DNSリレーサービスは、Catoクライアントの補助サービスであり、エンドポイントで実行されており、スプリットトンネルポリシーを実装したときに、自動的にバックグラウンドでインストールされます。 これにより、デバイスからのDNS要求の処理方法を制御でき、トラフィックを適切なネットワークパスに誘導できます。 DNSリレーはDNS要求をローカルでインターセプトし、要求をCato構成のDNSサーバー、ローカルデバイスのDNSサーバー、または他のインターフェース経由でアクセス可能なDNSサーバーで解決するかどうかを決定します。 要求が解決されると、DNSリレーは宛先ドメインのためにルーティング表を更新し、後続のトラフィックが正しいルートに従うようにできます。
注: その後の要求のためにルーティング表を更新する機能は現在EAとしてのみ利用可能です。
DNSリレーを使用して、すべてのトラフィックのデフォルトのルーティング動作を定義し、特定のDNSクエリとバイパスすべき宛先トラフィックの除外を設定できます。 例えば、すべてのトラフィックがデフォルトでCatoクラウドにルーティングされている場合、DNSリレーは除外されたDNSリクエストを処理し、それらの宛先のトラフィックがトンネルの外に適切な場所に送信されることを保証します。 この手法は、ドメインベースの精密なトラフィックスティアリングを可能にし、一貫したルーティングとポリシーの施行を維持します。
注意
注: DNSリレーサービスは、Windowsクライアントv5.20.2以上で利用可能です。
ABC社は、リモート従業員がサードパーティVPNを通じて企業WANにある内部リソースにアクセスすることを許可しています。 一方で、すべてのインターネットとSaaSトラフィックはCato Cloud経由でルーティングされる必要があります。 このポリシーを施行するため、Catoクライアントは常時強制として構成されており、サードパーティVPNはユーザーが内部WANリソースにアクセスする必要があるときにのみ有効になります。
ユーザーがサードパーティVPNに接続すると、オペレーティングシステムは新しいネットワークインタフェースと関連したルートを作成します。 DNSリレーサービスはこの変更を検出し、DNS要求の処理方法を調整して、トラフィックが正しいパスに従うことを確認します。
ユーザーがサードパーティVPNを介してアクセス可能な内部サーバー用のDNS要求を送信すると、DNSリレーは要求をインターセプトし、宛先をサードパーティDNSサーバーで解決する必要があると判断します。 要求はVPNインターフェースを通じて転送され、その後のトラフィックはサードパーティVPNを通じてデータベースへルーティングされます。
ユーザーがSaaSウェブアプリケーションであるSalesforce用のDNS要求を送信すると、DNSリレーは要求がCato構成のDNSサーバーで解決されるべきと判断します。 DNS要求はCatoクライアントを通じて転送され、SalesforceへのトラフィックはCato Cloudを通じてルーティングされます。
この構成により、ABC社はサードパーティVPNを使用して内部WANリソースにアクセスする一方で、インターネットとSaaSトラフィックがCato Cloudによってセキュアで検査されたままであることを保証します。
ABC社はヘのリモート従業員がローカルネットワーク接続を使用して直接ほとんどのインターネットへの宛先にアクセスできるようにしています。 ただし、特定の企業アプリケーションと機密性の高いSaaSサービスへのトラフィックは、Cato Cloud を介してセキュリティで保護され、検査される必要があります。 このポリシーを施行するため、管理者はCatoクライアントを構成して、特定の宛先のみを保護し、その他すべてのトラフィックにはローカルのインターネット接続を使用します。
ユーザーがネットワークに接続すると、Catoクライアントがアクティブになり、DNSリレーサービスがDNSリクエストをインターセプトします。 DNSリレーは各要求を評価し、宛先がCato構成のDNSサーバーまたはローカルデバイスのDNSサーバーで解決されるべきかを判断します。
ユーザーがセキュリティを必要とする企業アプリケーション用のDNSリクエストを送信すると、DNSリレーは要求をCatoクライアントを通じて転送し、宛先へのトラフィックはCato Cloud経由でルーティングされます。 他のインターネット宛先の場合、DNSリレーはローカルDNSサーバーを使用し、トラフィックはユーザーのローカルインターネット接続を介して直接送信されます。
この構成により、ABC社は特定のアプリケーションをCato Cloudを通じて保護しながら、その他のインターネットトラフィックがトンネルをバイパスして直接宛先に向かうことができます。
以下のWindowsレジストリキーは、DNSリレーがDNS要求をどのように管理し、DNSサーバーを選択し、ネットワークインターフェースの変更に応答するかを制御します。
|
レジストリキー |
説明 |
値 |
|---|---|---|
|
DnsRelayすべてのインターフェースを使用 |
DNSリレーがデバイスのすべてのネットワークインタフェースからオンプレミスのDNSサーバーを収集するかどうかを制御します |
有効 – すべてのインターフェースからDNSサーバーを収集します 無効 – 選択したインターフェースからのみDNSサーバーを収集します |
|
DnsRelayバインディング戦略 |
DNSクエリをオンプレミスDNSサーバーに転送する際に、DNSリレーが接続するネットワークインターフェースを制御します |
0 – トンネルで使用される物理インターフェースに接続 1 – DNSサーバーが構成されているインターフェースに接続 2 – ベストルートで選択されたインターフェースに接続 |
|
アダプター変更時のDnsRelay更新 |
ネットワークインタフェースが変更されると、DNSリレーがその設定を更新するかどうかを制御します これは、オンとオフを切り替える可能性のあるサードパーティVPNで作業する際に必要となります。 |
有効 – インターフェースが変更された時にDNSリレーを更新 無効 – インターフェースで変更が発生してもDNSリレーを更新しません |
0件のコメント
記事コメントは受け付けていません。