本主题介绍了如何通过指定 Edge 防火墙或路由器上的输出 NAT 地址来定义内部网络的范围。通过以这种方式定义内部网络,Universal Broker 服务将可以应用特定于网络的策略,例如使内部用户绕过双因素身份验证。
要为 Universal Broker 定义内部网络,请使用代理页面中的网络范围选项卡来指定与内部最终用户流量对应的所有输出 NAT 地址范围。
该 Universal Broker 服务将 Edge 路由器或防火墙上指定的输出 NAT 地址范围识别为源自内部网络。从这些范围内的来源进行连接的用户被视为内部用户。从这些范围之外的来源进行连接的用户被视为外部用户。
重要说明: 如果您的网络配置发生更改,并且有任何指定的地址范围不再使用,则必须手动从“网络范围”列表中删除这些不再使用的范围。
Universal Broker 服务不会检测某个地址范围是否正在使用中,因而不会自动从列表中删除任何范围。
前提条件
确定 Edge 路由器或防火墙上与内部最终用户流量对应的输出网络地址转换 (NAT) 地址。
过程
下一步做什么
您可以使用“网络范围”选项卡中的控件来编辑或删除该列表中的某个范围。
注: 从该列表中删除范围之前,请考虑以下几点:
- 删除某个输出 NAT 地址范围后,Universal Broker 会将该范围视为属于外部网络。
- 如果从该列表中删除所有范围,Universal Broker 会将所有用户均视为外部用户。届时,您将无法再对内部用户应用策略,例如绕过已启用的双因素身份验证的策略,即使已为容器配置内部 Unified Access Gateway 实例也是如此。