跳至內容

要求

在您設定 ZTNA 之前,請檢查您是否符合所有要求:

萬用字元憑證

您需要 ZTNA 閘道的萬用字元憑證。使用以下任意一項:

  • 從 Let's Encrypt 發行憑證。
  • 由信任的憑證授權單位所發行的憑證。

本指南指導您如何獲取憑證。

閘道主機

您可以在 ESXi 伺服器、Hyper-V 伺服器或 Amazon Web Services 上託管 ZTNA 閘道。

ESXi 伺服器

如果在 ESXi 伺服器上託管閘道,則必須滿足以下要求:

  • VMware vSphere Hypervisor (ESXi) 6.5 或更高版本。
  • 2 核心、4GB RAM 和 80GB 磁盤空間。

您必須確保設定了正確的日期和時間。ZTNA 閘道與主機的時間同步,如果不正確,則會遇到問題。

注意

您必須將時區設定爲 UTC。

在 ESXi 主機上,前往管理 > 系統 > 時間與日期,然後按一下編輯設定以設定時間。

ESXi 時間設定

Hyper-V 伺服器

如果在 Hyper-V 伺服器上託管閘道,則必須滿足以下要求:

  • 在 Windows Server 2016 或更新版本上執行的 Hyper-V 伺服器。
  • 2 核心、4GB RAM 和 80GB 磁盤空間。

您必須確保設定了正確的日期和時間。ZTNA 閘道與主機的時間同步,如果不正確,則會遇到問題。

注意

您必須將時區設定爲 UTC。

Amazon Web Services

如果您在 Amazon Web Services (AWS) 上託管閘道,則需要 AWS 帳戶。

DNS 管理

您必須設定 DNS 伺服器設定。請參閱新增 DNS 設定

目錄服務

您需要目錄服務來管理 ZTNA 將使用的使用者群組。您可以使用 Microsoft Azure AD 或 Active Directory。

Azure AD

您需要 Microsoft Azure AD 帳戶,其中的使用者群組已設定並與 Sophos Central 同步。本指南指導您如何設定和同步這些群組。

您的使用者群組必須啟用安全保護功能。在 Azure AD 中建立的群組會自動啟用安全保護功能,但從 Microsoft 365 入口網站建立或從 AD 匯入的群組則不會啟用。

您還可以將 Azure AD 用作身分識別提供者。

Active Directory

您需要 Active Directory 帳戶,其中的使用者群組已設定並與 Sophos Central 同步。請參閱 Sophos Central Admin 說明中的設定與 Active Directory 的同步

如果使用 Active Directory,則需要單獨的身分識別提供者,如 Okta 。

身分識別提供者

您需要身分識別提供者來驗證您的使用者。您可使用以下任意內容:

  • Azure AD
  • Okta

本指南指導您如何設定它們,以搭配 ZTNA 使用。

允許的網站

如果閘道位於防火牆後面,則必須授與存取所需網站的權限(連接埠 443 上,除非另有說明)。

注意

這僅適用於內部部署閘道。

所需的網站如下:

  • sophos.jfrog.io
  • *.amazonaws.com
  • production.cloudflare.docker.com
  • *.docker.io
  • *.sophos.com
  • login.microsoftonline.com
  • graph.microsoft.com
  • ztna.apu.sophos.com (埠 22)
  • sentry.io
  • *.okta.com(如果您將 Okta 作為身分識別提供者)

支援的應用程式類型

ZTNA 可以控制對網頁應用程式和本機應用程式的存取。控制本機應用程式需要 ZTNA 代理程式。

ZTNA 不支援依賴動態連接埠配置或使用多種連接埠的應用程式,例如較舊的 VOIP 產品。

Sophos ZTNA 代理程式

您可以在下列作業系統上安裝 ZTNA 代理程式:

  • Windows 10.1803 或更新版本

  • macOS BigSur(MacOS11)或更新版本