將 Cloudflare 的 Zero Trust 平臺延伸至支援 UDP 和網際網路 DNS
2020 年末,經Cloudflare授權的組織開始在我們的網路上構建私有網路。他們在伺服器端使用 Cloudflare Tunnel,並在客戶端使用 Cloudflare WARP,以此消除對傳統 VPN 的需求。時至今日,已有數千家組織與我們一起踏上了這段旅程—棄用了傳統的 VPN 集中器、內部防火牆和負載平衡器。這些組織不再需要維護所有這些傳統硬體,並大幅提高了終端使用者的速度,且能在整個組織範圍內維護Zero Trust規則。
我們從 TCP 著手,因為該協議非常強大並能實現各種重要用例。然而,要真正取代 VPN,您還需能覆蓋 UDP。從今天開始,我們很高興能在 Cloudflare 的 Zero Trust 平臺上提前訪問 UDP。更大的一個好處是:由於支援 UDP,我們可提供內部DNS—因此無需手工遷移數以千計的私有主機名,就可覆蓋 DNS 規則。今天,您可單擊此處註冊,免費獲取 Cloudflare for Teams;如果您希望加入提前獲取 UDP 和 Internal DNS 的等待名單,請訪問此連結。
私有網路在 Cloudflare 上的拓撲結構
建立私有網路包含兩個主要組成部分:基礎設施部分和客戶部分。
基礎設施部分由 Cloudflare Tunnel 提供技術支援,並由其將您的基礎設施(無論是單一的應用程式、很多的應用程式,還是整個網段)連線到 Cloudflare。要實現這一點,可在您的環境中執行一個簡單的命令列後臺程式,以建立到 Cloudflare 的多個安全、僅出站、負載平衡的連結。簡單地說,Tunnel 的作用是將您的網路與 Cloudflare 相連。
另一方面,我們需要您的終端使用者能輕鬆連線到 Cloudflare,更重要的是連線到您的網路。這種連線由我們強大的裝置客戶端 Cloudflare WARP 來處理。您的內部 MDM 工具可在幾分鐘內將該客戶端部署到您的整個組織,並在使用者裝置和 Cloudflare 網路之間建立一個基於WireGuard的安全連線。
我們現已將您的基礎設施和使用者連線到 Cloudflare,因此很容易對您的應用程式進行標記,並在Zero Trust安全控制上分層,以驗證您網路上每一個請求的身份和以裝置為中心的規則。
不過,到目前為止,僅支援 TCP。
擴充套件Cloudflare Zero Trust以支援 UDP
在過去一年中,越來越多的使用者開始採用 Cloudflare 的Zero Trust 平臺,我們已經收集了有關確保 VPN 連線的所有用例資料。其中,最常見的需求是對基於 UDP 流量的全面支援。QUIC 等現代協議利用 UDP 的輕量級架構的優勢—在 Cloudflare,我們堅信我們的使命就是推進這些新標準以建立一個更好的網際網路。
今天,我們很高興能為那些希望提前訪問 Cloudflare for Teams(支援 UDP)的團隊開放一個官方等待名單。
UDP 是什麼,為什麼它那麼重要?
UDP 是網際網路的一個重要組成部分。如果沒有它,很多應用程式就無法滿足現代使用的要求。我們需要依賴於近乎實時通訊的應用(如視訊流或 VoIP 服務),因此我們需要 UDP,以及它在網際網路上所扮演的角色。然而,就其核心而言,TCP 和UDP 可實現相同的結果—只是所用手段大相徑庭而已。每種方法都有其獨特的優點和缺點,使用這些方法的下游應用總會有所感受。
如果您向某人提出類似問題,這裡有個簡單例子可恰當地比喻這兩種方法的工作方式。TCP 看起來應該很熟:您通常會打招呼,等待他們回話,然後問他們最近怎麼樣,再等待他們回應,然後問他們想要什麼。
另一方面,UDP 相當於直接走到別人面前,問他們想要什麼,而非核實他們是否聽見。若採用這種方法,您的一些問題可能會遺漏,但只要您能得到答案,也就無所謂了。
就像上面的對話一樣,若採用 UDP,很多應用實際上並不在乎是否會丟失一些資料;視訊流或遊戲伺服器就是很好的例子。如果您在流媒體傳輸時丟失了一個資料包,並且不希望整個流媒體在接收該資料包前停止,那麼您最好放棄這個資料包,繼續進行操作。應用程式開發人員之所以使用 UDP 的另一個原因是,他們更願意圍繞連線、傳輸和質量控制開發自己的控制元件,而不是使用 TCP 的標準化控制。
對於 Cloudflare 來說,對 UDP 流量的端到端支援將能夠解鎖大量新用例。以下就是幾個我們認為能讓您激動萬分的用例。
內部 DNS 解析器
大多數企業網路需要使用內部 DNS 解析器來傳播對內網資源的訪問。您的內聯網需要使用內部 DNS 解析器,原因與網際網路需要使用公共 DNS 解析器的很多原因相同。簡而言之,人類擅長很多事情,但並不擅長記住一長串數字(在本例中是 IP 地址)。公共和內部 DNS 解析器都可幫助我們解決這個問題(或更多其他問題)。
在企業界,如果要求內部使用者導航到 192.168.0.1 等地址來訪問Sharepoint或 OneDrive,那將會造成沒必要的麻煩。相反,如果為每個資源建立 DNS 條目並讓您的內部解析器為您的使用者處理所有對映,就會容易得多,因為人類非常擅長這種操作。
事實上,DNS 查詢通常包含來自客戶端的一個 UDP 請求。然後,伺服器可向客戶端返回一個回覆。DNS 請求並不是非常大,因此通常可以放在資料包中傳送和接收。這使得 Zero Trust 平臺上的 UDP 支援成為了棄用 VPN 的關鍵因素。
胖客戶端應用程式
UDP 的另一個常見用例是胖客戶端應用程式。到目前為止,我們目前所討論的 UDP 的其中一個優勢就是它是一個精簡的協議。它之所以精簡,是因為 TCP 的三向握手和其他可靠性措施在設計上已剝離了出去。在很多情況下,應用程式開發人員仍然希望有這些可靠性控制元件,而且他們對自己的應用程式非常熟悉,知道這些控制元件可以通過針對其應用程式的調整而得到更好的處理。這些胖客戶端應用程式通常可執行關鍵的業務功能,但必須得到端到端的支援才能進行遷移。例如,傳統版本的 Outlook 可通過胖客戶端實現,其中大部分操作由本地機器執行,而僅與 Exchange 伺服器的同步互動通過 UDP 執行。
同樣,Zero Trust平臺現在對 UDP 的支援意味著這些型別的應用程式沒有理由再留在傳統的 VPN 上。
更多相關內容......
全球有很大一部分網際網路流量通過 UDP 進行傳輸。通常,人們將對時間敏感型應用程式與 UDP 劃等號。在這種情況下,偶爾丟棄資料包會比等待更好—但是,還有很多其他用例,我們很希望能為其提供全面支援。
我現在如何開始?
您現在可根據我們的開發人員文件中的教程和指南,在 Cloudflare 上構建您的私有網路。以下是關鍵路徑。如果您已是我們的客戶且有興趣加入 UDP 和內部 DNS 訪問的等待名單,請跳至本篇文章末尾!
將您的網路連線到 Cloudflare
首先,您需要在您的網路上安裝 cloudflared 並通過以下命令進行認證:
cloudflared tunnel login
其次,您應使用一個使用者友好的名稱來建立一個隧道,以識別您的網路或環境。
cloudflared tunnel create acme-network
最後,您將需要使用私有網路的 IP/CIDR 範圍來配置隧道。藉此,您可使 Cloudflare WARP 代理意識到,對這個 IP 範圍的任何請求都要路由到我們的新隧道。
cloudflared tunnel route ip add 192.168.0.1/32
然後,您僅需執行您的隧道!
將使用者連線到您的網路
要連線您的首位使用者,應先在他們要連線的裝置上下載 Cloudflare WARP 代理,然後按照安裝程式中的步驟進行操作。
接下來,您應訪問團隊儀表板,然後建立一個註冊策略來定義哪些人能訪問我們的網路。這個策略可以在“設定>裝置>裝置註冊”下建立。在以下示例中,您可以看到,我們要求使用者位於加拿大,並擁有尾綴為 @cloudflare.com 的電子郵件地址。
在建立此策略後,您可單擊機器上的 WARP 桌面圖示,並導航至“首選項>賬戶>使用團隊登入”,註冊您的第一個裝置。
最後,我們將從“設定>網路>拆分隧道”的排除列表中刪除我們新增到隧道的 IP 範圍。事實上,這將確保該流量路由到 Cloudflare,然後按計劃傳送到我們的私有網路隧道。
除了上述教程外,我們的團隊儀表板上還配有產品內指南,其中對每個步驟進行了更詳細的說明,並提供了整個過程的驗證。
要建立您的首個隧道,應導航至“訪問>隧道”。
要將您的首個裝置註冊 WARP,應導航至“我的團隊>裝置”。
下一步
我們非常高興能在今天釋出我們的等候名單 ,而更令我們興奮的是,我們在未來幾周內就能推出這一新功能。我們即將開始使用私有網路隧道,並計劃繼續為每個內部 DNS 主機名的每個請求增加對 Zero Trust訪問規則的更多支援。我們著手製定各種檢測效能的措施,以此確保我們的Zero Trust平臺仍能保持最快的速度—與使用傳統 VPN 帶來的不便相比,使用我們的產品能讓您的使用者喜出望外。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69954543/viewspace-2851207/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 使用Cloudflare for Teams的網際網路安全性Cloud
- 網際網路公司,網際網路時代的特徵(移動網際網路,平臺思維,網際網路思維)特徵
- 008 Rust 網路程式設計,使用 trust-dns-resolver 和 trust-dnsRust程式設計DNS
- 全真網際網路時代將至,“未來智慧網路”還有多遠?
- Cloudflare 收購 Vectrix 以擴大 Zero Trust SaaS 安全功能CloudRust
- 網際網路開放平臺應用綜述
- vivo網際網路機器學習平臺的建設與實踐機器學習
- 從消費網際網路到產業網際網路:平臺思維始終是主導產業
- 網際網路公司無線認證平臺好嗎
- 網際網路公司無線接入平臺怎麼樣
- 平臺經濟崛起改變網際網路治理模式模式
- 國內移動網際網路廣告平臺的7宗罪
- 中國“芯”時代未至,何談“網際網路+”?
- 騰訊網際網路與社會研究中心:半數以上的青年願意嘗試以網際網路和社交網路為平臺的職業選擇
- 網際網路公司無線認證平臺哪裡有
- 國內移動網際網路廣告平臺7宗罪
- 網際網路流量下的分層實驗平臺是咋做的
- 網際網路分散式微服務雲平臺規劃分析--平臺整體規劃分散式微服務
- DNS成網路安全關鍵基礎設施 360三大DNS新品延伸安全優勢DNS
- 競爭日益激烈 網際網路網貸平臺如何才能長久不衰?
- 【工業網際網路】周劍:工業網際網路平臺作用機理和發展路徑
- 網際網路下半場內容平臺打響燒錢戰
- [原創]淺談網際網路金融測試平臺規劃
- [原創]淺談網際網路金融介面測試平臺搭建
- 網際網路教育平臺開啟留學行業新模式行業模式
- 網際網路產品經理常用軟體及工作平臺
- 騰訊轉型開放平臺符合網際網路行業大行業
- Mozilla推動網際網路成為遊戲發展的強有力平臺遊戲
- 打造網路資訊保安“國際技術交流”平臺
- eMarketer:巴西網際網路概況,網際網路普及率和社交網路
- [網際網路]網際網路公司的種類
- udp網路通訊UDP
- UDP網路測試UDP
- 力美廣告平臺榮膺“EnfoNet Award移動網際網路應用渠道平臺之星”
- 雲端計算成我國網際網路創新基礎平臺
- i美股:網際網路投資手冊——移動廣告平臺商MM
- Magic Transit:Cloudflare規模的網路功能Cloud
- 中國網際網路或將被世界淘汰 !