コンテンツにスキップ

DNS フロー

ここでは、ZTNA を使用してアプリケーションにアクセスする際の DNS の動作の概要について説明します。アプリケーションには、ZTNA エージェントを使用してアクセスしたり、ブラウザ経由でアクセスしたりできます。

下のゲートウェイの導入の種類タブをクリックします。

エージェントを使用した DNS フロー

DNS のエージェントフロー。

  1. リモートユーザーが、プライベートアプリケーション app.mycompany.net にブラウザ経由でアクセスしようとします。

  2. DNS リクエストはインターセプトされ、ZTNA エージェントに転送されます。

    ZTNA エージェントは、プライベートアプリケーションの FQDN を Carrier Grade Network Address Translation (CGN) のネットワーク IP に解決し、さらにプライベートアプリケーションの FQDN 宛てのトラフィックすべてを処理します。

    1. DNS 要求が傍受されると即座に、ZTNA エージェントは 100.64.x.x 範囲内の IP アドレスをアプリケーションにリースします。例: 100.64.0.4
    2. ブラウザは TCP-SYN パケットをアプリケーションに送信します (IP アドレス:100.64.0.4)。
    3. SYN パケットの宛先 IP は 100.64.0.4 です 。これは仮想アダプタ (100.64.x.x) のサブネット範囲に含まれるため、SYN パケットは仮想アダプタに送信されます。

  3. ZTNA エージェントは、ZTNA ゲートウェイの IP アドレスの DNS リクエストを、パブリック DNS サーバーに送信します。これは、ZTNA ゲートウェイとのトンネルを確立するために必要です。

    パブリック DNS サーバーには、ZTNA ゲートウェイの IP を指定する ZTNA ゲートウェイの A レコードがあります。

  4. パブリック DNS サーバーは、ZTNA ゲートウェイの IP アドレス (203.0.113.20) を ZTNA エージェントに返します。

  5. ZTNA エージェントと ZTNA ゲートウェイの間で相互 TLS 暗号化が実行され、トンネルが確立されます。ZTNA ゲートウェイとの通信はすべて、セキュアトンネルを介して行われます。

  6. エージェントは、app.mycompany.net のアプリケーショントラフィックをトンネル経由で ZTNA ゲートウェイに送信します。

  7. ZTNAゲートウェイは、app.mycompany.net の DNS クエリをプライベート DNS サーバーに送信して、特定のアプリケーションサーバーの IP を調べます。

  8. プライベート DNS サーバーはアプリケーションサーバーの IP アドレス (192.168.1.20) を返し、トラフィックは ZTNA ゲートウェイによってアプリケーションサーバーに転送されます。

  9. リモートユーザーは、トンネルを介してプライベートアプリケーションにアクセスできるようになります。

ユーザーは、認証および承認後のみにプライベートアプリケーションにアクセスできますが、それはこのトピックでは扱っていません。

ZTNA エージェントをインストールすると、デフォルトの TAP アダプタが変更されます。nslookup を使用して DNS ルックアップを実行している場合、デフォルトで ZTNA TAP アダプタが使用されるようになります。ZTNA ゲートウェイの内側にないアプリの検索は失敗します。nslookup コマンドに対応するネットワークアダプタを追加する必要があります。例:

nslookup <FQDN-to-be-resolved><DNS-Server>

これは、オンプレミスとリモートワークの両方のシナリオに適用されます。

DNS のエージェントレスフロー

DNS のエージェントレスフロー。

  1. リモートユーザーが、プライベートアプリケーション app.mycompany.net にブラウザ経由でアクセスしようとします。

  2. DNS リクエストは、リモートユーザーのブラウザからパブリック DNS サーバーに送信されます。パブリック DNS サーバーは、プライベートアプリケーションの名前を、ZTNA ゲートウェイの名前と IP アドレスに解決します。

    パブリック DNS サーバーには、ZTNA ゲートウェイの FQDN を指定するプライベートアプリケーションの CNAME レコードがあります。また、ZTNA ゲートウェイの IP アドレスを指定する ZTNA ゲートウェイの A レコードもあります。

  3. パブリック DNS サーバーは、ZTNA ゲートウェイの IP アドレス (203.0.113.20) をユーザーのブラウザに返します。

  4. その後、ユーザーのブラウザから ZTNA ゲートウェイに Web リクエストが送信されます。

  5. ZTNA ゲートウェイは、app.mycompany.net の DNS リクエストをプライベート DNS サーバーに送信します。

  6. プライベート DNS サーバーは、app.mycompany.net の IP アドレス (192.168.1.20) を返します。

  7. ZTNA ゲートウェイは、リクエスト (app.mycompany.net) をアプリケーションサーバーに転送します。

  8. ユーザーは ZTNA ゲートウェイに接続して、プライベートアプリケーションにアクセスできるようになります。

ユーザーは、認証および承認後のみにプライベートアプリケーションにアクセスできますが、それはこのトピックでは扱っていません。

エージェントを使用した DNS フロー

Sophos Cloud の DNS エージェントフロー。

  1. リモートユーザーが、プライベートアプリケーション app.mycompany.net にブラウザ経由でアクセスしようとします。

  2. DNS リクエストはインターセプトされ、ZTNA エージェントに転送されます。

    ZTNA エージェントは、プライベートアプリケーションの FQDN を Carrier Grade Network Address Translation (CGN) のネットワーク IP に解決し、さらにプライベートアプリケーションの FQDN 宛てのトラフィックすべてを処理します。

    1. DNS 要求が傍受されると即座に、ZTNA エージェントは 100.64.x.x 範囲内の IP アドレスをアプリケーションにリースします。例: 100.64.0.4
    2. ブラウザは TCP-SYN パケットをアプリケーションに送信します (IP アドレス:100.64.0.4)。
    3. SYN パケットの宛先 IP は 100.64.0.4 です 。これは仮想アダプタ (100.64.x.x) のサブネット範囲に含まれるため、SYN パケットは仮想アダプタに送信されます。

  3. DNS リクエストは、ZTNA エージェントからパブリック DNS サーバーに送信されます。

  4. DNS サーバーは、プライベートアプリケーションの名前をマッピング先のエイリアスドメインに解決します。

  5. エイリアスドメインは、リモートユーザーのブラウザから Sophos Cloud のプレゼンスポイントに DNS リクエストをリダイレクトし、次に ZTNA ゲートウェイにリダイレクトします。ZTNA エージェントと ZTNA ゲートウェイの間で相互 TLS 暗号化が実行され、トンネルが確立されます。ZTNAゲートウェイとのすべての通信は、 Sophos Cloud プレゼンスポイントによるセキュアトンネルを介して行われます。

    Sophos Firewall ゲートウェイを使用している場合、認証や許可などのすべてのセキュリティチェックは Sophos Cloud で行われるため、ZTNA エージェントと Sophos Cloud プレゼンスポイントの間にトンネルが確立されます。

  6. エージェントは、app.mycompany.net のアプリケーショントラフィックを Sophos Cloud プレゼンスポイントのトンネル経由で ZTNA ゲートウェイに送信します。

  7. ZTNAゲートウェイは、app.mycompany.net の DNS クエリをプライベート DNS サーバーに送信して、特定のアプリケーションサーバーの IP を調べます。

  8. プライベート DNS サーバーはアプリケーションサーバーの IP アドレス (192.168.1.20) を返し、トラフィックは ZTNA ゲートウェイによって Sophos Cloud プレゼンスポイントを介してアプリケーションサーバーに転送されます。

  9. リモートユーザーは、トンネルを介してプライベートアプリケーションにアクセスできるようになります。

ユーザーは、認証および承認後のみにプライベートアプリケーションにアクセスできますが、それはこのトピックでは扱っていません。

ZTNA エージェントをインストールすると、デフォルトの TAP アダプタが変更されます。nslookup を使用して DNS ルックアップを実行している場合、デフォルトで ZTNA TAP アダプタが使用されるようになります。ZTNA ゲートウェイの内側にないアプリの検索は失敗します。nslookup コマンドに対応するネットワークアダプタを追加する必要があります。例:

nslookup <FQDN-to-be-resolved><DNS-Server>

これは、オンプレミスとリモートワークの両方のシナリオに適用されます。

DNS のエージェントレスフロー

Sophos Cloud の DNS エージェントレスフロー。

  1. リモートユーザーが、プライベートアプリケーション app.mycompany.net にブラウザ経由でアクセスしようとします。

  2. DNS リクエストは、リモートユーザーのブラウザからパブリック DNS サーバーに送信されます。パブリック DNS サーバーは、プライベートアプリケーションの名前を、マップイングされているエイリアスドメインに解決します。

  3. パブリック DNS サーバーは'リソースのエイリアスドメインをユーザーのブラウザに送り返します。

  4. エイリアスは、リモートユーザーのブラウザから Sophos Cloud のプレゼンスポイントに DNS リクエストをリダイレクトします。

    エージェントレスリソースを追加すると、ZTNA ゲートウェイと Sophos Cloud プレゼンスポイント間に新しいトンネルが確立されます。トンネルは、ポート 443 の ZTNA ゲートウェイから開始されます。新しいリソースごとに新しいトンネルが確立されます。

  5. ソフォスのプレゼンスポイントは、エイリアスドメインからの情報を使用して、トンネル経由で関連ゲートウェイに DNS リクエストを送信します。

  6. ZTNA ゲートウェイは、app.mycompany.net の DNS リクエストをプライベート DNS サーバーに送信します。

  7. プライベート DNS サーバーは、app.mycompany.net の IP アドレス (192.168.1.20) を返します。

  8. ZTNA ゲートウェイは、リクエスト (app.mycompany.net) をアプリケーションサーバーに転送します。

  9. ユーザーは、Sophos Cloud のプレゼンスポイントを介して ZTNA ゲートウェイに接続し、プライベートアプリケーションにアクセスできます。

    ユーザーは、認証および承認後のみにプライベートアプリケーションにアクセスできますが、それはこのトピックでは扱っていません。