应用网关

本文介绍如何配置和应用网关功能，实现外网安全访问内网应用系统。

概述

应用网关是集成平台提供的安全代理服务，实现"外网访问内网"的安全代理功能。通过应用网关，企业可以让员工安全地从外部网络访问内部应用系统，无需复杂的 VPN 配置。

核心能力

安全代理：通过加密通道安全地将外部请求转发到内网应用

身份认证：集成企业认证体系，确保只有授权用户可以访问内网应用

访问控制：精细的权限管理，可按组织、角色设置访问权限

请求转换：支持请求头、URL 路径和响应内容的自定义转换规则

匿名访问：支持配置不需要认证的公开访问路径

前提条件

部署代理网关服务

已在平台中部署并配置好代理网关服务

确认网络互通

代理网关服务器能够访问目标内网应用（位于同一网络或有网络互通策略）

确认 Web 服务

目标内网应用提供 Web 服务接口

操作步骤

步骤 1：准备应用

进入应用管理

在左侧导航栏选择 应用中心 > 应用管理

创建或选择应用

可以新建应用或使用现有应用进行配置

提示：应用网关功能支持任意类型和协议的应用。对于初次使用者，建议创建专用应用以避免影响现有配置。

步骤 2：新建网关配置

进入网关选项卡

在应用详情页面，选择「网关」选项卡，点击「新建」按钮

选择代理网关

选择已配置好的代理网关服务（Proxy）。如果尚未配置代理网关，需要先完成代理网关的配置

步骤 3：配置域名

配置项	说明
内网域名	输入需要访问的内网应用完整 URL，包括协议（http/https）、域名和端口
外网统一访问域名	设置外部用户访问的域名。如不填写，系统会自动生成一个随机值

步骤 4：高级配置（可选）

针对特殊需求，应用网关提供了高级配置选项：

匿名访问路径

设置不需要认证即可访问的 URL 路径，使用正则表达式定义。

示例：
/login - 允许 /login 路径匿名访问
/.* - 表示所有路径都允许匿名访问

请求头重写

可以修改转发到内网应用的 HTTP 请求头，解决某些内网应用对 Host 等请求头有特殊要求的情况。

# 请求头重写示例
Host: internal-app.example.com

请求路径重写

支持 URL 路径的重写规则，可以将请求路径映射到内网应用的不同路径。

响应重写

可以对内网应用返回的响应内容进行修改。

步骤 5：授权配置

进入授权范围

选择「授权范围」选项卡

设置访问权限

可基于组织架构、角色或用户属性设置访问权限

重要：只有授权范围内的用户才能通过应用网关访问内网应用。

应用与网关的关系

组件	职责
应用	负责身份认证和授权
网关	负责网络代理和请求转发

说明：网关配置不会影响应用的基本配置，两者独立运作。

常见问题

Q：应用网关配置后无法访问内网应用？

Q：如何实现部分路径匿名访问？

Q：如何关闭或删除应用网关配置？

最佳实践

安全性建议

最小化匿名访问：仅将必要的路径配置为匿名访问，减少安全风险

定期审核授权：定期检查应用网关的授权配置，移除不再需要访问权限的用户

启用访问日志：配置并监控访问日志，便于及时发现异常访问

使用 HTTPS：优先使用 HTTPS 协议，确保数据传输的安全性

性能优化

选择合适的代理网关节点：代理网关服务器应尽量靠近内网应用，减少网络延迟

资源缓存：对于静态资源，考虑配置缓存策略，减轻代理负担

连接复用：确保代理服务配置了适当的连接池设置，提高并发处理能力

概述#

核心能力#

前提条件#

操作步骤#

步骤 1：准备应用#

步骤 2：新建网关配置#

步骤 3：配置域名#

#

步骤 4：高级配置（可选）#

匿名访问路径#

请求头重写#

请求路径重写#

响应重写#

步骤 5：授权配置#

应用与网关的关系#

常见问题#

最佳实践#

安全性建议#

性能优化#

概述