2022深信服云安全訪問服務平臺用戶手冊V3.0.1

深信服云安全訪問服務平臺SASE用戶手冊文檔版本03發(fā)布日期2022-04-19深信服云安全訪問服務平臺用戶手冊STYLEREFSANGFOR_1_標題1前言文檔版本01（2021-06-19）注意事項配置好上網行為日志中心后保證云平臺能夠與外置日志中心服務器正常通信。用戶訪問數據中心查詢頁面的時候，需要保障用戶和服務器能相互通信。系統(tǒng)日志操作日志操作日志主要用于記錄管理員在該平臺所有操作行為，例如登陸、導入、導出、新增、編輯、下載、認證策略、啟用、禁用等操作。支持對時間、操作對象、操作類型進行篩選，一鍵導出日志等功能。策略配置策略模塊中主要包括上網策略、認證策略、引流策略三大類型，您接入平臺后不僅需要安裝對應設備或插件，更重要的是配置對應策略，這樣才能真正管控公司的網絡，防范風險?；ヂ?lián)網訪問Web端審計WEB審計用于對內網用戶通過設備訪問互聯(lián)網的行為和內容進行審計。例如：當不允許運功員工利用內網訪問微博、論壇的行為，并對其進行審計操作。配置流程：首先需要在[配置/用戶/用戶管理]配置好用戶信息，主要是配置需要審計的用戶。在[策略/上網行為/內容識別]配置好SSL解密，如果不配置可能導致部分審計無法生效。在[策略/上網行為/Web端審計]配置需要審計的網站和應用。操作步驟在[策略

/上網行為/

內容識別]配置好SSL解密策略，如果為配置的話，需要新增一條，如新增一條SSL解密中間人解密策略，填寫策略名稱，描述信息可選，并啟用該策略。策略設置勾選SSL中間人解密，識別內容勾選[應用、網頁]選擇全部，適用范圍選擇需要解密和審計的用戶、終端、目的IP、IP段。在[策略

/上網行為/

Web端審計]新增一條策略，填寫策略名稱和描述信息（可選）狀態(tài)選擇啟用。審計內容可選擇微博和論壇；文件類型選擇全部；動作選擇審計；生效時間可選擇上班時間，適用范圍選項需要審計范圍的用戶、終端、目的IP和IP段，點擊<確定>配置完成。配置完成之后，用戶訪問微博和貼吧，客戶端會對客戶訪問的行為進行審計和記錄訪問的日志?？稍赱分析/上網行為/全部行為]去查看已經審計到員工訪問的日志行為，其中包括用戶名，類型和名稱、訪問記錄和時間等?？蛻舳伺c外設審計該策略是對U盤、移動硬盤的外發(fā)／拷貝文件和客戶端應用（其中包括IM審計、郵件客戶端、遠程類、文件傳輸）進行審計，未配置的內容默認不受審計。注意：使用引流設備的員工需下載插件并安裝至PC才能生效策略（客戶端用戶無安裝）。類別說明IM審計：通過準入客戶端的方式審計內網用戶的IM聊天記錄和外發(fā)附件的內容。可選微信、釘釘、QQ多種IM應用，可根據需求單獨勾選內容審計或附件審計。郵件客戶端僅審計發(fā)送郵件，接收郵件不支持審計。通過準入客戶端的方式審計內網用戶使用郵件客戶端發(fā)送郵件附件。遠程類通過準入客戶端的方式審計終端通過遠程類軟件傳送的文件。目前包括TeamViewer、向日葵、AnyDesk、RDP四種遠程類軟件可選運維類通過準入客戶端的方式審計終端通過運維類工具發(fā)送的文件。目前包括XShell、PShell、MobaXterm、SecureCRT四種運維工具。文件傳輸類通過準入客戶端的方式審計終端通過文件傳輸類工具傳輸的文件。目前包括WinSCP、XFtp、FileZilla、SecrusFX四種文件傳輸工具。例如：當某企業(yè)不允許員工對U盤外發(fā)／拷貝文件和使用遠程類客戶端為了防止泄密，并對該行為進行審計和監(jiān)控。操作步驟在[策略

/上網行為/

客戶端與外設審計]點擊新增一條策略。配置如下：策略名稱：例如防泄密描述信息：選填啟/禁用：啟用審計對象：勾選［U盤及移動硬盤］、［客戶端應用］應用類型：選擇“遠程類”文件類型：選擇“全部”生效時間：選擇“全天”高級設置：保持默認項，不支持準入系統(tǒng)的終端允許上網適用范圍：選擇“全部”當員工使用U盤和遠程類的客戶端時，會被監(jiān)控和審計，可到[分析/上網行為/全部行為]看到員工訪問的時間和日志。Web與客戶端管控Web主要用于配置應用可根據個性化標簽降低工作效率、安全風險、發(fā)送電子郵件、SaaS應用、微博和微博發(fā)帖、高帶寬消耗、和外發(fā)文件泄密風險等。以上應用類型可以在設備聯(lián)網的情況下通過規(guī)則庫更新。Web文件主要又HTTP和FTP傳輸方式；郵件客戶端可根據發(fā)送郵件、接收郵件、關鍵詞、附件、限額等方式進行設置審計。點擊新增策略，根據實際情況進行填寫，以下為舉例配置說明。策略名稱：例如防泄密描述信息：選填啟/禁用：啟用管控內容：根據實際需求選擇適用范圍：選擇［全部］配置完成后，可在[分析/上網行為/全部日志]，查看到對應監(jiān)控審計的結果日志。外設管控該策略主要用于配置外部設備，如U盤、移動硬盤、手機等的接入權限。例如：插入U盤到受控電腦，當您開啟外設管控策略后，您將無法從電腦中拷貝數據。未配置的內容默認不受管控。您可根據實際情況，選擇所需管控的設備。點擊新增策略，以下為舉例配置說明，您可根據實際需求進行策略管控。策略名稱：例如U盤、移動硬盤管控描述信息：選填啟/禁用：啟用U盤、移動硬盤：選擇［允許］手機、平板：選擇［允許］網絡設備：選擇［允許］藍牙設備：選擇［允許］攝像頭：選擇［允許］打印機：選擇［允許］生效時間：選擇［全天］適用范圍：選擇［全部］配置完成后，可在[分析/上網行為/全部日志]，查看到對應監(jiān)控審計的結果日志。流控策略支持查看應用和用戶流速趨勢。支持基礎的流量管控，可針對單個用戶或應用進行流量限制。應用場景適用于RT或BYOD場景。操作步驟1.配置流控策略a.請登錄云安全訪問服務平臺，點擊【策略】→【流控策略】，您可在此新增、刪除、啟用、禁用策略或調整策略的優(yōu)先級。b.點擊【新增】，選擇限制單個用戶或應用最大帶寬，點擊【確定】，策略生效。我們可以通過“測速網”、“首頁【上網流量統(tǒng)計】“、“瀏覽視頻網站“感受流控效果。對受控員工來說，當流控策略生效后，如管控單用戶最大帶寬為1Mb/s，這樣單個用戶最大使用帶寬為1Mb/s，如管控應用，例如您選擇限制A、B、C三個視頻網站最大帶寬為10Mb/s，所有員工都可以瀏覽A、B、C三個應用，當達到10Mb/s時，訪問將受限，出現(xiàn)卡慢、加載中的情況。2.查看流控效果在首頁【上網行為】頁中可查看應用流速趨勢和用戶流速趨勢。解密配置云安全訪問服務平臺提供解密配置，您可以通過解密配置解密SSL流量，從而實現(xiàn)更全面豐富的審計，本文介紹了解密配置的具體操作。應用場景實現(xiàn)更全面豐富的審計效果，適用于RT和客戶端場景；如果不配置將導致web審計策略無法生效。為什么需要對SSL流量解密？SSL(SecureSocketsLayer)是為網絡通信提供安全及數據完整性的一種安全協(xié)議，通過在瀏覽器和Web服務器之間構造安全通道來進行數據傳輸。為了保護敏感數據在傳送過程中的安全，互聯(lián)網超過80%的Web流量均采用SSL加密。因此，如果需要全面豐富的內容審計，必須對加密流量進行解密。操作步驟登錄云平臺，打開“策略>解密配置”頁面，查看使用幫助，可以了解兩種解密效果的區(qū)別和優(yōu)劣勢對比，您可以同時勾選或單獨選擇以下兩種解密方式。勾選開啟準入解密選擇解密內容為全部/自定義應用、網頁，可以配置白名單，選擇不需要解密的內容。在高級配置選擇拒絕QUIC協(xié)議，建議拒絕，以避免漏審。選擇此配置適用對象。完成準入安裝配置，點擊后跳轉至“準入與證書配置”頁面，詳情可在“準入與證書配置”使用說明文檔查看。點擊“確定”提交，解密生效，可配置web審計策略，查看審計效果。勾選開啟證書解密選擇解密內容，可勾選應用網頁、郵件客戶端，可分別配置白名單。選擇此配置適用對象。完成證書安裝配置，點擊后跳轉至“準入與證書配置”頁面，詳情可在“準入與證書配置”使用說明文檔查看。點擊“確定”提交，解密生效，可配置web審計策略，查看審計效果。準入與證書配置云安全訪問服務平臺提供準入與證書配置，您可以在此配置準入和證書的下載、安裝卸載方式等，本文介紹了配置的具體操作。應用場景準入配置適用于配置完準入解密后，或需要單獨安裝準入以實現(xiàn)客戶端、外設管控時，準入的安裝；證書配置適用于配置完證書解密后，證書的安裝。操作步驟登錄云平臺，打開“準入與證書配置”頁面，在右側使用幫助處，您可以了解這兩個配置的使用場景，使用效果。配置準入插件選擇安裝方式為系統(tǒng)推送/手動安裝，如果是系統(tǒng)安裝，則由系統(tǒng)下發(fā)到策略中所匹配到的用戶/IP，您可以預覽推送，并編輯推送內容；如果是手動安裝，您需要在右側下載安裝包并安裝至被管理者的電腦上。高級配置：選擇對無法運行的終端允許上網/禁止上網；選擇是否開啟準入卸載密碼。配置證書選擇證書的安裝方式為系統(tǒng)推送/手動安裝，如果是系統(tǒng)安裝，可設置推送的范圍，并設置白名單，您可以預覽推送；如果是手動安裝，您需要在右側下載安裝包并安裝至被管理者的電腦上。互聯(lián)網應用庫深信服擁有強大的互聯(lián)網應用庫，并定期更新。確保目前主流使用的網站、應用等都能覆蓋，便于提升審計的精準度，幫助企業(yè)防范風險?；ヂ?lián)網應用庫主要用于審計或管控場景下。例如公司不允許員工在工作時間瀏覽新聞網站、購物網站，就從應用庫中勾選。一般情況，配置策略時候，建議勾選[全部]。URL分類庫深信服擁有強大的URL分類庫，并定期更新。確保目前主流使用的網站、應用等都能覆蓋，便于提升審計的精準度，幫助企業(yè)防范風險。支持自定義URL的新增和刪除，內置URL不支持刪除。點擊新增，可新建一個URL類別。您可根據實際業(yè)務需求進行填寫?？蛻舳诉M程庫客戶端進程庫主要展示進程庫列表，支持新增、刪除、查找進程功能。在此配置好的進程后，您新增“客戶引流策略”時，會需要從進程庫中選擇進程做引流或不引流。例如：您希望客戶端的流量都進行引流，從而達到審計、管控目的。但對于“釘釘”這個應用卻不想審計／管控，那么您就可以在[客戶端進程庫]中，新增“釘釘”這個進程。然后在配置“客戶端引流策略”時，選擇“釘釘”這個進程不引流。點擊<新增>，可新建一個進程庫，您可根據實際需求進行填寫。通用時間計劃組時間計劃組主要用于自定義時間組。此處配置好時間組后，在下發(fā)策略時，您就能選擇某策略應用的時間組（通俗講就是時間段）。例如：您想新建一條禁止訪問娛樂網站的管控策略，生效時間就是工作日全天。此處的生效時間，就是您提前在[配置/時間計劃組]中配置好的。點擊新增，可新建時間計劃組，您可根據實際需求進行選擇。告警設置告警設置主要用于監(jiān)測客戶端活躍情況，不活躍客戶端可能存在卸載客戶端、賬號錯誤等異常情況。當您開啟告警設置后，如客戶端超過設定天數未登陸，系統(tǒng)將會在首頁進行告警提示，幫助企業(yè)提前防范風險。下載中心您可從此處下載引流客戶端、準入插件、SSL根證書等。免密安裝包功能使用指南支持客戶端靜默安裝、免密認證，幫助客戶實現(xiàn)對終端用戶的無感知審計與管控。應用場景企業(yè)需具備域控或統(tǒng)一推送BYOD的能力，例如AD域。操作步驟整體部署流程如下：下載免密安裝包→統(tǒng)一推送、安裝→終端用戶登錄域或VPN自動接入1.1下載免密安裝包a.請登錄云安全訪問服務平臺，點擊【配置】→【客戶端下載】；b.找到免密安裝包查看對應說明，平臺對于Windows和Mac系統(tǒng)的終端提供了不同格式的安裝包，其中MAC暫不支持準入功能，您可根據實際需求進行下載。Windows場景下，我們提供了exe和msi兩種格式的安裝包，如您使用AD域進行推送，請點擊msi格式安裝包，因為AD域推送僅支持msi格式。c.點擊下載，平臺將彈窗提示，您需選擇終端用戶接入云端后的顯示名（統(tǒng)一的用戶特征信息）。平臺默認勾選MAC、計算機名，作為保障應對AD域或SSLVPN賬號名獲取不到的場景。舉例說明:如您使用AD域對企業(yè)員工組織結構等進行管控，希望終端接入平臺后，能夠在平臺看到員工用AD域賬號名上線。此時您可勾選AD域賬號名，后續(xù)員工開機登錄域賬號后，就能以域賬號名在平臺上線。如特殊情況無法獲取域賬號名時，平臺會自動獲取MAC或計算機名上線，這樣能夠確保極端場景下，我們也能輕松找到是哪個員工或者哪臺電腦存在風險。1.2統(tǒng)一推送安裝請前往AD域進行客戶端軟件的分發(fā)，實現(xiàn)全局靜默部署。1.3終端用戶免密接入終端用戶開機登錄AD域或VPN（目前僅支持深信服SSLVPN），將以AD域賬號名或VPN賬號名作為顯示名，自動接入SASE平臺。接入管理身份管理用戶管理用戶管理主要用于創(chuàng)建組織結構及用戶，管理員可在此對用戶進行統(tǒng)一管理。點擊【組織結構】右側的+（新增按鈕），可新增組織結構。您可根據實際需求進行填寫，點擊確定，完成新組的創(chuàng)建。同時，組右側需要建立對應的用戶。點擊【用戶列表】中的新增，可新增用戶賬號，您可根據實際需求進行填寫。點擊確定，用戶列表中就新增一個用戶賬號。用戶數量較多時，您可選擇批量導入功能。點擊下載模板，填寫好模板所需信息，再進行導入。點擊導出，為確保信息安全，需進行手機號驗證。認證策略該策略主要設置上網方式，不設置則默認全部允許上網并不做認證。當用戶需要上網時，可選擇“用戶名密碼認證”、“短信認證”或“不需要認證”。開啟該策略后，我們可以針對不同IP范圍選擇不同的認證方式。例如：內部員工可以采用“密碼認證”方式，訪客可采用“不需要認證”或“短信認證”。點擊新增策略，以下為推薦設置，您可根據實際需求進行填寫。策略名稱：例如員工認證。描述信息：選填。啟/禁用：選擇［啟用］。適用范圍：輸入需認證網段，例如-54。上網許可：選擇［允許（需認證）］。認證方式：選擇［賬號密碼認證］。高級設置：選擇［認證后跳轉至認證結果頁面］。訪客上線組：選擇［員工組］，勾選［上線后自動錄入該組］。單點登錄配置在客戶有域控能力情況下，員工電腦開機登陸域即自動通過認證，用戶以域身份直接上網，實現(xiàn)對員工上網的無感知審計、管控。應用場景企業(yè)在網絡出口處采用深信服SASE引流設備，且使用AD域對企業(yè)組織結構等進行管理。操作步驟整體部署流程如下：引流設備上架→SASE平臺下載腳本→推送腳本至終端→SASE平臺配置認證策略→終端用戶接入1.1引流設備上架在企業(yè)網絡出口處完成SASE引流設備的相關部署。1.2SASE平臺下載腳本登錄云安全訪問服務平臺，點擊【配置】→【單點登錄配置】，下載腳本和配置說明。1.3推送腳本至終端通過AD域統(tǒng)一推送腳本至終端，具體操作請參見“單點登錄配置說明”。1.4配置認證策略返回云安全訪問服務平臺，點擊【策略】→【認證策略】，進行認證策略的配置。勾選【上網許可】處的【單點登錄】，填寫相關配置信息，點擊確定即可生效。終端用戶登錄AD域后，將自動以AD域賬號身份接入到SASE平臺。1.5終端用戶接入終端用戶電腦開機登陸域即自動通過認證，用戶以域身份直接上網。用戶源配置支持同步LDAP、IDAAS用戶源信息，填寫相關配置信息，即可同步用戶源?？蛻舳私尤胍鞑呗钥蛻舳丝蓪τ脩粼L問的網站和應用等進行引流設置，引流對象包括目的IP、域名、進程，或者將不引流的應用的IP、域名或者進程名配置排除流的策略里。(客戶端引流策略僅適用于軟件引流)。如下常用配置參考。需求場景客戶有一臺裝有客戶端的終端，需要向固定IP地址:23開放8080端口，且需要訪問內網服務器地址，現(xiàn)在想實現(xiàn)對該終端上網行為的審計并且不影響對外提供的服務。操作步驟在[配置/客戶端引流]新增一條策略，策略名稱可根據需求填寫，選擇啟用狀態(tài)。2.根據場景需求設置策略，設置對象：勾選目的IP，地址填寫如“23”，動作選擇不引流。生效時間選擇全部，適用范圍：選擇需要審計的客戶端，點擊<確定>完成配置。3.再新增一條審計該終端的上網行為且排除的引流策略，設置對象：勾選目的IP，地址填寫如“-55”，動作選擇引流。勾選域名，地址填寫“”，動作不引流。生效時間選擇全部，適用范圍：選擇需要審計的客戶端，點擊<確定>完成配置。4.兩個策略創(chuàng)建成功，將排除策略的優(yōu)先級調整到最高。5.當使用客戶的用戶去訪問目的地址和內部服務器時，不會被引流，且能正常訪問，當用戶訪問其他網站和應用時，會被審計，可在[分析/上網行為/

全部行為]查看到引流的行為日志?？蛻舳伺渲觅徺I了客戶端服務的才需要進行這個模塊的配置，其中默認選擇開啟終端防退出、防卸載、DNS引流設置。以下為推薦設置，您可根據實際需求進行填寫。信任IP：當您既有RT設備和BYOD時，為了防止引流沖突，需要配置信任域。已支持受信檢測的信任AC：當IP沖突時，輸入網關序列號，確保正常引流。信任VPN：如您用到VPN訪問，但不希望被引流時，可輸入信任VPN，開啟后，訪問VPN，將不再引流。高級設置開啟終端防退出密碼保護：輸入設定密碼，防止終端用戶退出客戶端。開啟終端防卸載密碼保護：輸入設定密碼，防止終端用戶卸載客戶端。開啟DNS引流：防止郵件漏審，建議開啟。需配置公網DNS，配置非公網DNS將導致引流后DNS不可用。攔截IPv6DNS請求，建議開攔截，不開啟可能會出現(xiàn)漏審的情況。設備接入使用云圖授權接入SASE（適用于SDW-R）步驟1：付費下單一線銷售在深信服訂單系統(tǒng)下單，備注：使用SASE引流功能，升級到SDW-R4.0.52版本步驟2：登錄云圖，訪問授權中心點擊“現(xiàn)在激活”，即可開始綁定設備步驟3：激活設備可以選擇通過訂單號或者網關ID添加設備。步驟4：完成添加步驟5：設備接入完成上述操作后，將對應SD-WAN-R設備接入公網，即可自動接入SASE平臺。使用接入碼接入SASE步驟1：查看/更新接入碼配置?接入管理?設備管理?引流接入碼接入設備需要使用接入碼才可以接入SASE平臺。租戶獲得該接入碼后，在設備端填寫該接入碼，即可成功接入SASE平臺。步驟2：在引流設備上填寫接入碼登錄引流設備前端，填寫接入碼并保存。步驟3：設備接入完成上述操作后，將對應信銳設備接入公網，即可自動接入SASE平臺。引流設備管理查看設備配置?接入管理?設備管理引流設備不需要用戶在SASE平臺手動創(chuàng)建，由設備端對接成功后，SASE平臺前端自動展示相應設備的信息。如果有設備接入，按如下展示編輯設備模式與設備模板點擊設備后，可以切換模式；云端模式時，設備端會獲取云端配置的內容，不使用設備本地的配置；本地模式時，設備端使用設備本地的配置。點擊設備后，可以切換模板；若引流配置模式為云端模式，則設備會按照模板的配置執(zhí)行引流功能；修改引流狀態(tài)若用戶需要修改設備的引流開關，可以在設備詳情處開啟或關閉引流。預計1分鐘內，引流狀態(tài)會生效。修改引流節(jié)點設備接入后會分配默認引流節(jié)點至設備端，若用戶需要修改引流節(jié)點，可以在設備詳情處點擊切換，手動選擇POP點，若用戶存在私有POP節(jié)點，也可以自行切換至私有節(jié)點。刪除設備存在已經被下架的設備時，可以在設備狀態(tài)為離線時，在SASE平臺上將對應設備刪除。如果設備為在線狀態(tài)，則不被允許刪除。設備引流模板查看模板配置?接入管理?模板管理租戶存在默認模板，當設備接入時，會默認使用默認模板，可在引流設備管理頁切換成其他模板。新增/編輯模板點擊新增、編輯后，會跳轉到規(guī)則頁，此時可以編輯基礎匹配規(guī)則以及域名匹配規(guī)則。基礎匹配規(guī)則是基于五元組的匹配規(guī)則，用戶可以根據自己的需要，設定需要引流或者需要排流的IP、端口、協(xié)議。域名匹配規(guī)則是基于域名的匹配規(guī)則，用戶可以根據需要，設定針對某些域名的引流或者排流。域名匹配規(guī)則的優(yōu)先級默認高于基于匹配規(guī)則。刪除模板如果存在不需要的模板，點擊刪除即可。默認模板、以及已被關聯(lián)的模板不被允許刪除。3.9個人中心在平臺右上方點擊【個人中心】，下拉查看選項。點擊賬號管理，可跳轉至云圖平臺，展示用戶基本信息，包括用戶名、郵箱、電話，可編輯修改賬號信息。點擊切換語言，可切換語言為中/英文，切換后平臺支持記憶，在下次登錄時移舊保留所選語言。點擊退出登錄，則注銷賬號并回到登錄頁。4.SASEVPN配置指南4.1.1連接器新增連接器使用SPA租戶登錄租戶平臺，進入導航》策略配置》連接器首次進入連接器功能頁面如下圖，點擊創(chuàng)建連接器彈出新增連接器輸入框，連接器名稱輸入“newcon”（名字可任取）新增成功后即可看到我們新增的連接器“newcon”，除了連接器名稱，還有軟件版本、關聯(lián)應用數量、操作（下載連接器、刪除）刪除連接器使用SPA租戶登錄租戶平臺，進入導航》策略配置》連接器，點擊操作中的刪除按鈕彈出確認刪除提示框，點擊“確認”，即可完成連接器的刪除（注：如果該連接器安裝包功能將會失效，即使部署成功，也不能與平臺對接；部署連接器流程可參考2.1.3.連接器部署）。注：（1）當連接器已關聯(lián)內部應用后，刪除按鈕會處于置灰狀態(tài)，無法刪除，需要先刪除所有關聯(lián)的內網應用后，才可以刪除連接器；如何查看關聯(lián)內網應用及刪除內網應用可參考步驟2.2.內網應用管理。連接器部署步驟1：下載連接器使用SPA租戶登錄租戶平臺，進入導航》策略配置》連接器，選擇剛創(chuàng)建的連接器，點擊操作中的下載連接器等待下載完成后，將剛下載的壓縮包，導入提前準備的服務器中注：（1）服務器版本要求：centos7.9及以上；ubuntu支持5.2.1及以上（建議ubuntu-16.04.7）；目前僅支持64位系統(tǒng)（2）服務器硬件要求：4核8G起步驟2：上傳安裝包將連接器安裝包上傳到Linux服務器，放在/home路徑下。步驟3：解壓安裝包輸入命令：cd/home輸入命令：tar-xfconnector-xxx.tar（xxx為連接器名稱）輸入命令：ls示例：步驟4：進入安裝目錄輸入命令：cdtarget輸入命令：ls示例：步驟5：執(zhí)行安裝輸入命令：./install.sh示例：步驟6：修改配置文件輸入命令：vim/opt/sangfor/spa-connector/connector/conf/dev.toml將租戶相關配置route中/16改成/11執(zhí)行：按Esc鍵，點擊“:”輸入：wq保存配置后執(zhí)行：systemctlrestartconnector步驟7：安裝成功查看連接器運行狀態(tài)，狀態(tài)為active(running)表示安裝成功。輸入命令：systemctlstatusconnector常見連接器排障方法FAQ1:如何查看連接器是否正常執(zhí)行systemctlstatusconnetor，查看狀態(tài)是否正常，顯示active（running）即為正常查看連接器日志執(zhí)行tail-100f/var/logs/spa/connector/conns.log檢查是否與CServer連接器異常，如提示getcasconfigerr；檢查域名是否能ping通FAQ2:內網應用無法訪問，連接器能抓到包但沒有回包在連接器執(zhí)行：tcpdump-isangfortun-nnehost目的IP查看提示unreachable檢查iptables；回包被iptables攔截執(zhí)行：iptables-tnat-F刪除nat表所有規(guī)則即可解決注意：注意備份手動添加的iptables規(guī)則FAQ3:內網應用無法訪問，連接器無法抓到包檢查租戶是否開通了多個POP節(jié)點通過訪問百度搜索ip；查看當前ip歸屬地，確認當前歸屬地的pop節(jié)點是否上線SPA業(yè)務FAQ4:內部應用域名引流失敗（1）域名引流需要手動在sase平臺開啟DNS引流；開啟路徑：導航》接入管理》高級設置；找到開啟DNS引流4.2.1內網應用管理功能1：新增內網應用使用SPA租戶登錄租戶平臺，進入導航》策略配置》配置》內網應用進入內網應用配置界面，點擊新增彈出新增界面輸入應用名稱：任意取名選擇分組：默認為默認組；如需要選擇其他分組需要手動先創(chuàng)建分組，創(chuàng)建分組方法可以參考功能2：創(chuàng)建分組協(xié)議：支持http、https、tcp、udp協(xié)議；http協(xié)議默認端口80、https默認端口為443；選擇tcp和udp協(xié)議支持自定義端口號應用地址：支持配置iP、ip端或域名；如選擇協(xié)議為tcp及udp協(xié)議，則不支持配置域名端口：一行輸入一個，最多可支持128行，支持設定端口范圍，如1-65535；（注：僅在協(xié)議選擇tcp或udp時展示）連接器：選擇我們剛創(chuàng)建的連接器即可功能2：創(chuàng)建分組點擊應用組右邊“+”即可新增分組功能3：搜索內網應用支持通過選擇指定連接器或全部連接器，輸入應用名稱或應用地址檢索內網應用4.2.2內網訪問策略功能1：添加內網訪問策略使用SPA租戶登錄租戶平臺，進入導航》策略配置》內網訪問》