Zum Inhalt

DNS-Ströme

Im Folgenden finden Sie einen Überblick über die Funktionsweise von DNS, wenn Sie über ZTNA auf eine Anwendung zugreifen. Sie können mit dem ZTNA-Agenten oder über Ihren Browser auf eine Anwendung zugreifen.

Klicken Sie unten auf den Tab für Ihren Gateway-Bereitstellungstyp.

DNS-Flow mit Agent

DNS-Flow mit Agent.

  1. Der Remote-Benutzer versucht, über seinen Browser auf eine private Anwendung app.mycompany.net zuzugreifen.

  2. Die DNS-Anfrage wird abgefangen und an den ZTNA-Agenten weitergeleitet.

    Hinweis

    Der ZTNA-Agent löst den FQDN der privaten Anwendung zur „Carrier-Grade“-NAT-Netzwerk-IP der Carrier-Klasse (CGN) auf und verarbeitet auch den gesamten Datenverkehr, der für den FQDN der privaten Anwendung bestimmt ist.

    1. Sobald die DNS-Anforderung abgefangen wird, least der ZTNA-Agent eine IP-Adresse im 100.64.x.x-Bereich an die Anwendung. Beispiel: 100.64.0.4.
    2. Der Browser sendet ein TCP-SYN-Paket an die Anwendung (IP-Adresse: 100.64.0.4).
    3. Die Ziel-IP des SYN-Pakets ist 100.64.0.4, die in den Subnetzbereich des virtuellen Adapters (100.64.x.x) fällt, sodass das SYN-Paket an den virtuellen Adapter weitergeleitet wird.
  3. Der ZTNA-Agent sendet eine DNS-Anfrage an den öffentlichen DNS-Server für die IP-Adresse des ZTNA-Gateways. Dies ist erforderlich, um den Tunnel mit dem ZTNA-Gateway einzurichten.

    Hinweis

    Der öffentliche DNS-Server verfügt über einen A-Datensatz für das ZTNA-Gateway, der auf die IP des Gateways verweist.

  4. Der öffentliche DNS-Server sendet die IP-Adresse des ZTNA-Gateways (203.0.113.20) an den ZTNA-Agenten zurück.

  5. Die gegenseitige TLS-Verschlüsselung wird zwischen dem ZTNA-Agenten und dem ZTNA-Gateway durchgeführt und es wird ein Tunnel eingerichtet. Die gesamte Kommunikation mit dem ZTNA-Gateway erfolgt über den sicheren Tunnel.

  6. Der Agent sendet den Anwendungsdatenverkehr zu app.mycompany.net über den Tunnel an das ZTNA-Gateway.

  7. Das ZTNA-Gateway sendet die DNS-Abfrage zu app.mycompany.net an den privaten DNS-Server, um zu ermitteln, wo sich die spezifische Anwendungsserver-IP befindet.

  8. Der private DNS-Server gibt die IP-Adresse des Anwendungsservers (192.168.1.20) zurück und der Datenverkehr wird vom ZTNA-Gateway an den Anwendungsserver weitergeleitet.

  9. Der Remote-Benutzer kann über den Tunnel auf die private Anwendung zugreifen.

Hinweis

Der Benutzer kann nur nach Authentifizierung und Autorisierung auf die private Anwendung zugreifen, ist aber in diesem Thema nicht enthalten.

Hinweis

Durch die Installation des ZTNA-Agenten wird der Standard-TAP-Adapter geändert. Wenn Sie eine DNS-Suche mit nslookup durchführen, wird jetzt standardmäßig der ZTNA-TAP-Adapter verwendet. Die Suche nach Anwendungen, die sich nicht hinter dem ZTNA-Gateway befinden, schlägt fehl. Sie müssen den entsprechenden Netzwerkadapter zu Ihrem nslookup-Befehl hinzufügen. Beispiel:

nslookup <FQDN-to-be-resolved><DNS-Server>

Dies gilt sowohl für lokale als auch für Remote-Arbeitsszenarien.

Agentenloser DNS-Flow

Agentenloser DNS-Flow.

  1. Der Remote-Benutzer versucht, über seinen Browser auf eine private Anwendung app.mycompany.net zuzugreifen.

  2. Die DNS-Anforderung wird vom Browser des Remote-Benutzers an den öffentlichen DNS-Server gesendet, der den Namen der privaten Anwendung in den Namen und die IP-Adresse des ZTNA-Gateways auflöst.

    Hinweis

    Der öffentliche DNS-Server verfügt über einen CNAME-Record für die private Anwendung, der auf den FQDN des ZTNA-Gateways verweist. Außerdem verfügt er über auch einen A-Datensatz für das ZTNA-Gateway, der auf die IP-Adresse des Gateways verweist.

  3. Der öffentliche DNS-Server sendet die IP-Adresse des ZTNA-Gateways (203.0.113.20) an den Browser des Benutzers zurück.

  4. Eine Webanfrage wird dann vom Browser des Benutzers an das ZTNA-Gateway gesendet.

  5. Das ZTNA-Gateway sendet die DNS-Anforderung für app.mycompany.net an den privaten DNS-Server.

  6. Der private DNS-Server gibt die IP-Adresse „app.mycompany.net“ (192.168.1.20) zurück.

  7. Das ZTNA-Gateway leitet die Anforderung (app.mycompany.net) an den Anwendungsserver weiter.

  8. Der Benutzer kann eine Verbindung zum ZTNA-Gateway herstellen, um auf die private Anwendung zuzugreifen.

Hinweis

Der Benutzer kann nur nach Authentifizierung und Autorisierung auf die private Anwendung zugreifen, ist aber in diesem Thema nicht enthalten.

DNS-Flow mit Agent

DNS-Agent-Flow für Sophos Cloud.

  1. Der Remote-Benutzer versucht, über seinen Browser auf eine private Anwendung app.mycompany.net zuzugreifen.

  2. Die DNS-Anfrage wird abgefangen und an den ZTNA-Agenten weitergeleitet.

    Hinweis

    Der ZTNA-Agent löst den FQDN der privaten Anwendung zur „Carrier-Grade“-NAT-Netzwerk-IP der Carrier-Klasse (CGN) auf und verarbeitet auch den gesamten Datenverkehr, der für den FQDN der privaten Anwendung bestimmt ist.

    1. Sobald die DNS-Anforderung abgefangen wird, least der ZTNA-Agent eine IP-Adresse im 100.64.x.x-Bereich an die Anwendung. Beispiel: 100.64.0.4.
    2. Der Browser sendet ein TCP-SYN-Paket an die Anwendung (IP-Adresse: 100.64.0.4).
    3. Die Ziel-IP des SYN-Pakets ist 100.64.0.4, die in den Subnetzbereich des virtuellen Adapters (100.64.x.x) fällt, sodass das SYN-Paket an den virtuellen Adapter weitergeleitet wird.
  3. Die DNS-Anforderung wird vom ZTNA-Agenten an den öffentlichen DNS-Server gesendet.

  4. Der DNS-Server löst den Namen der privaten Anwendung zur Alias-Domäne auf, der er zugeordnet ist.

  5. Die Alias-Domäne leitet die DNS-Anforderung vom Browser des Remote-Benutzers an den Sophos Cloud Point of Presence und dann an das ZTNA-Gateway um. Die gegenseitige TLS-Verschlüsselung wird zwischen dem ZTNA-Agenten und dem ZTNA-Gateway durchgeführt und es wird ein Tunnel eingerichtet. Die gesamte Kommunikation mit dem ZTNA-Gateway erfolgt über den sicheren Tunnel über den Sophos Cloud Point of Presence.

    Hinweis

    Wenn Sie über ein Sophos-Firewall-Gateway verfügen, werden alle Sicherheitsprüfungen, wie Authentifizierung und Autorisierung, in der Sophos Cloud durchgeführt, sodass der Tunnel zwischen dem ZTNA-Agenten und dem Sophos Cloud Point of Presence hergestellt wird.

  6. Der Agent sendet den Anwendungsdatenverkehr zu app.mycompany.net über den Tunnel über den Sophos Cloud Point of Presence an das ZTNA-Gateway.

  7. Das ZTNA-Gateway sendet die DNS-Abfrage zu app.mycompany.net an den privaten DNS-Server, um zu ermitteln, wo sich die spezifische Anwendungsserver-IP befindet.

  8. Der private DNS-Server gibt die IP-Adresse des Anwendungsservers (192.168.1.20) zurück und der Datenverkehr wird vom ZTNA-Gateway über den Sophos Cloud Point of Presence an den Anwendungsserver weitergeleitet.

  9. Der Remote-Benutzer kann über den Tunnel auf die private Anwendung zugreifen.

Hinweis

Der Benutzer kann nur nach Authentifizierung und Autorisierung auf die private Anwendung zugreifen, ist aber in diesem Thema nicht enthalten.

Hinweis

Durch die Installation des ZTNA-Agenten wird der Standard-TAP-Adapter geändert. Wenn Sie eine DNS-Suche mit nslookup durchführen, wird jetzt standardmäßig der ZTNA-TAP-Adapter verwendet. Die Suche nach Anwendungen, die sich nicht hinter dem ZTNA-Gateway befinden, schlägt fehl. Sie müssen den entsprechenden Netzwerkadapter zu Ihrem nslookup-Befehl hinzufügen. Beispiel:

nslookup <FQDN-to-be-resolved><DNS-Server>

Dies gilt sowohl für lokale als auch für Remote-Arbeitsszenarien.

Agentenloser DNS-Flow

Agentenloser DNS-Flow für Sophos Cloud.

  1. Der Remote-Benutzer versucht, über seinen Browser auf eine private Anwendung app.mycompany.net zuzugreifen.

  2. Die DNS-Anforderung wird vom Browser des Remote-Benutzers an den öffentlichen DNS-Server gesendet, der den Namen der privaten Anwendung an die Alias-Domäne auflöst, der er zugeordnet ist.

  3. Der öffentliche DNS-Server sendet die Alias-Domäne der Ressource an den Browser des Benutzers zurück.

  4. Der Alias leitet die DNS-Anforderung vom Browser des Remote-Benutzers an den Sophos Cloud Point of Presence um.

    Hinweis

    Wenn Sie eine agentenlose Ressource hinzufügen, wird ein neuer Tunnel zwischen dem ZTNA-Gateway und dem Sophos Cloud Point of Presence eingerichtet. Der Tunnel wird vom ZTNA-Gateway auf Port 443 initiiert. Für jede neue Ressource wird ein neuer Tunnel eingerichtet.

  5. Der Sophos Point of Presence sendet die DNS-Anforderung über den Tunnel an das entsprechende Gateway, wobei die Informationen aus der Alias-Domäne verwendet werden.

  6. Das ZTNA-Gateway sendet die DNS-Anforderung für app.mycompany.net an den privaten DNS-Server.

  7. Der private DNS-Server gibt die IP-Adresse „app.mycompany.net“ (192.168.1.20) zurück.

  8. Das ZTNA-Gateway leitet die Anforderung (app.mycompany.net) an den Anwendungsserver weiter.

  9. Der Benutzer kann über den Sophos Cloud Point of Presence eine Verbindung zum ZTNA Gateway herstellen, um auf die private Anwendung zuzugreifen.

    Hinweis

    Der Benutzer kann nur nach Authentifizierung und Autorisierung auf die private Anwendung zugreifen, ist aber in diesem Thema nicht enthalten.