アプリケーションバイパスの設定(CLI手順)
このトピックを読み、Juniper Secure Connectのアプリケーションバイパス機能を理解し、設定することができます。
アプリケーションバイパスとは
アプリケーションバイパス機能により、Juniper Secure Connectアプリケーションのユーザーは、ドメイン名とプロトコルに基づいて特定のアプリケーションをバイパスできるため、トラフィックがVPNトンネルを通過する必要がなくなります。これは、VPNを活用して機密データを暗号化し、インターネットに直接アクセスするスプリットトンネルとは異なります。アプリケーション バイパスを使用すると、引き続き VPN を使用して機密データを暗号化できますが、ドメイン名とプロトコルに基づいて管理者が定義した特定のアプリケーションでは VPN をバイパスできます。
完全なトンネル構成でアプリケーションバイパスをサポートしています。管理者は、SRXシリーズファイアウォールのこの機能を、リモートアクセスクライアント設定パラメータで設定します。これらのパラメータは、Juniper Secure ConnectクライアントがセキュリティデバイスとのVPNトンネルを確立する方法を定義します。
このタスク設定を使用して、SRXシリーズファイアウォールでリモートアクセスVPNソリューション用のアプリケーションバイパス機能を設定できます。管理者として、組織のユーザーがリモートアクセスVPNトンネルを経由せずに特定のWebサイトにアクセスできるようにする場合は、次の手順に従います。
-
アプリケーションをドメイン名とプロトコルで識別します。たとえば、ユーザーがVPNを経由せずにZoom、Sharepoint、Salesforceなどのエンタープライズアプリケーションにアクセスできるようにする場合は、次のように構成で指定する必要があります。
-
Oracleクラウド・アプリケーション・スイートの場合は、ドメイン名の一致基準として cloud.oracle.com を指定します。
-
Salesforce CRM アプリケーションとそのすべてのサブドメイン名について、キーワード
wildcardを使用して、アプリケーションの一致条件を .salesforce.com として指定します。wildcardキーワードを使用して指定する場合、メインドメインが salesforce.com の場合、Salesforce アプリケーションのワイルドカードサブドメイン名は login.salesforce.com、help.salesforce.com、developer.salesforce.com などになります。したがって、これにより、login.salesforce.com、help.salesforce.com、および developer.salesforce.com VPNをバイパスできます。ドメイン名の左端のラベル部分は、指定された一致した条件で使用されます。 -
特定の値を含むドメイン名に一致させるには、
containsキーワードを使用します。例えば、値が sharepoint.com の domain-name の場合は、containsキーワードで sharepoint.com を指定します。したがって、sharepoint.com を含むドメイン名もVPNをバイパスします。これは、contains キーワードを使用すると、ドメイン名文字列を FQDN 内の任意の場所に配置できるため、ワイルドカードの一致とは異なります。たとえば、contains キーワードで example.gov を使用すると、example.gov.in、edu.example.gov などのすべての条件に一致します。 -
プロトコルに基づいてアプリケーションをバイパスする場合は、
tcp、udp、allのいずれかを指定します。
-
-
これらのアプリケーションをユースケースに基づいて分類し、
termnameでグループ化します。SRXシリーズファイアウォールでは、複数の条件を作成して複数のアプリケーションバイパスエントリを設定し、[edit security remote-access client-config]階層レベルで特定のリモートクライアントの設定パラメーターに関連付けることができます。 -
アプリケーションバイパスルールを関連付けることができるリモートクライアントを特定します。
アプリケーション バイパスを構成する方法
コマンドラインインターフェイスを使用してアプリケーションバイパス機能を設定するには:
-
コマンドラインインターフェイス(CLI)を使用して、SRXシリーズファイアウォールにログインします。
-
フルトンネル設定モードでリモートアクセスVPNを設定します。使用する認証方法に基づいて、次のいずれかの手順を参照してください。
-
VPN をバイパスするには、表 1 に示すように識別されたアプリケーションを設定します
表 1: アプリケーション バイパスの設定パラメーター オプションの ドメイン名/プロトコル の説明 FQDN cloud.example.com クラウド アプリケーションを指定します。 ワイルドカード .example.in 次のようなエンタープライズアプリケーションをカバー -
payroll.example.in
-
sales.example.in
-
marketing.example.in
-
hr.example.in
含む example.edu 特定のドメイン名を含むコンテンツを指定します。 議定書 -
TCPの
-
UDP
TCPおよびUDPベースのアプリケーションを指定します。 -
-
-
domain-nameをFQDNとして使用する -user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term1 description Cloud Applications user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term1 domain-name fqdn cloud.example.com
-
wildcardキーワードでdomain-nameを使用する -user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term2 description Enterprise Applications user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term2 domain-name wildcard .example.com
-
値を含む
domain-nameを使用する、たとえば sharepoint.com -user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term3 description Education Services user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term3 domain-name contains example.edu
-
tcpに基づく -user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term4 description All TCP based applications user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term4 protocol tcp
-
udpに基づく -user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term4 description All UDP based applications user@host# set security remote-access client-config JUNIPER_SECURE_CONNECT application-bypass term term4 protocol udp
-
-
デバイスでの機能の設定が完了したら、設定モードから「commit」と入力します。
Juniper Secure Connect VPN 接続が確立されると、エンドユーザーはこれらのアプリケーションにアクセスするときにリモートアクセスVPNをバイパスできるようになり、エクスペリエンスが簡素化されます。