Vai al contenuto

Aggiunta delle impostazioni DNS

Sui server DNS occorre configurare le impostazioni indicate di seguito.

Le impostazioni variano a seconda che si stia configurando un gateway on-premise o un Sophos Cloud Gateway.

Per informazioni relative al proprio tipo di gateway, cliccare di seguito sulla scheda corrispondente alla propria distribuzione.

Le piattaforme gateway on-premise includono Amazon Web Services, Hyper-V e VMware ESXi.

Per esempi sul funzionamento del DNS con gateway ZTNA on-premise, vedere Flussi DNS.

Server DNS pubblico

I record DNS aggiunti al proprio server DNS pubblico variano a seconda che si stia configurando ZTNA senza agente o ZTNA basato su agente.

ZTNA senza agente

Occorre un server DNS pubblico (esterno) per i seguenti motivi:

  • Per risolvere un record A che punta al gateway ZTNA.
  • Per risolvere il record CNAME delle risorse che puntano al nome di dominio (FQDN) del gateway ZTNA.

Con l’accesso senza agente, ZTNA supporta un solo dominio. Il nome di dominio delle risorse deve corrispondere a quello del proprio gateway.

Esempio
  • Il record A punta all’FQDN del gateway: https://ztna.mycompany.net/
  • Il record CNAME punta alla propria risorsa FQDN: https://wiki.mycompany.net/#all-updates

ZTNA basato su agente

Occorre un server DNS pubblico (esterno) per i seguenti motivi:

  • Per risolvere un record A che punta al gateway ZTNA.

Nota

Non sono richiesti record CNAME per le risorse, se l’accesso a queste ultime viene effettuato con l’agente Sophos ZTNA.

Esempio
  • Il record A punta all’FQDN del gateway: https://ztna.mycompany.net/

Server DNS privato

Il gateway ZTNA deve puntare a un server DNS privato (interno) per reindirizzare gli utenti a una risorsa dopo la loro autenticazione e autorizzazione.

In alternativa, è possibile configurare direttamente l’FQDN/IP interno della risorsa quando viene aggiunta a ZTNA in Sophos Central.

Le piattaforme Sophos Cloud Gateway includono Sophos Firewall, Amazon Web Services, Hyper-V e VMware ESXi.

Server DNS pubblico

I record DNS aggiunti al proprio server DNS pubblico variano a seconda che si stia configurando ZTNA senza agente o ZTNA basato su agente.

ZTNA senza agente

Occorre un server DNS pubblico (esterno) per i seguenti motivi:

  • Per convalidare la proprietà del dominio utilizzato dall’amministratore per il gateway ZTNA. A tale scopo, è necessario aggiungere un record TXT. Vedere la sezione “Convalidare il dominio” in Configurazione di un Sophos Cloud Gateway.
  • Per risolvere il record CNAME che punta al dominio dell’alias generato durante l’aggiunta del gateway ZTNA.
  • Per risolvere il record CNAME che punta al dominio dell’alias generato durante l’aggiunta delle risorse senza agente. È possibile aggiungere più record CNAME per più risorse.

Il nome di dominio delle risorse deve corrispondere a quello del proprio gateway. Ad esempio, nome del dominio del gateway: ztna.company.net, nome della risorsa: wiki.mycompany.net.

Esempio
  • Il record TXT punta all’FQDN del gateway: https://ztna.mycompany.net/
  • Il record CNAME punta al dominio dell’alias del gateway ZTNA: 9c70fcab-9a67-470d-8fe8-e5203b0fce34.1.us-east-2.prod.ztna.access.sophos.com
  • Il record CNAME punta al nome dell’alias della risorsa: 0c70fcab-9a67-470d-8fe8-e5203b0fce34.1.us-east-2.prod.ztna.access.sophos.com

ZTNA basato su agente

Occorre un server DNS pubblico (esterno) per i seguenti motivi:

  • Per convalidare la proprietà del dominio utilizzato dall’amministratore per il gateway ZTNA. A tale scopo, è necessario aggiungere un record TXT. Vedere la sezione “Convalidare il dominio” in Configurazione di un Sophos Cloud Gateway.
  • Per risolvere il record CNAME che punta al dominio dell’alias generato durante l’aggiunta del gateway ZTNA.
Esempio
  • Il record TXT punta all’FQDN del gateway: https://ztna.mycompany.net/
  • Il record CNAME punta al dominio dell’alias del gateway ZTNA: 7c70fcab-9a67-470d-8fe8-e5203b0fce34.1.us-east-2.prod.ztna.access.sophos.com

Server DNS privato

Il gateway ZTNA deve puntare a un server DNS privato (interno) per reindirizzare gli utenti a una risorsa dopo la loro autenticazione e autorizzazione.

In alternativa, è possibile configurare direttamente l’FQDN/IP interno della risorsa quando viene aggiunta a ZTNA in Sophos Central.