Ansichten:

Interne Anwendungen in Zero Trust Secure Access können keine sich überschneidenden IP-Adressen teilen. Erfahren Sie, wie Konflikte erkannt werden, welche Arten von Konflikten auftreten können und wie Sie diese lösen können.

Zero Trust Secure Access unterstützt keine sich überschneidenden IP-Adressen bei der Konfiguration interner Anwendungen. Interne Anwendungen sollten individuell segmentierte Netzwerke sein; verschiedene interne Anwendungen sollten keine sich überschneidenden IP-Bereiche haben. Dies ist eine Systemanforderung, um Routing-Konflikte zu vermeiden und einen zuverlässigen Zugriff auf Ihre Anwendungen zu gewährleisten.
Zero Trust Secure Access erkennt automatisch Konflikte durch Analyse von:
  • IP-Adressen (einzelne IPs, Bereiche oder CIDR-Blöcke)
    Domänen (einzelne FQDN, Wildcard-FQDN)
  • Portnummern
  • Protokolle (TCP/UDP)
  • Zuweisungen von Connector-Gruppen
Anwendungskonflikte können unvorhersehbare Verkehrslenkungen, Verbindungsfehler oder die Weiterleitung von Datenverkehr an die falsche Anwendung verursachen.
Wenn Sie eine interne Anwendung hinzufügen, können Sie einen oder mehrere Konflikte mit bestehenden internen Anwendungen erzeugen. Zero Trust Secure Access scannt Ihre interne Umgebung und listet die konfliktierenden Anwendungen auf.

Unterstützung des IP-Adressformats

Das System unterstützt drei IP-Adressformate:

Format
Beispiel
Beschreibung
Einzelne IP
192.168.1.10
Individuelle IP-Adresse
Mehrere IPs
192.168.1.10, 192.168.1.20
Mehrere IP-Adressen
IP-Bereich
192.168.1.1-192.168.1.10
Bereich aufeinanderfolgender IP-Adressen
CIDR-Sperre
192.168.1.0/24
Netzwerksperre (deckt 192.168.1.0 bis 192.168.1.255 ab)

Unterstützung des FQDN-Formats

Format
Beispiel
Beschreibung
Einzelner FQDN
app.beispiel.com
Individueller vollqualifizierter Domänenname
Mehrere FQDNs
app.beispiel.com,
app1.example.com,
app2.example.com
Mehrere vollqualifizierte Domänennamen
Wildcard-FQDN
8.example.com
Wildcard-Domain, der alle Subdomains von example.com repräsentiert
Die Erkennung von FQDN-Konflikten verwendet exact string matching. Ein Wildcard-FQDN (*.example.com) und ein einzelner FQDN (app.example.com) können beide mit derselben Domain übereinstimmen, aber der exact FQDN always takes priority über das Wildcard. Dies ist ein vorhersehbares Verhalten und stellt not keinen Konflikt dar. Ein Wildcard-FQDN (zum Beispiel *.example.com) und ein einzelner FQDN (zum Beispiel app.example.com) werden als separate, unabhängige Einträge behandelt und stehen nicht im Konflikt miteinander.

Arten von Anwendungs-Konflikten

  1. Verschiedene Konflikte zwischen Verbindungsgruppen:
    • When it happens: Anwendungen in verschiedenen Verbindungskonfigurationsgruppen mit sich überschneidenden IP-Adressen, unabhängig von Ports oder Protokollen.
    • Auswirkung: Die Verkehrslenkung wird unvorhersehbar – das System kann nicht bestimmen, welche Verbindungseinheit den Verkehr für sich überschneidende IPs bearbeiten soll, was möglicherweise zu folgendem führt:
      • Der Datenverkehr wird an die falsche Anwendung geleitet
      • Verbindungsfehler
  2. Gleiche Konnektorgruppe Konflikte:
    • When it happens: Anwendungen in derselben Verbindungskonfigurationsgruppe mit sich überschneidenden IP-Adressen und sich überschneidenden Ports, die dasselbe Protokoll verwenden.
    • Auswirkung: Der Datenverkehr wird basierend auf der Regelpriorisierung behandelt – Regeln mit höherer Priorität werden zuerst verarbeitet. Dies kann zu Folgendem führen:
      • Datenverkehr wird an unbeabsichtigte Anwendungen geleitet
      • Inkonsistenter Anwendungszugriff je nach Reihenfolge der Regeln
      • Schwierigkeiten bei der Fehlerbehebung von Verbindungsproblemen

So lösen Sie Konflikte

Weisen Sie jeder Anwendung eindeutige IP-Adressen oder nicht überlappende Bereiche zu.
  • For single IP addresses: Verwenden Sie eine andere, nicht überlappende IP-Adresse.
  • For IP ranges: Passen Sie den Bereich an, um sich überschneidende Adressen auszuschließen.
  • For CIDR blocks: Verwenden Sie einen spezifischeren oder anderen CIDR-Block, der sich nicht überschneidet.
Wenn Anwendungen in derselben Verbindungssgruppe sind, konfigurieren Sie die Anwendungen so, dass sie unterschiedliche Ports verwenden:
  • Ändern Sie die TCP-Ports für eine Anwendung, um Überschneidungen zu vermeiden.
  • Ändern Sie die UDP-Ports für eine Anwendung, um Überschneidungen zu vermeiden.
  • Verwenden Sie unterschiedliche Protokolle (TCP vs. UDP) für sich überschneidende Ports.
Wenn Sie absichtlich überlappende IP-Adressen innerhalb derselben Connector-Gruppe konfigurieren, bestätigen Sie die Regelpriorisierung (Erweitert, Nur gleiche Connector-Gruppe):
  1. Navigieren Sie zu Zero Trust Secure Access > Privater Zugriff > Regeln.
  2. Überprüfen Sie die Prioritätsreihenfolge Ihrer internen Anwendungsregeln.
  3. Stellen Sie sicher, dass die Regelpriorisierung mit Ihrer erwarteten Verkehrsbearbeitung übereinstimmt.
  4. Passen Sie die Prioritäten der Regeln nach Bedarf an, um sicherzustellen, dass der Datenverkehr zu den vorgesehenen Anwendungen geleitet wird.
  • Legen Sie spezifische oder restriktive Regeln mit höherer Priorität fest und breitere Berechtigungsregeln mit niedrigerer Priorität.
    Hinweis
    Hinweis
    Dieser Ansatz erfordert sorgfältige Planung und kontinuierliche Wartung.

Bewährte Verfahren

  • Network planning
    • Plan your IP address scheme: Bevor Sie Anwendungen hinzufügen, planen Sie Ihre IP-Adressenzuweisung, um potenzielle Anwendungskonflikte zu minimieren.
    • Use unique IP addresses when possible: Wo möglich, weisen Sie Anwendungen in verschiedenen Gruppen eindeutige IP-Adressen zu.
    • Use network segmentation: Separate Konnektoren für unabhängige Netzwerksegmente bereitstellen (zum Beispiel separate VLANs, die nicht miteinander kommunizieren können).
    • Connector placement: Verbinden Sie die Konnektoren innerhalb desselben VLAN/Netzwerksegments wie die Dienste, die sie bereitstellen werden.
    • Connector group assignment: Weisen Sie Anwendungen der Connector-Gruppe zu, die im selben VLAN wie die Dienste bereitgestellt ist.
    • Use logical grouping: Gruppieren Sie verwandte Anwendungen, bei denen sich IPs überschneiden könnten, aber unterschiedliche Ports benötigt werden.
    • Document your IP address allocations: Dokumentation darüber führen, welche IP-Adressen von welchen Anwendungen verwendet werden.
  • Configuration guidelines
    • Start with unique IPs: Versuchen Sie immer zuerst, eindeutige IP-Adressen zu verwenden.
    • Avoid unnecessary overlaps: Überlappende Konfigurationen nur verwenden, wenn es unbedingt erforderlich ist.
    • Port planning: Planen Sie innerhalb derselben Gruppe Ihre Portnutzung, um Überlappungen bei der Verwendung derselben IP-Adressen zu vermeiden.
    • Test thoroughly: Überprüfen Sie, ob der Datenverkehr nach Konfigurationsänderungen korrekt geleitet wird.
    • Monitor regularly: Überprüfen Sie regelmäßig die Regelprioritäten und Verkehrsprofile.
    • Review rule priorities: Wenn Sie absichtlich überlappende IP-Konfigurationen in derselben Connector-Gruppe verwenden, überprüfen Sie regelmäßig die Regelprioritäten, um sicherzustellen, dass sie mit Ihren Zugriffsanforderungen übereinstimmen.