이 문서에는 계정의 DNS 설정 및 구성을 위한 모범 사례와 권장 사항이 포함되어 있습니다.
다른 물리적 위치에 있는 사이트의 경우, 다른 사이트에 대해 다른 내부 DNS 서버를 구성하면 성능이 향상될 수 있습니다. 또한, 카토의 DNS 서비스는 카토 Cloud의 전역 PoP 위치를 활용하여 호스트에 빠르고 전역적인 DNS 해석을 제공하며 DNS 지연 시간을 상당히 줄일 수 있습니다. PoP는 캐시에서 DNS 응답을 저장하여 향후 DNS 요청을 더 빠르게 처리할 수 있습니다. Cato Cloud에 연결하고 카토의 DNS 서비스를 사용하는 호스트는 연결된 PoP (보통 가장 가까운 PoP)에서 DNS 응답을 수신합니다. 따라서 DNS 응답 시간은 매우 빠르며 DNS 지연 시간을 줄입니다.
카토의 DNS 서버를 사용하여 Cato Cloud의 전 세계 PoP 위치에서 혜택을 받을 것을 권장합니다.
로컬 DNS 서버가 필요한 경우, 사이트와 물리적으로 가까운 로컬 서버를 구성할 수 있습니다. 예를 들어, 뉴욕과 싱가포르에 사이트가 있는 경우, 각 사이트에 대해 다른 로컬 DNS 서버를 사용하여 싱가포르의 DNS 서버가 싱가포르 사이트에 연결된 클라이언트의 DNS 요청만 해석하도록 할 수 있습니다. 뉴욕 사이트에 연결된 클라이언트는 DNS 요청을 싱가포르 서버로 보내 쿼리를 해석할 필요가 없습니다. 이것은 더 효율적이며 네트워크의 성능을 향상시킵니다.
사이트에 대한 사용자 정의 DNS 서버를 정의하는 방법에 대한 자세한 내용은 DNS 설정 구성을 참조하세요.
카토는 중복성을 위해 두 개의 다른 DNS 서버를 구성할 것을 권장합니다. 기본으로 카토의 기본 DNS 서버(내부 DNS 쿼리용 10.254.254.1 또는 x.y.z3) 및 신뢰할 수 있는 공용 DNS 서버를 보조 DNS 서버로 설정하세요. 신뢰할 수 있는 DNS 서버에 대한 자세한 내용은 신뢰할 수 있는 DNS 서버 사용을 참조하세요. 기본 DNS 서버를 사용할 수 없는 경우, 카토는 보조 DNS 서버를 사용하여 쿼리를 해석합니다. 내부 DNS 서버를 사용하는 경우, 내부 도메인을 해석할 수 있도록 DNS 전달을 구성하세요.
참고
참고: DNSSEC는 DNS 전달을 지원하지 않습니다
macOS 사용자의 경우, 10.254.254.1 또는 내부 DNS 서버와 같이 DNSSEC를 지원하지 않는 기본/보조 DNS 서버만 정의할 것을 권장합니다. macOS 13 Ventura부터 운영 체제는 DNS 쿼리를 해석하기 위해 DNSSEC(카토 검사에서 지원되지 않음)을 우선 선택하며, 이는 카토 DNS 전달을 방해할 수 있습니다. 더 많은 정보는 macOS Ventura 사용자들이 카토를 통해 내부 리소스에 도달할 수 없음을 참조하세요.
원격 사용자는 사이트를 통해 연결하지 않고 Cato Cloud의 PoP에 직접 연결합니다. 따라서 DNS 설정이 올바르게 구성되지 않은 경우, 원격 사용자가 연결 문제를 경험하거나 내부 리소스에 접근할 수 없습니다. 예를 들어, 원격 사용자 대신 사이트에 대해 DNS 설정을 구성하면 원격 사용자는 도메인의 이러한 내부 리소스에 접근할 수 없습니다. DNS 서버는 클라이언트가 사이트에 연결되지 않았기 때문에 DNS 쿼리를 해결할 수 없습니다. 이러한 이유로, 이 연결성을 허용하기 위해 클라이언트에 대한 DNS 설정을 구성해야 합니다.
계정 DNS 설정은 모든 사이트와 원격 사용자에게 적용됩니다. 원격 사용자에 대한 특정 DNS 요구 사항이 있는 경우 DNS 정책을 활성화하세요.
Cato는 귀사의 자산을 보호하고 모범 사례로서 내부 DNS 서버에 대한 접근 권한을 제한할 것을 권장합니다. 예를 들어, 게스트 네트워크에 접속하는 사람들이 DNS 쿼리를 해결하기 위해 공개 DNS 서버만 사용하도록 정의하세요. 게스트 네트워크를 위해 별도의 VLAN을 생성하고 이 네트워크를 게스트 사용자 그룹에 할당하세요. 그런 다음, 이 그룹의 DNS 설정을 공용 신뢰할 수 없는 DNS 서버로만 구성하세요. 신뢰 네트워크에 대한 자세한 정보는 신뢰할 수 있는 DNS 서버 사용을 참조하세요.
이 작업을 수행하려면:
-
사이트용 게스트 WiFi 네트워크 생성
-
게스트 사용자를 위한 그룹을 생성하고 이 그룹에 게스트 네트워크를 할당하세요
-
그룹에 대해 신뢰할 수 없는 서버를 정의합니다
Cato의 DNS 전달 기능을 사용하면 네트워크의 로컬 도메인에 연결할 수 있습니다.
원격 사용자는 일반적으로 사이트에 연결하지 않고 직접 Cato 클라우드에 연결합니다. 이는 로컬 도메인에 대한 DNS 쿼리를 해결할 DNS 서버가 없음을 의미합니다. 관련 DNS 내부 서버로 이러한 쿼리를 전달하기 위한 DNS 전달 규칙 사용을 권장합니다. 서버는 쿼리를 해결하고 SDP 사용자가 기업 내부 자원에 연결할 수 있도록 합니다.
DNS 전달은 신뢰할 수 있는 DNS 서버(계정에 대해 구성된 DNS 서버는 신뢰할 수 있다고 간주됩니다)로 전송된 DNS 요청에만 적용됩니다.
사이트 또는 사용자/사용자 그룹에 대해 사용자 정의 DNS 설정을 구성할 수 있습니다. 사용자 정의 DNS 설정은 DNS 전달을 포함하여 계정 수준의 DNS 설정보다 우선합니다. 그러나 DNS 전달이 신뢰할 수 있는 DNS 서버나 계정에 대해 구성된 DNS 서버로 요청을 전달하도록 구성된 경우 계정 수준의 DNS 설정이 사용됩니다.
참고:
-
Cato DNS 서버를 사용하는 계정의 경우, Cato는 기본 DNS 설정으로만 DNS 쿼리를 전달할 수 있습니다
-
DNS 전달은 UDP 또는 TCP를 통해 DNS 요청을 처리할 수 있습니다
-
PoP는 캐시에 DNS 전달 요청을 저장하지 않습니다
DNS 기반 네트워크 규칙 및 방화벽 규칙(예: TLD, 정규화된 도메인 이름(FQDN) 및 애플리케이션)의 경우 DNS 트래픽은 신뢰할 수 있는 DNS 서버 또는 계정에 대해 정의된 DNS 서버를 사용해야 합니다. 그렇지 않으면 이러한 DNS 기반 규칙이 트래픽에 적용되지 않습니다.
내부 DNS 서버가 있는 경우 DNS 쿼리를 Cato 신뢰 DNS 서버(또는 Cato DNS 포함) 또는 계정에 대해 구성된 DNS 서버로 전달해야 합니다.
오프 클라우드 트래픽을 위한 네트워크 규칙이 있는 경우, DNS를 포함하지 않도록 하여 DNS 쿼리가 Cato 신뢰 DNS 서버로 전송되도록 하세요.
댓글 0개
댓글을 남기려면 로그인하세요.