应用程序绕过(CLI 过程)
概述
使用此任务配置,您可以在 SRX 系列防火墙中为远程访问 VPN 解决方案配置应用程序旁路功能。作为管理员,如果您希望贵组织的用户访问某些网站而不通过远程访问 VPN 隧道,请遵循以下过程 -
-
使用应用程序的域名和协议识别应用程序。例如,如果您希望用户无需通过 VPN 即可访问 Zoom、Sharepoint、Salesforce 等企业应用程序,则需要在配置中指定它们,如下所示 -
-
对于 Oracle 云应用程序套件,请指定 cloud.oracle.com 为域名匹配标准。
-
对于 Salesforce CRM 应用程序及其所有子域名,请指定应用程序匹配标准,就像使用关键字
wildcard一样.salesforce.com。使用wildcard关键字指定时,如果您的主域是 salesforce.com,则可以 login.salesforce.com、help.salesforce.com 和 developer.salesforce.com 等 Salesforce 应用程序的通配符子域名。因此,您可以绕过 VPN 进行 login.salesforce.com、help.salesforce.com 和 developer.salesforce.com。域名最左侧的标签部分将按照指定的匹配标准使用。 -
要匹配包含特定值的任何域名,请使用
contains关键字。例如,对于带值 sharepoint.com 的域名,请用contains关键字指定sharepoint.com。因此,包含 sharepoint.com 的任何域名也会绕过 VPN。这与通配符匹配不同,因为通过包含关键字,域名字符串可以位于 FQDN 中的任意位置。例如,如果您使用包含关键字的 example.gov,它将匹配 example.gov.in、edu.example.gov 等所有条件。 -
要基于协议绕过应用程序,请指定
tcp或udpall。
-
-
根据您的用例对这些应用程序进行分类,以使用
termname。在 SRX 系列防火墙中,您可以创建多个术语来配置多个应用程序旁路条目,并将其与特定远程客户端在 [edit security remote-access client-config] 层次结构级别的配置参数相关联。 -
识别您可以将应用程序绕过规则关联的远程客户端。
配置应用程序旁路
要使用命令行界面配置应用程序绕过功能,请执行以下操作:
-
使用命令行界面 (CLI) 登录 SRX 系列防火墙。
-
在全隧道配置模式下配置远程访问 VPN。请参阅基于所用身份验证方法的以下过程之一 -
-
要绕过 VPN,请配置识别的应用程序,如表 1 所示
表 1:应用程序旁路配置参数 选项 域名/协议 说明 Fqdn cloud.example.com 指定云应用程序。 通 配 符 .example.in 涵盖企业应用程序,例如 - -
payroll.example.in
-
sales.example.in
-
marketing.example.in
-
hr.example.in
包含 example.edu 指定包含特定域名的内容。 协议 -
Tcp
-
Udp
指定基于 TCP 和 UDP 的应用程序。 -
-
-
使用
domain-name时 FQDN -user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term1 description Cloud Applications user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term1 domain-name fqdn cloud.example.com
-
与关键字一起
wildcard使用domain-name-user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term2 description Enterprise Applications user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term2 domain-name wildcard .example.com
-
使用
domain-name包含值,例如 sharepoint.com -user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term3 description Education Services user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term3 domain-name contains example.edu
-
基于
tcp-user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term4 description All TCP based applications user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term4 protocol tcp
-
基于
udp-user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term4 description All UDP based applications user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term4 protocol udp
-
-
完成设备上功能配置后,在配置模式下输入提交。
建立瞻博网络安全连接 VPN 连接后,最终用户现在可以在访问这些应用程序时绕过远程访问 VPN,从而简化其体验。