本主题介绍了如何通过指定 Edge 防火墙或路由器上的输出 NAT 地址来定义内部网络的范围。通过以这种方式定义内部网络,Universal Broker 服务将可以应用特定于网络的策略,例如使内部用户绕过双因素身份验证。

要为 Universal Broker 定义内部网络,请使用代理页面中的网络范围选项卡来指定与内部最终用户流量对应的所有输出 NAT 地址范围。

Universal Broker 服务将 Edge 路由器或防火墙上指定的输出 NAT 地址范围识别为源自内部网络。从这些范围内的来源进行连接的用户被视为内部用户。从这些范围之外的来源进行连接的用户被视为外部用户。

重要事项: 如果您的网络配置发生更改,并且有任何指定的地址范围不再使用,则必须手动从“网络范围”列表中删除这些不再使用的范围。 Universal Broker 服务不会检测某个地址范围是否正在使用中,因而不会自动从列表中删除任何范围。

前提条件

确定 Edge 路由器或防火墙上与内部最终用户流量对应的输出网络地址转换 (NAT) 地址。

过程

  1. 选择设置 > 代理
  2. 在“代理”页面中,单击网络范围选项卡。
    将显示与内部最终用户流量对应的地址范围列表。
    注: 从技术上讲,如果“网络范围”选项卡引用了公共 IP 范围,这些条目就不是公共 IP 地址,而是 Edge 路由器或防火墙上的输出 NAT 地址。
  3. 要将某个输出 NAT 地址范围添加到该列表中,请单击添加。以 CIDR 格式输入介于允许范围 /1 和 /32 之间的范围。然后,单击保存
  4. 继续将更多输出 NAT 地址范围添加到该列表中,直到定义了您内部网络流量的全部范围为止。

后续步骤

您可以使用“网络范围”选项卡中的控件来编辑删除该列表中的某个范围。

注: 从该列表中删除范围之前,请考虑以下几点:
  • 删除某个输出 NAT 地址范围后,Universal Broker 会将该范围视为属于外部网络。
  • 如果从该列表中删除所有范围,Universal Broker 会将所有用户均视为外部用户。届时,您将无法再对内部用户应用策略,例如绕过已启用的双因素身份验证的策略,即使已为容器配置内部 Unified Access Gateway 实例也是如此。