,均支持编辑原有配置信息,或者被删除
      Image

      注意

      资源被删除后不可恢复,请谨慎操作。

    • 选中一条或多条网络资源后,可以单击页面底部复制资源,资源被复制后保存为 JSON 格式的数据,您可以粘贴到极速模式网络资源内。
      Image
      例如,配置允许访问的 VPN 访问策略后,可以将策略内的网络资源复制到极速模式网络资源。后续员工可以通过极速模式 VPN 访问相应的网络资源。
  • 域名 IP 池
    在页签右上角单击域名 IP 池,可以选择配置受控域名直接解析的 IP 地址。默认情况下已配置了 0.0.0.0 IP 地址,表示系统默认对所有 IP 进行解包,建议您保持默认配置即可。如果您觉得将所有 IP 解包影响数据转发效率,则可以根据受控域名指定小范围的 IP 池。