飞连
飞连
- 文档首页
飞连常见问题与排障指南客户端相关配置公网访问白名单
文档反馈
问问助手飞连 SaaS 服务端及相关安全资源部署于公有云端,部分核心功能(如客户端初始化、安全基线更新、第三方身份同步等)需要与云端或第三方服务进行通讯。若企业的办公网络中设有出向防火墙,限制了员工终端(客户端)访问外网,需通过白名单为飞连开通“绿色通道”,以确保客户端能与云端正常通讯,完成身份核验、安全策略同步及资源下载等操作。
若您的企业网络未对互联网访问进行任何限制(出向全开),则无需参考本文档。
若您的办公网络属于以下情况,为确保员工在企业内网可以正常使用飞连客户端服务,请务必参考本文配置白名单:
- 企业办公网设有出口防火墙且仅允许访问特定外网地址。
- 您的办公网络通过代理服务器或安全网关接入互联网。
- 您的业务环境部署在有严格安全组限制的云平台上。
在开始配置前,请确保您的网络环境满足以下基础条件。
- 通讯协议与端口
- 通用功能:必须放通 TCP 443 端口(HTTPS 协议)。
- 云 VPN 功能:除 443 端口外,还需放行对应 VPN 节点 IP 的 UDP 协议通讯。
- DNS 解析要求:请确保受控环境内的终端具备正常的 DNS 解析权限,否则防火墙无法通过域名识别流量。
- 配置建议:由于云端服务解析的 IP 地址不固定,建议优先通过域名方式配置防火墙策略。
一、 核心基础服务(必须放行)
以下服务保障了飞连客户端的正常登录、初始化引导以及安装包的获取等,是系统运行的先决条件,所有部署场景均需放行。
场景/功能 | 访问域名 | 发起端 | 说明 |
|---|---|---|---|
门户 |
| 客户端/浏览器 | 飞连门户地址,客户端与服务端通信主要地址。可登录火山引擎控制台,在企业详情中获取: |
初始化与激活 |
| 客户端 | 用于企业识别码激活、隐私协议加载及公钥获取。 |
客户端下载 |
| 客户端/浏览器 | 用于下载飞连客户端安装包及版本升级包。 |
企业资源与软件分发 |
| 客户端 | 使用软件库和软件分发功能时,用于从云端同步资源。由于资源存储在火山引擎对象存储(TOS)中,需根据您的实例所在地放行对应地域的下载域名。具体地区与域名详细对应参看火山引擎对象存储地域和访问域名(Endpoint)。 |
二、 安全与合规模块(按需放行)
本章节涉及终端安全策略相关的数据存放地址。若您在管理后台开启了特定的审计或存储功能,请务必放行相关地址。
场景 | 访问域名 | 发起端 | 说明 |
|---|---|---|---|
DLP 取证文件存储 | 按实际配置放行 | 客户端 | 若在管理后台系统配置中,配置了第三方存储用于存储 DLP 取证文件,则需放行对应的存储桶访问域名。 |
三、组网与 VPN 接入服务(按需放行)
本章节地址用于支撑远程办公及办公区间的互联互通。放行以下地址后,员工方可建立加密隧道访问受限的企业内网资源。
VPN 节点接入
下表包含云端预设节点及本地自建节点的访问地址,用于终端连接与状态上报。场景
访问地址
发起端
说明
本地 VPN 节点
按实际配置放行
客户端 / 内网连接器
若您在本地部署了 VPN 节点,请根据您在 VPN 网关页面中为节点实际分配的公网地址进行放行。此项配置允许客户端访问该 IP 的控制端口与数据端口以建立 VPN 隧道,同时允许节点组件与飞连管理后台通讯,以完成状态上报与策略同步。
云 VPN POP 节点
固定 IP 清单:
- 华北区域:
180.184.87.248,106.120.183.20,123.58.120.116,39.156.151.212,123.58.99.252,220.181.113.84,39.156.152.20 - 华东区域:
180.184.170.39,112.54.161.4,101.227.56.244,140.206.239.164,43.250.147.220,61.172.162.204,112.54.162.100,60.208.92.116,58.56.82.20,112.53.79.36 - 华南区域:
180.184.195.23,117.48.205.108,14.116.247.236,120.232.209.236,112.90.83.185,58.254.153.252,14.18.255.44,120.232.161.84 - 华中区域:
116.255.146.92,111.6.174.180,119.96.198.244 - 西南区域:
175.153.179.180,103.228.14.190,183.221.243.84 - 西北区域:
113.142.70.58,123.139.125.245,111.19.190.26 - 中国香港:
156.59.236.67,101.47.81.231
客户端
云 VPN 节点由飞连统一预设在公有云端,其 IP 地址固定且由官方统一维护。
若您使用了云 VPN 功能,请根据业务实际的地域分布放行节点的 IP 地址,确保终端能顺利连接至最近的云端网关。
建议全量放行以支持动态调度。- 华北区域:
SDWAN 调度中心
以下地址是组网功能的核心调度节点,用于下发复杂的组网配置并提供私有域名解析服务。场景
访问域名
发起端
说明
SDWAN DNS
rpc.feilian.cnrpc2.feilian.cn180.184.34.245
连接器/组网组件
组网调度与解析服务,用于下发组网配置及私有域名解析。
rpc.feilian.cn / rpc2.feilian.cn: 飞连组网组件与管理后台的通讯通道。如果不放行,组网功能将无法接收配置或建立隧道。180.184.34.245: 核心调度服务的静态 IP。作为域名解析失效时的兜底连接方案,确保在极端网络环境下组网服务的可用性。
请务必将上述地址全部加入白名单,以确保不同版本的组件均能正常接入中心调度服务,保障组网通讯的稳定性。
四、 身份认证与第三方集成(按需放行)
本章节用于确保飞连能够与您现有的身份系统或办公应用进行顺畅的数据交换。
第三方身份源
若您集成了以下协同办公平台用于员工信息同步或登录,需放行对应平台的 API 接口地址。集成对象
访问域名
发起端
常用功能
飞书
open.feishu.cnapplink.feishu.cn
客户端/门户
飞书扫码登录、组织架构同步、消息通知推送。
钉钉
oapi.dingtalk.com客户端/门户
钉钉扫码登录、组织架构同步、消息通知推送。更多域名请参考钉钉相关域名和IP列表。
企业微信
qyapi.weixin.qq.comopen.work.weixin.qq.com
客户端/门户
企业微信扫码登录、组织架构数据同步导入。
Authing
core.authing.cn客户端/门户
第三方身份源 Authing 的数据导入与登录认证。
单点登录(SSO)应用
方通 SSO 应用访问域名,以确保员工通过飞连直接访问企业内网或公网业务系统。场景
访问域名
发起端
说明
SSO 应用
按实际配置放行
客户端
请放行您在飞连中集成的各业务系统(单点登录应用)的实际访问地址。
五、IT 运维辅助工具(按需放行)
下表包含用于辅助排查客户端网络故障的相关工具地址。放行以下地址后,管理员可通过飞连自带的诊断功能快速定位终端的连通性异常。
场景 | 访问域名 | 发起端 | 说明 |
|---|---|---|---|
网络诊断检测 | 例如
| 客户端 | 用于飞连客户端诊断工具判断当前终端的互联网连通性状态。 |
Q:为什么我已经配置了白名单,客户端依然提示连接失败或无法同步策略?
A:请按如下步骤排查:
- 检查 DNS 解析:确保受控环境内的终端能够正常解析飞连域名。若防火墙拦截了 UDP 53 端口,域名白名单将无法生效。
- SSL 深度检测:部分高级防火墙会拆解 HTTPS 报文,这会导致飞连的加密证书被拦截。建议在防火墙中对飞连相关域名配置 “SSL 排除”或“免审计”。
- 代理服务器:若您的网络需通过代理上网,请确保飞连客户端或连接器已正确配置代理参数。
Q:是否可以提供所有服务的固定 IP 地址段?
A:除云 VPN 节点提供固定 IP 外,飞连的门户、激活、分发等服务均采用 CDN 和动态扩容架构,其解析 IP 会定期变动。为保障高可用性,强烈建议使用域名白名单进行配置。
Q:配置完成后,如何快速验证白名单是否生效?
A: 您可以在受控环境的终端上,使用命令行工具(如 curl)测试连通性。
例如:curl -I https://<企业识别码>.feilian.cn。若返回 HTTP 200 或 302 状态码,说明基础连接已通。