新增 DNS 設定
您的 DNS 伺服器需要下列設定。
這些設定會因您設定的是內部部署閘道還是 Sophos Cloud 閘道而有所不同。
按一下下方索引標籤以獲取有關您的閘道類型的資訊。
內部部署閘道平台包括 Amazon Web Services、Hyper-V 和 VMware ESXi。
有關 DNS 如何與內部部署 ZTNA 閘道配合工作的範例,請參見 DNS 流程。
公用 DNS 伺服器
您新增到公用 DNS 伺服器的 DNS 記錄因您設定了無代理程式 ZTNA 還是基於代理程式的 ZTNA 而異。
無代理程式 ZTNA
由於以下原因,您需要一個公用(外部)DNS 伺服器:
- 解析指向 ZTNA 閘道的「A 記錄」。
- 解析指向 ZTNA 閘道之網域名稱 (FQDN) 的資源的 CNAME 記錄。
使用無代理程式存取時,ZTNA 僅支援單個網域。資源的網域名稱必須與閘道的網域名稱匹配。
範例
- A 記錄指向您的閘道 FQDN:
https://ztna.mycompany.net/ - CNAME 記錄指向您的資源 FQDN:
https://wiki.mycompany.net/#all-updates
基於代理程式的 ZTNA
由於以下原因,您需要一個公用(外部)DNS 伺服器:
- 解析指向 ZTNA 閘道的「A 記錄」。
注意
如果您使用 Sophos ZTNA 代理程式存取資源,則不需要資源的 CNAME 記錄。
範例
- A 記錄指向您的閘道 FQDN:
https://ztna.mycompany.net/
私人 DNS 伺服器
ZTNA 閘道必須指向私人(內部)DNS 伺服器,以便在驗證和授權之後將使用者重新導向至資源。
或者,您可以在 Sophos Central 中將資源新增至 ZTNA 時,直接設定資源的內部 FQDN/IP。
Sophos Cloud 閘道平台包括 Sophos Firewall、Amazon Web Services、Hyper-V 和 VMware ESXi。
公用 DNS 伺服器
您新增到公用 DNS 伺服器的 DNS 記錄因您設定了無代理程式 ZTNA 還是基於代理程式的 ZTNA 而異。
無代理程式 ZTNA
由於以下原因,您需要一個公用(外部)DNS 伺服器:
- 驗證管理員用於 ZTNA 閘道的網域所有權。您必須新增 TXT 記錄才能執行此動作。請參閱 設定 Sophos Cloud 閘道 中的「驗證您的網域」一節。
- 解析指向新增 ZTNA 閘道時所產生之別名網域的「CNAME 記錄」。
- 解析指向新增無代理程式資源時所產生之別名網域的 CNAME 記錄。您可以為多個資源新增多個 CNAME 記錄。
資源的網域名稱必須與閘道的網域名稱匹配。例如,閘道網域名稱:ztna.company.net,資源名稱:wiki.mycompany.net。
範例
- TXT 記錄指向您的閘道 FQDN:
https://ztna.mycompany.net/ - CNAME 記錄指向 ZTNA 閘道的別名網域:
9c70fcab-9a67-470d-8fe8-e5203b0fce34.1.us-east-2.prod.ztna.access.sophos.com - CNAME 記錄指向資源的別名:
0c70fcab-9a67-470d-8fe8-e5203b0fce34.1.us-east-2.prod.ztna.access.sophos.com
基於代理程式的 ZTNA
由於以下原因,您需要一個公用(外部)DNS 伺服器:
- 驗證管理員用於 ZTNA 閘道的網域所有權。您必須新增 TXT 記錄才能執行此動作。請參閱 設定 Sophos Cloud 閘道 中的「驗證您的網域」一節。
- 解析指向新增 ZTNA 閘道時所產生之別名網域的「CNAME 記錄」。
範例
- TXT 記錄指向您的閘道 FQDN:
https://ztna.mycompany.net/ - CNAME 記錄指向 ZTNA 閘道的別名網域:
7c70fcab-9a67-470d-8fe8-e5203b0fce34.1.us-east-2.prod.ztna.access.sophos.com
私人 DNS 伺服器
ZTNA 閘道必須指向私人(內部)DNS 伺服器,以便在驗證和授權之後將使用者重新導向至資源。
或者,您可以在 Sophos Central 中將資源新增至 ZTNA 時,直接設定資源的內部 FQDN/IP。