无端访问介绍

AOne 零信任无端访问（WebVPN）通过浏览器即服务的轻量化设计，兼顾便捷性与安全性，适用于需要远程访问内部资源的企业、高校、机构等场景。通过灵活选择 CNAME 或域名映射模式，配合动态权限管控和全流程加密，帮助用户构建安全、高效的零信任网络访问体系。

无端访问接入方式

目前提供两种接入方式进行服务，可按需选择具体接入模式。

CNAME 模式

• 适用场景 ：希望保留原有域名访问习惯，无需改变用户输入的域名。
• 配置方法 ：
  • 将企业现有域名通过 DNS 解析设置 CNAME 记录，指向 Aone 提供的 CNAME 地址。
  • 配置域名证书（HTTPS 场景），用于网关进行SSL流量处理。
• 访问流程 ：
  1. 用户在浏览器输入原有域名（如www.ctyun.cn），DNS 解析将请求转发至 Aone 边缘网关。
  2. 网关校验用户身份（未认证则跳转登录页，认证通过则继续）。
  3. 网关将域名解析为内网地址，用户通过网关安全访问内部应用。
• 优势 ：用户无需记忆新域名，保持原有访问习惯；隐藏内网真实 IP，提升安全性。

域名映射模式

• 适用场景 ：需要将公网访问域名改写为指定地址，或拆分多域名配置。
• 配置方法 ：
  • 平台自动生成无端访问地址（如具体应用为www.ctyun.cn，将改写为www-test.ctyun.cn），用户需通过该地址访问。
  • 若涉及 HTTPS，需在网关关联证书。
• 访问流程 ：
  1. 用户访问改写后的域名（如www-test.ctyun.cn），请求到达网关。
  2. 网关校验身份后，将请求转换回实际内网域名（www.ctyun.cn），后续交互均基于实际域名进行。
• 注意事项 ：
  • 若前端页面存在 JS 拼接 URL 或响应内容加密混淆，可能导致改写失败，需针对性适配。
  • 建议通过 Aone 返回的应用资源页面发起访问，确保流程稳定。

准备工作

• 已购买零信任远程办公服务（VPN版本及以上支持），并完成基本的远程办公接入（配置用户与组织、配置应用资源、配置应用授权、部署连接器），实现网络已连通。
• 准备好用于自有的域名（泛域名），该域名需具备解析管理权限以及拥有对应域名的 SSL 证书。若无对应域名，可联系我们进行审核安排处理。
• 明确要接入的应用（应用必须为Web类应用）。

无端访问配置

配置说明

1.登录边缘安全加速平台控制台。

2.支持在AOne零信任工作台进行配置。

3.在左侧导航栏，选择应用-无端访问进行相应配置。

需要提供泛域名、并完成证书配置后将提供CNAME地址，请将泛域名DNS解析指向提供的CNAME地址。

字段说明：

单应用开启无端访问

基于无端访问基础配置已接入后，需指定需通过无端访问的应用进行开启配置（需Web应用），目前支持CNAME与域名映射两种方式。

配置步骤

1.登录边缘安全加速平台控制台。

2.支持在AOne零信任工作台进行配置。

3.在左侧导航栏，选择应用-应用配置进行相应配置。

配置说明

CNAME

需要将域名解析到提供的CNAME值上进行访问服务，不影响原有用户使用习惯。

• DNS 解析设置 ：登录域名解析管理平台，添加一条 CNAME 记录。将企业现有的应用访问域名指向 Aone 提供的 CNAME 地址。配置完成后，等待 DNS 解析生效，一般在数分钟到数小时不等，具体取决于域名解析服务商的设置。
• 证书配置 ：若应用访问包含 HTTPS 请求，在 Aone 管理平台中进行证书关联操作。上传已准备好的与访问域名匹配的 SSL 证书，包括证书文件和私钥文件，以确保网关能够安全卸载 SSL 流量，保障数据传输安全。
• 内网域名解析配置 ：在 Aone 管理界面中，将公网解析域名（即设置了 CNAME 记录的域名）映射至对应的内网地址。若未正确配置内网域名解析，用户将无法正常访问内网应用。

域名映射

注意
建议通过Aone返回应用资源页面进行发起访问。
改写时若站点前端页面如果有对js发起的请求做url拼接，对响应内容有做加密混淆则可能改写失败（需要针对性适配）。

在 Aone 管理平台上，系统会自动生成用于访问的改写域名，此即为无端访问地址。若存在多个域名需要进行无端访问配置，需拆分应用分别进行配置。