您有兩個獨立的VLAN。您如何部署私有訪問?
要管理您應用程式的存取權限,必須 建立私人存取規則。
情境
您公司運行著兩個獨立的VLAN,這些VLAN無法相互通信,且無法從各自網路外部訪問。每個VLAN都承載著多個內部服務。兩名員工在網路外部,正嘗試訪問這些服務。
您的 VLAN 和內部服務
|
VLAN
|
內部服務
|
|
VLAN_1
|
|
|
VLAN_2
|
|
部署連接器群組
首先,您建立連接器群組並部署連接器。連接器群組用於公開VLAN,允許外部使用者訪問其中托管的內部服務。
由於您有兩個獨立的 VLAN,您必須部署兩個連接器——一個在 VLAN_1,另一個在 VLAN_2。
建立內部應用程式
部署連接器後,必須在 Trend Vision One 主控台中添加內部應用程式,以使連接器能夠識別其可以在內部網路上訪問的應用程式。
由於您有 4 項用戶訪問服務,您需要創建 4 個與這些服務相對應的內部應用程式。
在此情境中,當將
Service_1 和 Service_2 添加為內部應用程式時,應將這兩個服務指派給 Connector Group 1,因為此連接器群組部署在與這些服務相同的 VLAN 中。相反地,Service_3 和 Service_4 應指派給 Connector Group 2 |
注意現在我們正在設置內部應用程式,使用者將能夠通過配備Secure Access Module的裝置訪問這些應用程式。然而,某些內部應用程式的訪問僅限於擁有永久權限的使用者。
此外,名為
Default Rule for Internal App Access的預設規則會封鎖所有使用者存取內部應用程式。 |
建立私密存取規則
要管理我們剛剛建立的應用程式的存取權限,至關重要的是建立私人存取規則。
例如,服務 1 和服務 2 可以允許員工 A 和員工 B 訪問。然而,服務 3 僅限於員工 A,而服務 4 只對員工 B 開放。
|
VLAN
|
可存取者
|
|
|
VLAN_1
|
Service_1
|
|
|
Service_2
|
|
|
|
VLAN_2
|
Service_3
|
員工 A
|
|
Service_4
|
員工 B
|
然後,我們為這些使用者建立兩個私有存取規則:規則允許 A 和規則允許 B。
- 規則允許 A:此規則授予員工 A 訪問服務 1、2 和 3 的權限。
- 選定的使用者/使用者群組:員工A
- 選擇的應用程式:服務 1、2 和 3
- 操作:允許內部應用程式存取
- 規則允許 B:此規則授予員工 B 訪問服務 1、2 和 4 的權限:
- 選定的使用者/使用者群組:員工 B
- 選擇的應用程式:服務 1、2 和 4
- 操作:允許內部應用程式存取
由於預設規則已經封鎖了訪問。因此,員工A仍然無法訪問服務4,員工B仍然無法訪問服務3。