配置背景
终端访问内网时禁止访问外网,访问外网时禁止访问内网。
终端默认属于内网。
说明:
配置网络时,可以配置为黑名单模式或白名单模式,一个网络只能为一种模式。
白名单模式:终端在此网络下仅能访问白名单范围内的地址,白名单外的地址禁止访问。
黑名单模式:终端在此网络下禁止访问黑名单范围地址,可以访问黑名单范围外的 IP 地址。
配置思路:首先明确一个网络的 IP 范围 A,网络名称为内网,另一个网络为外网,配置内网为白名单模式,并配置 IP 范围 A; 配置外网为黑名单模式,同样配置网络范围 A。以下是具体配置过程:(其他场景可根据上述黑白名单原理灵活配置)。
步骤1:开启终端网络访问控制
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择终端安全策略 > 客户端管理。
2. 在客户端管理页面,选择模块定制,单击新建策略。
3. 在新建模块定制策略页面,填写基本信息、使用范围和编辑策略。
3.1 基本信息:输入策略名称、策略描述,并选择是否启用。
3.2 适用范围:该策略生效的对象范围。单击添加适用范围 ,您可以通过添加或排除终端,来进行精细化的管控范围设置。
3.3 编辑策略:配置功能模块配置参数,勾选终端网络访问控制,单击保存。
步骤2:配置网络访问隔离
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择终端安全策略 > 终端管控。
2. 在终端管控页面,选择上网拦截与网络隔离,单击新建策略。
3. 在新建上网拦截与网络隔离策略页面,配置基本信息:输入策略名称、策略描述,并选择是否启用。
4. 适用范围:该策略生效的对象范围。单击添加适用范围 ,您可以通过添加或排除用户、组织架构、自定义用户组和终端,来进行精细化的管控范围设置。
5. 勾选网络访问控制,开启隔离开关,单击编辑设置办公网或互联网。
办公网:选择白名单模式,地址配置为内网网段,并根据需求配置其他参数。
参数名称 | 说明 |
豁免指定目标 | 通常配置为两网下同时需要访问的 IP,两个网络(办公网&互联网)都需要配置。 注意: 此处需要将 iOA 服务器相关的所有内外网 IP(包括服务器前端的 LB)都添加到到内网和外网的豁免 IP 中,以防止策略配置错误导致终端失联。 |
配置 DNS 管理 | 自动获取:客户端从网络中自动获取 DNS 地址。 使用下发地址:切换网络后 DNS 设置为下发地址。 注意: 若配置了下发 DNS 地址,则需要确保终端能够访问到下发的 DNS 地址。建议内网和外网使用相同的 DNS 配置方式。 如果内网配置为下发 DNS,而外网配置为忽略,那么从内网切换到外网时由于外网配置为忽略,此时设备依然会保持为内网下发的 DNS 地址。若此时外网环境下无法访问这个 DNS 地址,则会导致网络异常。 |
互联网:选择黑名单模式,地址配置为内网网段,并根据需求配置其他参数。
6. 登录绑定:根据实际情况选择,效果验证请参见 步骤3:效果验证。
7. 默认网络选择为办公网,单击保存。
步骤3:效果验证
说明:
为了更好的用户体验,我们强烈建议终端开启客户端弹窗功能,以通知用户目前所处网络状态,防止网络切换导致业务无法访问。如果用户不小心单击了“不再提醒”,导致不出现提醒弹窗,可以通过卸载后重新安装来恢复弹窗提醒。仅覆盖安装无法解决此问题。
Windows 端弹窗由控制台弹窗开关控制
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择终端安全策略 > 客户端管理。
2. 在客户端管理页面,选择客户端自保护,单击新建策略。
3. 在新建客户端自保护策略页面,填写基本信息、使用范围和编辑策略。
3.1 基本信息:输入策略名称、策略描述,并选择是否启用。
3.2 适用范围:该策略生效的对象范围。单击添加适用范围,您可以通过添加或排除终端,来进行精细化的管控范围设置。
3.3 勾选禁止客户端相关弹窗,选择不禁止。
3.4 配置完成单击保存。
4. 在 步骤2 支持设置登录绑定场景:
开启登录绑定的场景,登录 NGN 后提示切换到内网,终端能正常访问内网范围地址,无法访问非内网范围地址。
注销 NGN 后提示切换到外网,终端无法访问内网范围地址,可以访问非内网范围地址。
未开启登录绑定的场景:Windows 端表现如下图所示。
macOS 端可在系统通知中开启
1. 在 macOS 系统中,选择系统设置。
2. 在通知页面,选择腾讯 iOA。
3. 开启允许通知按钮。
4. 在 步骤2 支持设置登录绑定场景:
开启登录绑定的场景:登录 NGN 后提示切换到内网,终端能正常访问内网范围地址,无法访问非内网范围地址。
注销 NGN 后提示切换到外网,终端无法访问内网范围地址,可以访问非内网范围地址。
关闭登录绑定的场景:macOS 端切换网络显示内网/外网。
