Zum Inhalt

Agentenloses und agentenbasiertes ZTNA im Büro verwenden

Sie können über ZTNA von Ihrem Büro aus entweder ohne Agent oder mithilfe des ZTNA-Agenten auf interne Anwendungen zugreifen.

Agentenloses ZTNA im Büro verwenden

Benutzer im Büro greifen normalerweise über FQDN auf interne Anwendungen zu, sodass ihre Anforderungen an den internen DNS-Server gesendet werden.

Der interne DNS-Server verfügt über A-Datensätze für die internen Anwendungen, sodass der Benutzer direkt zu den Anwendungen wechseln kann. Somit werden sie nicht durch das ZTNA-Gateway geleitet.

Benutzer können folgendermaßen über ZTNA gesendet werden:

  • Verweisen Sie Benutzer auf einen externen DNS-Server.
  • Fügen Sie einen alternativen DNS-Datensatz für die interne Anwendung auf dem DNS-Server hinzu.

Netzwerkdiagramm

Beispiel für ein Netzwerkdiagramm. Die folgenden Beispiele basieren auf dieser Netzwerkeinrichtung.

Benutzer auf den externen DNS-Server verweisen

Am einfachsten können Benutzer durch ZTNA geleitet werden, indem ihre Geräte so konfiguriert werden, dass sie stets auf die IP-Adresse des externen DNS-Servers verweisen.

Dies geschieht, wenn der Benutzer versucht, auf die interne Ressource zuzugreifen:

  1. Der Benutzer versucht, über seinen Browser auf eine interne Anwendung (help.ABC.com) zuzugreifen.
  2. Die DNS-Anforderung wird an den externen DNS-Server 203.0.114.4 gesendet.
  3. Der externe DNS-Server löst die Anwendung (help.ABC.com) auf das ZTNA-Gateway (ZTNA.ABC.com) auf.
  4. Der Benutzer kann eine Verbindung zum ZTNA-Gateway herstellen, um auf die interne Anwendung zuzugreifen.

DNS-Datensätze zu Ihrem internen DNS-Server hinzufügen

Wenn Sie Benutzer auf die IP-Adresse des internen DNS-Servers verweisen möchten, müssen Sie sicherstellen, dass der DNS-Server über die folgenden DNS-Datensätze verfügt:

  • Ein CNAME-Datensatz, der den externen FQDN der internen Anwendung auf den FQDN des ZTNA-Gateways verweist. Beispiel: help.ABC.com wird auf ZTNA.ABC.com aufgelöst.
  • Wenn die internen und externen FQDNs der Anwendung identisch sind, müssen Sie den internen FQDN ändern und in den Ressourceneinstellungen in Sophos Central aktualisieren. Wenn zum Beispiel die internen und externen FQDNs jeweils help.ABC.com sind, ändern Sie den internen FQDN in help.in.ABC.com. Nähere Informationen zur Erstellung von Ressourcendatensätzen finden Sie unter Ressourcen hinzufügen.

Folgendes geschieht, wenn der Benutzer versucht, auf die interne Ressource zuzugreifen:

  1. Der Benutzer versucht, über seinen Browser auf eine interne Anwendung (help.ABC.com) zuzugreifen.
  2. Die DNS-Anforderung wird an den internen DNS-Server DNS.ABC.com gesendet.
  3. Der interne DNS-Server löst die Anwendung (help.ABC.com) auf dem ZTNA-Gateway (ZTNA.ABC.com) auf.
  4. Das ZTNA-Gateway leitet die Anforderung an die Anwendung weiter, indem es den zweiten A-Datensatzeintrag (help.in.ABC.com) verwendet. Dadurch wird eine Schleife (help.ABC.com zu ZTNA.ABC.com und dann zurück zu help.ABC.com) verhindert.
  5. Der Benutzer kann eine Verbindung zum ZTNA-Gateway herstellen, um auf die interne Anwendung zuzugreifen.

Den ZTNA-Agenten im Büro verwenden

Benutzer im Büro greifen normalerweise über FQDN auf interne Anwendungen zu, sodass ihre Anforderungen an den internen DNS-Server gesendet werden.

Wenn Benutzer jedoch den ZTNA-Agenten auf ihren Endgeräten installiert haben, fängt der ZTNA-Agent die DNS-Anforderung ab, die an das ZTNA-Gateway gesendet wird.

IP-basierter Zugriff

Wenn ein Benutzer versucht, auf eine interne Ressource zuzugreifen, indem er seine IP-Adresse in den Browser eingibt, wechselt der Benutzer direkt zu der Ressource und umgeht ZTNA. Um sicherzustellen, dass Benutzer über FQDN auf die interne Ressource zugreifen, können Sie Firewallregeln hinzufügen.

Im Folgenden finden Sie ein Beispiel für eine Firewall-Regel, die auf der Sophos Firewall konfiguriert ist.

Diese Regel ermöglicht Benutzern den Zugriff auf das ZTNA-Gateway von einer beliebigen Zone aus und verweigert ihnen den Zugriff auf andere Anwendungsserver. Somit müssen die Benutzer ZTNA durchlaufen, um auf Anwendungsserver zuzugreifen, auf denen ihre Ressourcen gehostet werden.

Diese Regel gilt in agentenbasierten und agentenlosen Szenarien, in denen ein Benutzer versucht, direkt über eine IP-Adresse auf eine Ressource zuzugreifen.