在某些场景下，用户并没有公网域名，需要访问的服务也不是http/https类型，比如需要通过ssh，rdp等访问内网的基础设施。这时候可以使用基于WARP客户端来进行安全的内网服务访问。 步骤一：创建Cloudflared类型的Tunnel。 步骤二：为Tunnel命名。 步骤三：本文使用一台ubuntu server作为内网服务器，所以此处选择Debian下的命令进行cloudflared的安装。…

实际场景下，企业内部可能提供诸多应用供员工远程访问，为了提供更好的用户体验，可以通过如下的方法来进行访问优化。 1.使用App Launcher来提供统一的应用访问入口 步骤一：点击每一个应用的Edit，确保其开启了show application…

通常我们可以为每个服务建立一个Tunnel，当一台服务器上提供多个内部服务时，也就意味着要部署多个cloudflared实例，这样会对服务器系统资源带来不必要的消耗。此时我们可以将多个服务关联到一个tunnel来实现（只需要一个cloudflared实例）。本文基于cloudflare的web控制台来进行最简单的配置实现。（当然也可以通过Name Tunnels的方式修改config.yaml来配置实现，但不在本文讨论范围） 步骤一：沿用02部署无客户端访问的ZTNA-One Tunnel Per…

本文旨在描述如何快速使用CloudFlare的ZeroTrust服务将本地应用安全的发布到互联网，使得企业用户在Clientless的场景下通过互联网安全的访问公司内部服务，对于底层原理请参阅此系列开篇章节CloudFlare ZTNA架构介绍。 步骤一：登陆CloudFlare的账户，点击右侧ZeroTrust菜单即可进入如下图所示ZeroTrust服务主页。 步骤二：选择Networks下的Tunnels选项，来创建本地应用连接到Cloudflare云端的加密隧道。 步骤三：为Tunnel命名。…

基于云端SaaS的应用被越来越多的企业所接受，像大家所熟知的Office365、Salesforce、Dropbox、Zendesk等，这些位于公有云的服务都需要通过互联网去访问，像延迟、丢包这些因素直接影响着应用的性能和终端用户的使用体验，目前大多数网管手段很有限或做不到非常直观的对应用性能状态的可视化，用户无法便捷的了解应用的在线实时状态，而且当出现性能问题时往往用户需要复杂的手动步骤来将应用的流量从主路径切换至备用路径。思科Viptela SD-WAN针对目前企业中主流的SaaS应用程序提供了Cloud onRamp for SaaS特性来解决此类问题，最早也被称为Cloud…

策略，在思科Viptela SD-WAN里简单来说就是用来影响Overlay网络中广域网边界路由器之间的数据流量传输的一种手段。正如前文所述它类似于Overlay网络架构区分了控制平面与数据平面一样，如图9- 16所示策略也分为影响控制平面的控制策略和影响数据平面的数据策略，而结合其作用范围又可区分为集中化（Centralized）策略和本地化（Localized）策略。 图9- 16…

企业在不同区域的站点之间通信时，要确保业务数据传输的私密性，如果企业的预算较充足，且业务的敏感性较高，那么通过专线互联无疑是一个很好的选择。如前文所述，SD-WAN的出现往往使得企业的选择变的更加灵活，当选择互联网线路时，企业并不希望把自己的数据暴露在其之上，通常的做法都会使用VPN来解决，思科Viptela SD-WAN缺省就是在所有广域网链路上使用IPSec VPN来建立数据平面的通信隧道的。 图9- 13…

在前文中提到思科Viptela SD-WAN建立在Zero-Trust模型之上，处于解决方案中的各个组件之间彼此需要认证才能建立信任关系，其实这个信任关系建立的过程也是控制层面通道的构建过程，有了控制层面的通道才能传递控制信息。那这个通道怎么建立？或者说通过什么样的方式来建立这个信任关系？为了便于读者更深入的理解这个模型，为此先做一些相关知识点的介绍。 互联网早期，为了保障互联网数据的传输安全，Netscape开发了SSL（安全套接字层，Secure Socket Layer），它用于Web浏览器与服务器之间的身份认证和数据加密，此后由SSL派生出了TLS及DTLS等安全协议。思科Viptela…