Сервис DNS-перенаправления является вспомогательной услугой Клиента Cato, работающего на конечной точке, и автоматически устанавливается в фоне, когда вы применяете Политику Раздельного Туннеля. Он позволяет контролировать, как обрабатываются DNS-запросы с устройства, чтобы направлять трафик через правильный сетевой путь. DNS-перенаправление перехватывает DNS-запросы локально и определяет, должен ли каждый запрос быть разрешен с использованием сервера DNS, настроенного в Cato, локального устройства DNS-сервера или DNS-сервера, доступного через другой интерфейс. После разрешения запроса DNS-перенаправление может обновить таблицу маршрутизации для домена назначения, чтобы определять, как должен проходить дальнейший трафик.
Примечание: Обновление таблицы маршрутизации для последующих запросов в данный момент доступно только в режиме EA.
С помощью DNS-перенаправления вы можете задать поведение маршрутизации по умолчанию для всего трафика, а затем настроить исключения для определенных DNS-запросов и трафика назначения, которые должны обходить этот маршрут. Например, если весь трафик по умолчанию направляется в Облако Cato, DNS-перенаправление может обрабатывать исключенные DNS-запросы и обеспечивать, чтобы трафик для этих назначений был направлен за пределы туннеля в соответствующее место. Этот подход позволяет точно, по доменам направлять трафик, одновременно поддерживая консистентность маршрутизации и соблюдение политик.
Примечание
Примечание: Сервис DNS-перенаправления доступен для Клиента Windows версии 5.20.2 и выше.
Сценарий использования - Безопасность Интернета Cato совмещается с VPN от третьей стороны с использованием DNS-перенаправления
Компания ABC позволяет удаленным сотрудникам получать доступ к внутренним ресурсам, расположенным в их корпоративной WAN, через VPN от третьей стороны. В то же время весь интернет и SaaS-трафик должен быть направлен через Облако Cato с использованием Клиента Cato. Для соблюдения этой политики Клиент Cato настроен как Всегда-включенный, тогда как VPN от третьей стороны включен только при необходимости доступа к внутренним WAN-ресурсам.
При подключении пользователя к VPN от третьей стороны операционная система создает новый сетевой интерфейс и связанные с ним маршруты. Сервис DNS-перенаправления обнаруживает это изменение и настраивает обработку DNS-запросов так, чтобы гарантировать, что трафик продолжает следовать по правильному пути.
Когда пользователь отправляет DNS-запрос для внутреннего сервера, доступного через VPN от третьей стороны, DNS-перенаправление перехватывает запрос и определяет, что разрешение назначения должно происходить с использованием DNS-сервера от третьей стороны. Запрос пересылается через VPN-интерфейс, и последующий трафик к базе данных направляется через VPN от третьей стороны.
Когда пользователь отправляет DNS-запрос для Salesforce, который является SaaS веб-приложением, DNS-перенаправление определяет, что запрос должен быть разрешен с использованием DNS-сервера, настроенного в Cato. DNS-запрос пересылается через Клиент Cato, и трафик для Salesforce направляется через Облако Cato.
Эта конфигурация позволяет компании ABC использовать VPN от третьей стороны для доступа к внутренним WAN-ресурсам, обеспечивая безопасность и проверку интернет-трафика и трафика SaaS с использованием Облака Cato.
Компания ABC позволяет удаленным сотрудникам получать доступ к большинству интернет-назначений напрямую, используя их локальное сетевое соединение. Однако трафик для определенных корпоративных приложений и чувствительных SaaS-услуг должен быть защищен и проверен через Облако Cato. Для соблюдения этой политики администраторы настраивают Клиент Cato для защиты только определенных назначений, разрешая всему остальному трафику использовать локальное интернет-соединение.
Когда пользователь подключается к сети, Клиент Cato активен, а сервис DNS-перенаправления перехватывает DNS-запросы. DNS-перенаправление оценивает каждый запрос и определяет, должен ли назначение разрешаться с использованием DNS-сервера, настроенного в Cato, или локального устройства DNS-сервера.
Когда пользователь отправляет DNS-запрос для корпоративного приложения, которое должно быть защищено, DNS-перенаправление пересылает запрос через Клиент Cato, и трафик к назначению направляется через Облако Cato. Для других интернет-назначений DNS-перенаправление использует локальный DNS-сервер, и трафик отправляется напрямую через локальное интернет-соединение пользователя.
Эта конфигурация позволяет компании ABC защищать определенные приложения через Облако Cato, в то время как другой интернет-трафик обходит туннель и направляется напрямую к назначению.
Следующие ключи реестра Windows определяют, как DNS-перенаправление управляет DNS-запросами, выбирает DNS-серверы и реагирует на изменения интерфейса сети.
|
Ключ реестра |
Описание |
Значения |
|---|---|---|
|
DnsRelayUseAllInterfaces |
Управляет, собирает ли DNS-перенаправление локальные DNS-серверы со всех сетевых интерфейсов на устройстве |
Включено – Собирает DNS-серверы со всех интерфейсов Отключено – Собирает DNS-серверы только с выбранных интерфейсов |
|
DnsRelayBindingStrategy |
Управляет тем, к какому сетевому интерфейсу DNS-перенаправление привязывается при пересылке DNS-запроса на локальный DNS-сервер |
0 – Привязка к физическому интерфейсу, используемому туннелем 1 – Привязка к интерфейсу, на котором настроен DNS-сервер 2 – Привязка к интерфейсу, выбранному по лучшему маршруту |
|
DnsRelayUpdateOnAdapterChange |
Управляет, обновляет ли DNS-перенаправление свою конфигурацию при изменении сетевого интерфейса Это требуется при работе с VPN от третьих лиц, которые могут быть включены и выключены. |
Включено – Обновить DNS-перенаправление при изменении интерфейса Отключено – Не обновлять DNS-перенаправление при изменении интерфейсов |
0 комментариев
Статья закрыта для комментариев.