跳至內容

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=9ecf1faf-99ac-4a47-a513-42b2f7e90e2f

新增資源

現在,您可以新增資源(應用程式和網頁),使用者可透過閘道存取此資源。

ZTNA 代理程式僅根據 FQDN 攔截流量。使用者必須透過應用程式的外部完全合格網域名稱 (FQDN) 來存取應用程式,而非 IP 位址。

如果新增的資源在驗證後將使用者重新導向到其他 URL,或者該資源連結到其他資源,則也請新增這些資源。例如,如果您新增了 wiki.mycompany.net 並且 wiki 連結到 jira 票證,則新增 jira.mycompany.net

您可以強制使用 Protected Browser 來進行對應用程式和資源的無代理程式存取。請參見 強制啟用安全瀏覽器

如何新增資源

要獲取內部部署閘道和 Sophos Cloud 閘道的逐步說明,請按一下下面的部署類型索引標籤

若要新增資源,請依照以下步驟操作:

  1. 轉至 我的產品 > ZTNA >資源與存取,然後按一下新增資源

    資源頁面。

  2. 新增資源中,請執行以下操作:

    1. 輸入資源名稱和說明。
    2. 檢查是否選取了在使用者入口網站中顯示資源

    新增資源對話方塊。

  3. 按如下所示指定存取類型和資源詳細資料:

    1. 選取一個閘道
    2. 存取方法中,選取代理程式以使用 ZTNA 代理程式存取資源或選取無代理存取資源(在不使用代理程式的情況下存取資源)。同時選取要套用的原則
    3. 選擇資源類型(例如,Web 應用程式)。

    4. 輸入資源的外部 FQDN內部 FQDN/IP 位址

      警告

      如果選擇無代理存取,則外部 FQDN 必須公開供人使用。如果選取了代理存取,則外部 FQDN 不得公開供人使用。

      注意

      您不需要新增內部 FQDN 或 IP 位址。如果將內部 FQDN/IP 位址欄位留空,則會自動新增外部 FQDN。

    5. 提供連接埠類型和編號(例如,Web 應用程式的 HTTPS 和連接埠 443)。

      您最多可使用 20 個 TCP 和 UDP 連接埠以提供對此資源的存取。您可以新增逗點分隔的連接埠範圍。範例:TCP 26-27,20-24。

  4. 指派使用者群組中,選中需要存取資源的可用群組。將它們移至已指派的使用者群組並選中它們。

    使用者群組設定。

    注意

    如果您稍後變更已指派的 Microsoft Entra ID (Azure AD) 使用者群組名稱,則清單不會更新。使用者將無法存取應用程式,您必須再次指派群組。

  5. 按一下「儲存

  6. 檢查您是否可以存取新增的應用程式。

    您可以驗證 SSL 憑證,並確保它與上傳到閘道的萬用字元憑證相同。

  7. 針對此資源可能會將使用者重新導向至的任何其他資源,重複上述步驟。

    注意

    要編輯或移除資源資訊,請移至資源和存取,然後按一下資源名稱以打開資源詳細資料

注意

如果您正在使用對延遲敏感的應用程式(例如 CIFS 或 SMB 檔案共用),我們建議使用本地端閘道器以獲得更佳的效能。

若要新增資源,請依照以下步驟操作:

  1. 轉至 我的產品 > ZTNA >資源與存取,然後按一下新增資源

    資源頁面。

  2. 新增資源中,請執行以下操作:

    1. 輸入資源名稱和說明。
    2. 檢查是否選取了在使用者入口網站中顯示資源

    新增資源對話方塊。

  3. 按如下所示指定存取類型和資源詳細資料:

    1. 選取一個閘道
    2. 存取方法中,選取代理程式以使用 ZTNA 代理程式存取資源或選取無代理存取資源(在不使用代理程式的情況下存取資源)。同時選取要套用的原則

    3. 選擇資源類型(例如,Web 應用程式)。

      ZTNA 資源類型。

    4. 輸入資源的外部 FQDN內部 FQDN/IP 位址

      警告

      如果選擇無代理存取,則外部 FQDN 必須公開供人使用。如果選取了代理存取,則外部 FQDN 不得公開供人使用。

    5. 提供連接埠類型和編號(例如,Web 應用程式的 HTTPS 和連接埠 443)。

      您最多可使用 20 個 TCP 和 UDP 連接埠以提供對此資源的存取。您可以新增逗點分隔的連接埠範圍。範例:TCP 26-27,20-24。

  4. 指派使用者群組中,選中需要存取資源的可用群組。將它們移至已指派的使用者群組並選中它們。

    使用者群組設定。

    注意

    如果您稍後變更已指派的 Microsoft Entra ID (Azure AD) 使用者群組名稱,則清單不會更新。使用者將無法存取應用程式,您必須再次指派群組。

  5. 按一下「儲存

    您將看到一個已新增資源彈出視窗,其中顯示別名網域

  6. 檢查別名網域是否與設定閘道時產生的別名網域相同。

    注意

    如果您的存取方法代理程式,則不會產生別名網域。

  7. 檢查您是否可以存取新增的應用程式。

    您可以驗證 SSL 認證,並確保它與上傳到閘道的萬用字元認證相同。

  8. 針對此資源可能會將使用者重新導向至的任何其他資源,重複上述步驟。

注意

您可以關閉資源連接集區。有關詳細資訊,請參閱 Sophos Central:ZTNA設定

DNS 項目

基於無代理程式的資源和基於代理程式的資源所需的 DNS 項目不同。

基於無代理程式的資源

  • 為 Sophos Cloud 閘道新增 FQDN 時,將產生閘道別名網域。您必須將此作為 CNAME 記錄新增到您的共用 DNS 伺服器上。

  • 為資源新增 FQDN 時,會產生資源別名網域。您必須將此作為 CNAME 記錄新增到您的共用 DNS 伺服器上。

透過資源的 FQDN 存取資源時,您將被重新導向到別名網域。

基於代理程式的資源

  • 為 Sophos Cloud 閘道新增 FQDN 時,將產生閘道別名網域。您必須將此作為 CNAME 記錄新增到您的共用 DNS 伺服器上。

  • 不會為基於代理程式的資源產生別名網域。因此,您不應為資源新增 CNAME 記錄。

  • 請勿新增任何萬用字元 DNS 項目。

基於 IP 的存取

如果使用者嘗試透過在瀏覽器中鍵入內部資源的 IP 位址來存取內部資源,則使用者將跳過 ZTNA 直接轉到該資源。若要確保使用者透過 FQDN 存取內部資源,您可以新增防火牆規則。

網域控制器作為代理程式型資源

您必須將網域控制器定義為代理程式型資源,才能為其後端資源提供無縫連線能力。

資源類型設定為網域控制器。

當您將資源類型設定為網域控制器 (DC) 時,預設的連接埠 清單會自動填入部分預設連接埠。您可以編輯清單並新增自訂連接埠。

您應新增的連接埠如下:

TCP:53, 80, 88, 135, 139, 389, 443, 464, 636, 3268, 3269, 和 49152-65535.

UCP:88, 389, 464, 636, 4389, 和 63664.

注意

請務必確認並新增您所需的正確自訂連接埠。您也可以在 [Sophos 社群] 提出功能請求,以新增一種新的內建資源類型:Sophos ZTNA](https://community.sophos.com/zero-trust-network-access/)。

外部 FQDN」應為網域 控制器的外部 FQDN,而非根網域。

自動將用於尋找特定服務伺服器的 DNS Service (SRV) 記錄新增至進階網域控制器設定。您可以更新這些記錄,

進階網域控制器設定。

也可以新增其他記錄。為此,請輸入服務名稱和相應的網域名稱、選取通訊協定,並輸入埠號。

注意

  • 若您為網域控制器設定外部 FQDN,則必須確保進階設定中的個別 SRV 記錄網域名稱正確無誤。
  • 在進階設定中更新連接埠時,必須確認資源的連接埠欄位已正確顯示對應的連接埠。

指派使用者群組設定中,請務必將所有可能需要存取網域控制器後端資源的使用者群組納入指派。