跳至內容

DNS 流程

以下概述了使用 ZTNA 存取應用程式時 DNS 的運作方式。您可以使用 ZTNA 代理程式或透過瀏覽器存取應用程式。

按一下下面的索引標籤,瞭解您的閘道部署類型。

具有代理程式的 DNS 流程

DNS 代理程式流程。

  1. 遠端使用者嘗試透過其瀏覽器存取私人應用程式 app.mycompany.net

  2. DNS 請求被截獲並轉寄到 ZTNA 代理程式。

    注意

    ZTNA 代理程式將私人應用程式 FQDN 解析爲載波級網路地址轉換 (CGN) 網路 IP,並處理發往私人應用程式 FQDN 的所有流量。

    1. 一旦 DNS 請求被截獲,ZTNA 代理程式就會在 100.64.x.x 範圍內租賃一個 IP 位址供應用程式使用。範例:100.64.0.4
    2. 瀏覽器將 TCP-SYN 封包傳送至應用程式(IP 位址:100.64.0.4)。
    3. SYN 封包的目的地 IP 是 100.64.0.4,它位於虛擬介面卡的子網範圍內 (100.64.x.x),因此 SYN 封包將轉到虛擬介面卡。

  3. ZTNA 代理程式向公共 DNS 伺服器傳送 DNS 請求以獲取 ZTNA 閘道的 IP 位址。這是與 ZTNA 閘道建立通道所必需的。

    注意

    公共 DNS 伺服器具有指向閘道 IP 的 ZTNA 閘道的 A 記錄條目。

  4. 公共 DNS 伺服器將 ZTNA 閘道的 IP 位址 (203.0.113.20) 傳回 ZTNA 代理程式。

  5. 在 ZTNA 代理程式和 ZTNA 閘道之間執行相互 TLS 加密,並建立通道。與 ZTNA 閘道的所有通訊都會透過安全通道進行。

  6. 代理程式透過通道將 app.mycompany.net 的應用程式流量傳送到 ZTNA 閘道。

  7. ZTNA 閘道會將 app.mycompany.net 的 DNS 查詢傳送至私人 DNS 伺服器,以找出特定應用程式伺服器 IP 的位置。

  8. 私人 DNS 伺服器將返回應用程式伺服器的 IP 位址 (192.168.1.20),而流量則由 ZTNA 閘道轉寄到應用程式伺服器。

  9. 遠端使用者可以透過通道存取私人應用程式。

注意

使用者只能在驗證和授權後存取私人應用程式,但不包含在此主題中。

注意

安裝 ZTNA 代理程式會變更預設的 TAP 介面卡。如果使用 nslookup 進行 DNS 查找,現在它預設會使用 ZTNA TAP 介面卡。查詢 ZTNA 閘道以外的應用程式將會失敗。您需要為 nslookup 命令新增對應的網路介面卡。例如:

nslookup <FQDN-to-be-resolved><DNS-Server>

這適用於內部部署和遠端工作場景。

DNS 無代理程式流量

DNS 無代理程式流量。

  1. 遠端使用者嘗試透過其瀏覽器存取私人應用程式 app.mycompany.net

  2. DNS 請求從遠端使用者的瀏覽器傳送到公共 DNS 伺服器,該伺服器將私人應用程式的名稱解析爲 ZTNA 閘道的名稱和 IP 位址。

    注意

    公用 DNS 伺服器有私人應用程式的 CNAME 記錄,指向 ZTNA 閘道的 FQDN。它還具有 ZTNA 閘道的 A 記錄,指向閘道的 IP 位址。

  3. 公共 DNS 伺服器將 ZTNA 閘道的 IP 位址 (203.0.113.20) 傳回使用者的瀏覽器。

  4. 然後,Web 請求將從使用者的瀏覽器傳送到 ZTNA 閘道。

  5. ZTNA 閘道將 app.mycompany.net 的 DNS 請求傳送到私人 DNS 伺服器。

  6. 私人 DNS 伺服器返回 app.mycompany.net (192.168.1.20) 的 IP 位址。

  7. ZTNA 閘道將請求 (app.mycompany.net) 轉寄到應用程式伺服器。

  8. 使用者可以連線到 ZTNA 閘道以存取私人應用程式。

注意

使用者只能在驗證和授權後存取私人應用程式,但不包含在此主題中。

具有代理程式的 DNS 流程

Sophos Cloud 的 DNS 代理程式流程。

  1. 遠端使用者嘗試透過其瀏覽器存取私人應用程式 app.mycompany.net

  2. DNS 請求被截獲並轉寄到 ZTNA 代理程式。

    注意

    ZTNA 代理程式將私人應用程式 FQDN 解析爲載波級網路地址轉換 (CGN) 網路 IP,並處理發往私人應用程式 FQDN 的所有流量。

    1. 一旦 DNS 請求被截獲,ZTNA 代理程式就會在 100.64.x.x 範圍內租賃一個 IP 位址供應用程式使用。範例:100.64.0.4
    2. 瀏覽器將 TCP-SYN 封包傳送至應用程式(IP 位址:100.64.0.4)。
    3. SYN 封包的目的地 IP 是 100.64.0.4,它位於虛擬介面卡的子網範圍內 (100.64.x.x),因此 SYN 封包將轉到虛擬介面卡。

  3. DNS 請求從 ZTNA 代理程式傳送至公用 DNS 伺服器。

  4. DNS 伺服器將專用應用程式的名稱解析為其對應的別名網域。

  5. 別名網域將 DNS 請求從遠端使用者的瀏覽器重新導向至 Sophos Cloud 接入點,然後重新導向至 ZTNA 閘道。在 ZTNA 代理程式和 ZTNA 閘道之間執行相互 TLS 加密,並建立通道。與 ZTNA 閘道的所有通訊都透過 Sophos Cloud 接入點在安全通道進行。

    注意

    如果您有 Sophos Firewall 閘道,則所有安全檢查(例如身分驗證和授權)都會在 Sophos Cloud 中完成,因此在 ZTNA 代理程式和 Sophos Cloud 接入點之間建立通道。

  6. 代理程式透過 Sophos Cloud 接入點,經由通道將 app.mycompany.net 的應用程式流量傳送至 ZTNA 閘道。

  7. ZTNA 閘道會將 app.mycompany.net 的 DNS 查詢傳送至私人 DNS 伺服器,以找出特定應用程式伺服器 IP 的位置。

  8. 專用 DNS 伺服器返回應用程式伺服器的 IP 位址 (192.168.1.20),而流量則由 ZTNA 閘道透過 Sophos Cloud 接入點轉寄到應用程式伺服器。

  9. 遠端使用者可以透過通道存取私人應用程式。

注意

使用者只能在驗證和授權後存取私人應用程式,但不包含在此主題中。

注意

安裝 ZTNA 代理程式會變更預設的 TAP 介面卡。如果使用 nslookup 進行 DNS 查找,現在它預設會使用 ZTNA TAP 介面卡。查詢 ZTNA 閘道以外的應用程式將會失敗。您需要為 nslookup 命令新增對應的網路介面卡。例如:

nslookup <FQDN-to-be-resolved><DNS-Server>

這適用於內部部署和遠端工作場景。

DNS 無代理程式流量

Sophos Cloud 的 DNS 無代理程式流程。

  1. 遠端使用者嘗試透過其瀏覽器存取私人應用程式 app.mycompany.net

  2. DNS 請求從遠端使用者的瀏覽器傳送至公用 DNS 伺服器,該伺服器將專用應用程式的名稱解析為其對應的別名網域。

  3. 公用 DNS 伺服器將資源的別名網域傳回使用者的瀏覽器。

  4. 別名將 DNS 請求從遠端使用者的瀏覽器重新導向至 Sophos Cloud 接入點。

    注意

    當您新增無代理程式資源時,將在 ZTNA 閘道和 Sophos Cloud 接入點之間建立一個新通道。通道是從連接埠 443 的 ZTNA 閘道啟動的。為每個新資源建立一個新通道。

  5. Sophos 接入點使用別名網域中的資訊透過通道將 DNS 請求傳送至相關閘道。

  6. ZTNA 閘道將 app.mycompany.net 的 DNS 請求傳送到私人 DNS 伺服器。

  7. 私人 DNS 伺服器返回 app.mycompany.net (192.168.1.20) 的 IP 位址。

  8. ZTNA 閘道將請求 (app.mycompany.net) 轉寄到應用程式伺服器。

  9. 使用者可以透過 Sophos Cloud 接入點連線至 ZTNA 閘道以存取專用應用程式。

    注意

    使用者只能在驗證和授權後存取私人應用程式,但不包含在此主題中。