出口网关

1 关于出口网关（路由所有流量）

    在员工的联网设备和互联网之间，或者应用服务器之前，很多企业会考虑部署安全Web网关SWG设备，它会从Web流量中过滤掉不安全的内容，从而阻止网络威胁和数据泄露，或者未经授权的访问行为。飞网提供了出口网关的功能，该功能将飞网设备中的所有外部流量，统一经由开启了出口网关功能的设备进出，这台设备中即可部署或者路由至SWG。

2 检测影子IT

    开启“出口网关”功能后会将所有互联网流量路由到“出口网关”，以便为您的用户实施精细控制，阻止他们受到未知的安全威胁。现在，飞网还为您的团队提供了一个易用、高可见性的网络概览，让您可以更放心地了解您环境中正在使用的SaaS应用程序。

    基于审计和安全目的，您组织的所有HTTP请求都会聚集在“出口网关”活动日志中。在活动日志中，我们显示关于用户、操作和请求的相关信息。这些记录包括关于应用程序和应用程序类型的数据。“出口网关”分析您在活动日志中的HTTP请求，并对这些看似繁杂的应用程序进行分类和排序，自动将其转化为可操作的汇总界面。这些将有助于您进一步部署自动化的HTTP过滤规则，以阻止“出口网关”中未经批准的应用程序。

3 配置出口网关

3.1 配置使用出口网关的访问控制策略

    添加允许使用出口网关的策略，如果已有允许使用出口网关的策略，或者使用默认“全部允许”的规则，则不再需要执行此步骤。

    在控制面板中打开“访问控制”页面，在“允许访问策略”栏，点击“添加”按钮。此访问控制策略示例是允许所有用户通过出口网关访问互联网。

3.2 将一台设备开启出口网关

Windows

Android

Linux

Linux操作系统开启此功能需要先启用IP转发：

echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding = 1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p /etc/sysctl.conf

在您想用作出口网关的设备中，运行以下命令开启出口网关：

sudo gmzta on --outnode

3.3 通过控制面板启用出口网关

    在控制面板中打开“出口网关”页面，找到要开启出口网关的设备，在“操作”列开启。

3.4 另一台设备使用出口网关

    针对不同的操作系统，使用说明如下：

Windows

    您可以通过系统托盘菜单中使用出口网关。右击飞网图标并导航到“出口网关” 在“使用其他设备的出口网关”的下面即可查看到开启出口网关的设备，单击其设备名称就可以使用它的出口网关。

    如果您想在流量通过出口网关路由时允许直接访问本地网络，请选择“允许通过出口网关访问本地网络”。通过单击取消勾选开启出口网关的设备即可取消使用出口网关。

Android

    点击使用出口网关，然后选择使用出口网关的节点。

Linux

//运行 gmzta on --out=<开启出口网关设备的 gmzta IP 地址>的命令使用出口网关
sudo gmzta on --out=<开启出口网关设备的 gmzta IP 地址>
//通过设置--outwithlan=true 以允许通过出口网关访问本地网络。
sudo gmzta on --out=<outnode-ip> --outwithlan=true
// 禁用出口网关
sudo gmzta on --out= 

4 检验

    在Windows与Android操作系统上您可以通过使用在线工具 https://www.ip138.com/ 检查您的互联网 IP 地址来验证您的流量是否由另一台设备路由。您应该看到的是开启出口网关设备的互联网地址，而不是本地网络的互联网地址。

    在Linux操作系统上您可以使用curl ifconfig.me 命令查看外网地址。