本页内容
配置应用程序绕过(CLI 过程)
阅读本主题可了解和配置瞻博网络安全连接中的应用绕过功能。
什么是应用绕过
应用绕过功能使瞻博网络安全连接应用的用户可以基于域名和协议绕过特定应用,无需流量通过 VPN 隧道。这与拆分隧道不同,在拆分隧道中,您利用 VPN 加密机密数据,同时仍然可以直接访问互联网。通过应用程序绕过,您仍然使用 VPN 来加密机密数据,但是,您可以绕过管理员根据域名和协议定义的某些应用程序的 VPN。
我们支持在完整隧道配置上绕过应用。管理员在 SRX 系列防火墙的远程访问客户端配置参数中配置此功能。这些参数定义瞻博网络安全连接客户端如何与您的安全设备建立 VPN 隧道。
使用此任务配置,您可以在 SRX 系列防火墙中为远程访问 VPN 解决方案配置应用程序绕过功能。作为管理员,如果您希望组织的用户在不通过远程访问 VPN 隧道的情况下访问某些网站,请按照以下过程作:
-
使用域名和协议标识应用程序。例如,如果您希望用户能够在不通过 VPN 的情况下访问 Zoom、Sharepoint、Salesforce 等企业应用程序,那么您需要在配置中指定它们,如下所示 -
-
对于 Oracle 云应用程序套件,指定 cloud.oracle.com 为域名匹配条件。
-
对于 Salesforce CRM 应用程序及其所有子域名,请使用关键字
wildcard指定应用程序匹配条件.salesforce.com。当您指定使用wildcard关键字时,如果您的主域为 salesforce.com,则 Salesforce 应用程序的通配符子域名可以是 login.salesforce.com、help.salesforce.com 和 developer.salesforce.com 等。因此,有了这个,您可以绕过 VPN 进行 login.salesforce.com、help.salesforce.com 和 developer.salesforce.com。域名的任何最左边的标签部分都将与指定的匹配条件一起使用。 -
要匹配任何包含特定值的域名,请使用
contains关键字。例如,对于值为 sharepoint.com 的域名,请用contains关键字指定sharepoint.com。因此,任何包含 sharepoint.com 的域名也将绕过 VPN。这与通配符匹配不同,因为使用 contains 关键字时,域名字符串可以位于 FQDN 中的任何位置。例如,如果将 example.gov 与 contains 关键字一起使用,则它会匹配所有条件,如 example.gov.in、edu.example.gov。 -
要根据协议绕过应用程序,请指定
tcp、udp或all。
-
-
根据您的用例对这些应用进行分类,以
termname.在 SRX 系列防火墙中,您可以创建多个术语来配置多个应用绕过条目,并将它们与特定远程客户端的配置参数关联到 [edit security remote-access client-config] 层级。 -
确定可以将应用程序绕过规则关联到的远程客户端。
如何配置应用程序绕过
要使用命令行界面配置应用程序绕过功能:
-
使用命令行界面 (CLI) 登录到 SRX 系列防火墙。
-
在完整隧道配置模式下配置远程访问 VPN。根据所使用的身份验证方法,请参阅以下过程之一 -
-
要绕过 VPN,请按照表 1 中所示配置已识别的应用程序
表 1:应用程序绕过配置参数 选项 域名/协议 说明 FQDN cloud.example.com 指定云应用程序。 通配符 .example.in 涵盖企业应用,例如 - -
payroll.example.in
-
sales.example.in
-
marketing.example.in
-
hr.example.in
包含 example.edu 指定包含特定域名的内容。 协议 -
TCP
-
UDP
指定基于 TCP 和 UDP 的应用程序。 -
-
-
用作
domain-nameFQDN -user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term1 description Cloud Applications user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term1 domain-name fqdn cloud.example.com
-
与
wildcard关键字一起使用domain-name-user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term2 description Enterprise Applications user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term2 domain-name wildcard .example.com
-
使用
domain-name包含值,比如 sharepoint.com -user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term3 description Education Services user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term3 domain-name contains example.edu
-
tcp基于 -user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term4 description All TCP based applications user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term4 protocol tcp
-
udp基于 -user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term4 description All UDP based applications user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term4 protocol udp
-
-
在设备上配置完该功能后,从配置模式进入提交。
建立瞻博网络安全连接 VPN 连接后,您的最终用户现在可以在访问这些应用时绕过远程访问 VPN,从而简化他们的体验。