出口网关

1 关于出口网关(路由所有流量)

    在员工的联网设备和互联网之间,或者应用服务器之前,很多企业会考虑部署安全Web网关SWG设备,它会从Web流量中过滤掉不安全的内容,从而阻止网络威胁和数据泄露,或者未经授权的访问行为。飞网提供了出口网关的功能,该功能将飞网设备中的所有外部流量,统一经由开启了出口网关功能的设备进出,这台设备中即可部署或者路由至SWG。

2 检测影子IT

    开启“出口网关”功能后会将所有互联网流量路由到“出口网关”,以便为您的用户实施精细控制,阻止他们受到未知的安全威胁。现在,飞网还为您的团队提供了一个易用、高可见性的网络概览,让您可以更放心地了解您环境中正在使用的SaaS应用程序。

    基于审计和安全目的,您组织的所有HTTP请求都会聚集在“出口网关”活动日志中。在活动日志中,我们显示关于用户、操作和请求的相关信息。这些记录包括关于应用程序和应用程序类型的数据。“出口网关”分析您在活动日志中的HTTP请求,并对这些看似繁杂的应用程序进行分类和排序,自动将其转化为可操作的汇总界面。这些将有助于您进一步部署自动化的HTTP过滤规则,以阻止“出口网关”中未经批准的应用程序。

3 配置出口网关

3.1 先决条件

    1. 在开始使用本指南之前,您至少需要两台设备加入同一个飞网网络内。

    2. 如果您的飞网使用的是默认的NACP(网络访问控制策略),则不需要修改NACP,默认的NACP允许所有的用户通过出口网关访问互联网。如果您修改了NACP,需要设置相关NACP才能确保用户通过出口网关访问互联网。

    下面是要添加到NACP中ACLS配置的示例行,允许所有用户通过出口网关访问互联网。

{ "action": "accept",
  "src": ["autogroup:members"],
  "dst": ["autogroup:internet:*"]
  },

3.2 将一台设备开启出口网关

Windows

Android

Linux

Linux操作系统开启此功能需要先启用IP转发:

echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding = 1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p /etc/sysctl.conf

在您想用作出口网关的设备中,运行以下命令开启出口网关:

sudo gmzta on --outnode

3.3 通过控制面板启用出口网关

    在控制面板中打开“设备详细”页面,然后找到开启子网网关的设备,点击“编辑”,打开“开启出口网关”的按钮、最后点击保存。

3.4 另一台设备使用出口网关

    针对不同的操作系统,使用说明如下:

Windows

    您可以通过系统托盘菜单中使用出口网关。右击飞网图标并导航到“出口网关” 在“使用其他设备的出口网关”的下面即可查看到开启出口网关的设备,单击其设备名称就可以使用它的出口网关。

    如果您想在流量通过出口网关路由时允许直接访问本地网络,请选择“允许通过出口网关访问本地网络”。通过单击取消勾选开启出口网关的设备即可取消使用出口网关。

Android

    点击使用出口网关,然后选择使用出口网关的节点。

Linux

//运行 gmzta on --out=<开启出口网关设备的 gmzta IP 地址>的命令使用出口网关
sudo gmzta on --out=<开启出口网关设备的 gmzta IP 地址>
//通过设置--outwithlan=true 以允许通过出口网关访问本地网络。
sudo gmzta on --out=<outnode-ip> --outwithlan=true
// 禁用出口网关
sudo gmzta on --out= 

4 检验

    在Windows与Android操作系统上您可以通过使用在线工具 https://www.ip138.com/ 检查您的互联网 IP 地址来验证您的流量是否由另一台设备路由。您应该看到的是开启出口网关设备的互联网地址,而不是本地网络的互联网地址。

    在Linux操作系统上您可以使用curl ifconfig.me 命令查看外网地址。

上次更新: