在测试 Zscaler POC(从安全角度来看)时,我很难理解中央国家机关事务管理局在客户端上进行路由。
我主要关心(和疑问)是100.64.xy 路由不在路由表中(Windows 10)。默认网关位于我的本地网络网关上,因此流量也无法到达那里。
CGNAT 流量的路由方式有何特殊之处?
客户端上的路由表是
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.43.1 192.168.43.107 50
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
172.22.208.0 255.255.240.0 On-link 172.22.208.1 271
172.22.208.1 255.255.255.255 On-link 172.22.208.1 271
172.22.223.255 255.255.255.255 On-link 172.22.208.1 271
192.168.43.0 255.255.255.0 On-link 192.168.43.107 306
192.168.43.107 255.255.255.255 On-link 192.168.43.107 306
192.168.43.255 255.255.255.255 On-link 192.168.43.107 306
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.43.107 306
224.0.0.0 240.0.0.0 On-link 172.22.208.1 271
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.43.107 306
255.255.255.255 255.255.255.255 On-link 172.22.208.1 271
以下是在 zscaler 上设置的内部公司服务的解析(因此通过 CGNAT 路由)。zscaler 外部的相同名称指向经典的 RFC1918 地址。
> nslookup internalcorporatesite.com
Server: xxx.com
Address: 192.168.43.1
Non-authoritative answer:
Name: internalcorporatesite.com
Address: 100.64.1.9
请注意,默认网关192.168.43.1不知道 CGNAT - 它是一个本地网络,并且 CGNAT 由 zscaler 使用。
答案1
它使用过滤驱动程序它从网络堆栈中获取数据包并重定向。因此,zScaler 连接没有虚拟网卡。
使用过滤驱动程序选项,应用程序不会创建虚拟网络适配器。相反,它使用 Windows 过滤来捕获流量并将其转发到云。这样可以更精细地控制流量,还可以减少管理系统上网络适配器的应用程序的互操作性问题。
这也意味着通过 ZPA 的目的地不会出现在路由表中。
zScaler 实际上不使用 CGNAT。它只需要一个地址范围应该没有合法的流量发往它,它可以劫持和重定向,而后果却很小。数据包进入 zScaler 后如何处理基本上是他们的秘密武器。