在辦公室中使用無代理程式和基於代理程式的 ZTNA
您可以在辦公室內部透過 ZTNA 存取內部應用程式,方式有無代理程式存取或使用 ZTNA 代理程式。
在辦公室中使用無代理程式 ZTNA
辦公室中的使用者通常會透過 FQDN 存取內部應用程式,因此他們的要求會傳送至內部 DNS 伺服器。
內部 DNS 伺服器具有內部應用程式的 A 記錄,因此使用者直接轉到應用程式,這表示他們不會經由 ZTNA 閘道。
您可以採取下列方式透過 ZTNA 傳送使用者:
- 將使用者指向外部 DNS 伺服器。
- 為 DNS 伺服器上的內部應用程式新增備用 DNS 記錄。
網路圖
以下是網路圖範例。以下範例基於此網路設定。
將使用者指向外部 DNS 伺服器
要確保使用者經由 ZTNA,最簡單的方法是將使用者的裝置設定為始終指向外部 DNS 伺服器的 IP 位址。
使用者嘗試存取內部資源時會發生以下情況:
- 使用者嘗試透過其瀏覽器存取內部應用程式
help.ABC.com。 - DNS 請求將傳送到外部 DNS 伺服器
203.0.114.4。 - 外部 DNS 伺服器將應用程式
help.ABC.com解析到 ZTNA 閘道ZTNA.ABC.com。 - 使用者連線到 ZTNA 閘道以存取內部應用程式。
將 DNS 記錄新增到內部 DNS 伺服器
如果要將使用者指向內部 DNS 伺服器的 IP 位址,則必須確保 DNS 伺服器具有以下 DNS 記錄:
- 將內部應用程式的外部 FQDN 指向 ZTNA 閘道 FQDN 的 CNAME 記錄。範例:
help.ABC.com解析為ZTNA.ABC.com。 - 如果應用程式的內部和外部 FQDN 相同,則必須變更內部 FQDN 並在 Sophos Central 的資源設定中更新它。例如,如果內部和外部 FQDN 都是
help.ABC.com,請將內部 FQDN 變更為help.in.ABC.com。有關建立資源記錄的資訊,請參閱 新增資源。
使用者嘗試存取內部資源時會發生以下情況:
- 使用者嘗試透過其瀏覽器存取內部應用程式
help.ABC.com。 - DNS 請求將傳送到內部 DNS 伺服器
DNS.ABC.com。 - 內部 DNS 伺服器將應用程式
help.ABC.com解析到 ZTNA 閘道ZTNA.ABC.com。 - ZTNA 閘道使用其第二個 A 記錄項目
help.in.ABC.com將請求轉送到應用程式。這樣可以防止出現迴圈(help.ABC.com到ZTNA.ABC.com,然後返回到help.ABC.com)。 - 使用者連線到 ZTNA 閘道以存取內部應用程式。
在辦公室中使用 ZTNA 代理程式
辦公室中的使用者通常會透過 FQDN 存取內部應用程式,因此他們的要求會傳送至內部 DNS 伺服器。
但是,當使用者在其端點裝置上安裝了 ZTNA 代理程式時,ZTNA 代理程式會截取 DNS 請求,該請求將傳送到 ZTNA 閘道。
基於 IP 的存取
如果使用者嘗試透過在瀏覽器中鍵入內部資源的 IP 位址來存取內部資源,則使用者將跳過 ZTNA 直接轉到該資源。若要確保使用者透過 FQDN 存取內部資源,您可以新增防火牆規則。
以下是在 Sophos Firewall 上設定的防火牆規則範例。
此規則允許使用者從任何區域存取 ZTNA 閘道,並拒絕他們存取任何其他應用程式伺服器。這表示他們必須透過 ZTNA 存取託管其資源的應用程式伺服器。
當使用者嘗試使用 IP 位址直接存取資源時,此規則適用於有代理程式和無代理程式的情況。