Configure o desvio de aplicativos (procedimento CLI)

O que é o bypass de aplicativos

O recurso de desvio de aplicativos permite que os usuários do aplicativo Juniper Secure Connect contornem aplicativos específicos com base em nomes de domínio e protocolos, eliminando a necessidade de o tráfego passar pelo túnel VPN. Isso é diferente do túnel dividido em que você usa VPN para criptografar dados confidenciais enquanto ainda tem acesso direto à Internet. Com o desvio de aplicativos, você ainda usa VPN para criptografar dados confidenciais, no entanto, você pode ignorar VPN para determinados aplicativos definidos pelo administrador com base em nomes de domínio e protocolos.

Oferecemos suporte ao Application Bypass na configuração completa do túnel. Os administradores configuram esse recurso no firewall da Série SRX em parâmetros de configuração de clientes de acesso remoto. Esses parâmetros definem como o cliente Juniper Secure Connect estabelece o túnel VPN com seu dispositivo de segurança.

Usando essa configuração de tarefa, você pode configurar o recurso de desvio de aplicativos para solução vpn de acesso remoto no firewall da Série SRX. Como administrador, se você quiser que os usuários de sua organização acessem determinados sites sem passar pelo túnel VPN de acesso remoto, siga o procedimento abaixo -

1. Identificar os aplicativos com seus nomes de domínio e protocolos. Por exemplo, se você quiser que os usuários possam acessar aplicativos empresariais como Zoom, Sharepoint, Salesforce etc., sem passar pela VPN, então você precisa especifique-os na configuração da seguinte forma -

   • Para o pacote de aplicativos oracle cloud, especifique cloud.oracle.com como critérios de correspondência de nome de domínio.

   • Para o aplicativo Salesforce CRM e todos os seus nomes de sub domínio, especifique os critérios de correspondência do aplicativo como .salesforce.com usando a palavra-chave wildcard. Quando você especifica o uso wildcard de palavras-chave, se o seu domínio principal é salesforce.com, então os nomes de sub domínio curinga do aplicativo Salesforce podem ser login.salesforce.com, help.salesforce.com e developer.salesforce.com etc. Com isso, você pode ignorar a VPN para login.salesforce.com, help.salesforce.com e developer.salesforce.com. Qualquer parte de rótulo restante do nome de domínio será usada com os critérios combinados especificados.

   • Para combinar com qualquer nome de domínio que contenha um valor específico, use contains a palavra-chave. Por exemplo, para nome de domínio com sharepoint.com de valor, especifique sharepoint.com com contains a palavra-chave. Assim, qualquer nome de domínio que contenha sharepoint.com também ignorará a VPN. Isso é diferente da correspondência curinga porque, com a palavra-chave, a string de nome de domínio pode estar em qualquer lugar da FQDN. Por exemplo, se você usa example.gov contém palavras-chave, ela corresponde a todas as condições como example.gov.in, edu.example.gov.

   • Para ignorar aplicativos com base no protocolo, especifique tcpudp ouall.

2. Categorize esses aplicativos com base no seu caso de uso para agrupar eles com um term name. Em seu firewall da Série SRX, você pode criar vários termos para configurar várias entradas de desvio de aplicativos e as associar a parâmetros de configuração de um cliente remoto específico no nível deedit security remote-access client-config hierarquia.

3. Identificar o cliente remoto ao qual você pode associar as regras de desvio de aplicativo.

Como configurar o bypass de aplicativos

Para configurar o recurso de desvio de aplicativos usando a interface de linha de comando:

1. Faça login no seu firewall da Série SRX usando a interface de linha de comando (CLI).

2. Configure a VPN de acesso remoto no modo de configuração completa do túnel. Veja um dos seguintes procedimentos com base no método de autenticação usado -

   • Autenticação local de usuário usando chave pré-compartilhada (procedimento CLI)

   • Autenticação externa do usuário (procedimento CLI)

   • Validação baseada em certificados usando autenticação EAP-MSCHAPv2 (procedimento CLI)

   • Validação baseada em certificados usando autenticação EAP-TLS (procedimento CLI)

3. Para ignorar a VPN, configure os aplicativos identificados conforme mostrado na Tabela 1

   Tabela 1: Parâmetros de configuração de desvio de aplicativos

   Opções	Nome de domínio/descrição do protocolo
   Fqdn	cloud.example.com	Especifique um aplicativo de nuvem.
   Curinga	.example.in	Abrange aplicativos empresariais como- payroll.example.in sales.example.in marketing.example.in hr.example.in
   Contém	example.edu	Especifique o conteúdo que contém o nome de domínio específico.
   protocolo	Tcp Udp	Especifique aplicativos baseados em TCP e UDP.

4. • Usando domain-name como FQDN -

   • Usando domain-name com wildcard a palavra-chave -

   • Usando domain-name a contenção de um valor, digamos, sharepoint.com -

   • Com base em tcp -

   • Com base em udp -

5. Quando terminar de configurar o recurso em seu dispositivo, insira o compromisso a partir do modo de configuração.

Assim que a conexão Secure Connect VPN da Juniper for estabelecida, seus usuários finais agora podem ignorar a VPN de acesso remoto quando acessam esses aplicativos, simplificando assim a experiência deles.