Utilizar ZTNA con y sin agente en la oficina
Puede acceder a las aplicaciones internas a través de ZTNA desde la oficina, con acceso sin agente o utilizando el agente ZTNA.
Utilizar ZTNA sin agente en la oficina
Los usuarios que trabajan en la oficina normalmente acceden a las aplicaciones internas por FQDN, por lo que sus solicitudes se envían al servidor DNS interno.
El servidor DNS interno tiene registros A para las aplicaciones internas, por lo que el usuario va directamente a las aplicaciones, lo que significa que no pasa por la puerta de enlace ZTNA.
Puede enviar usuarios a través de ZTNA de las siguientes maneras:
- Dirigir a los usuarios a un servidor DNS externo.
- Añadir un registro DNS alternativo para la aplicación interna en el servidor DNS.
Diagrama de red
He aquí un ejemplo de diagrama de red. Los ejemplos siguientes se basan en esta configuración de red.
Dirigir a los usuarios al servidor DNS externo
La forma más sencilla de garantizar que los usuarios pasen por ZTNA es configurar los dispositivos de los usuarios para que siempre apunten a la dirección IP del servidor DNS externo.
Esto es lo que sucede cuando el usuario intenta acceder al recurso interno:
- El usuario intenta acceder a una aplicación interna,
help.ABC.com, a través de su navegador. - La solicitud DNS va al servidor DNS externo,
203.0.114.4. - El servidor DNS externo resuelve la aplicación,
help.ABC.com, en la puerta de enlace ZTNA,ZTNA.ABC.com. - El usuario se conecta a la puerta de enlace ZTNA para acceder a la aplicación interna.
Añadir registros DNS a su servidor DNS interno
Si desea dirigir a los usuarios a la dirección IP del servidor DNS interno, debe asegurarse de que el servidor DNS tenga los siguientes registros DNS:
- Un registro CNAME que apunta el FQDN externo de la aplicación interna al FQDN de la puerta de enlace ZTNA. Ejemplo:
help.ABC.comse resuelve enZTNA.ABC.com. - Si los FQDN internos y externos de la aplicación son iguales, debe cambiar el FQDN interno y actualizarlo en la configuración de recursos en Sophos Central. Por ejemplo, si tanto el FQDN interno como el externo son
help.ABC.com, cambie el FQDN interno ahelp.in.ABC.com. Para obtener información sobre cómo crear registros de recursos, consulte Añadir recursos.
Esto es lo que sucede cuando un usuario intenta acceder al recurso interno:
- El usuario intenta acceder a una aplicación interna,
help.ABC.com, a través de su navegador. - La solicitud DNS va al servidor DNS interno,
DNS.ABC.com. - El servidor DNS interno resuelve la aplicación,
help.ABC.com, en la puerta de enlace ZTNA,ZTNA.ABC.com. - La puerta de enlace ZTNA reenvía la solicitud a la aplicación utilizando su segunda entrada de registro A,
help.in.ABC.com. Esto evita un bucle (dehelp.ABC.comaZTNA.ABC.comy de ahí de nuevo ahelp.ABC.com). - El usuario se conecta a la puerta de enlace ZTNA para acceder a la aplicación interna.
Utilizar el agente ZTNA en la oficina
Los usuarios que trabajan en la oficina normalmente acceden a las aplicaciones internas por FQDN, por lo que sus solicitudes se envían al servidor DNS interno.
Sin embargo, cuando los usuarios tienen el agente ZTNA instalado en sus dispositivos, el agente ZTNA intercepta la solicitud DNS, que se envía a la puerta de enlace ZTNA.
Acceso basado en IP
Si un usuario intenta acceder a un recurso interno escribiendo su dirección IP en el navegador, el usuario va directamente al recurso, eludiendo ZTNA. Para garantizar que los usuarios acceden al recurso interno por FQDN, puede añadir reglas de firewall.
Aquí tiene un ejemplo de regla de firewall configurada en Sophos Firewall.
Esta regla permite a los usuarios acceder a la puerta de enlace ZTNA desde cualquier zona y les deniega el acceso a cualquier otro servidor de aplicaciones. Esto significa que deben pasar por ZTNA para acceder a los servidores de aplicaciones que alojan sus recursos.
Esta regla se aplica en casos con y sin agente cuando un usuario intenta acceder a un recurso directamente utilizando una dirección IP.