DNS中继服务是Cato客户端的辅助服务,在端点上运行,且在实施分流策略访问权限策略时,将自动在后台安装。 它允许您控制来自设备的DNS请求的处理方式,以便引导流量通过正确的网络路径。 DNS中继在本地主机上拦截DNS请求,并决定每个请求是否应通过Cato配置的DNS服务器、本地设备DNS服务器或其他接口可访问的DNS服务器来解析。 请求解析后,DNS中继可以更新目标域名的路由表,以便后续流量遵循正确的路径。
注意:目前更新后续请求的路由表仅作为EA可用。
使用DNS中继,您可以定义所有流量的默认路由行为,然后配置特定DNS查询和目的地流量的不包含路由,以绕过默认路由。 例如,如果所有流量默认路由到Cato云,DNS中继可以处理排除的DNS请求,确保这些目的地的流量发送到隧道外的适当位置。 这种方法可以实现精确的基于域的流量引导,同时保持一致的路由和策略执行。
注意
注意:DNS中继服务可用于Windows客户端v5.20.2及以上版本。
ABC公司允许远程员工通过第三方VPN访问其企业WAN中的内部资源。 同时,所有互联网和SaaS流量必须通过Cato云使用Cato客户端进行路由。 为了实施该策略,Cato客户端配置为开启始终强制,第三方VPN仅在用户需要访问内部WAN资源时启用。
当用户连接到第三方VPN时,操作系统创建新的网络接口和相关路由。 DNS中继服务检测到此变化并调整DNS请求的处理方式,以确保流量继续按正确路径流动。
当用户发送对通过第三方VPN可访问的内部服务器的DNS请求时,DNS中继拦截请求,并确定目标应使用第三方DNS服务器解析。 请求通过VPN接口转发,后续流量到该数据库通过第三方VPN路由。
当用户发送对Salesforce,一个SaaS网络应用程序的DNS请求时,DNS中继确定请求应使用Cato配置的DNS服务器解析。 DNS请求通过Cato客户端转发,流量到Salesforce通过Cato云进行路由。
此配置允许ABC公司通过第三方VPN访问内部WAN资源,同时确保互联网和SaaS流量由Cato云进行安全检查。
ABC公司允许远程员工直接使用他们的局域网连接访问大多数互联网目的地。 然而,流向某些企业应用程序和敏感SaaS服务的流量必须通过Cato云进行安全检查和检查。 为了实施该策略,管理员配置Cato客户端,仅保护特定目的地,同时允许所有其他流量使用局域网互联网连接。
当用户连接到网络时,Cato客户端处于活跃状态,DNS中继服务拦截DNS请求。 DNS中继评估每个请求,并决定目标应使用Cato配置的DNS服务器还是本地设备DNS服务器解析。
当用户发送针对必须保护的企业应用程序的DNS请求时,DNS中继将请求通过Cato客户端转发,流量到目的地通过Cato云进行路由。 对于其他互联网目的地,DNS中继使用本地DNS服务器,流量直接通过用户的局域网连接发送。
此配置允许ABC公司通过Cato云保护特定应用程序,同时允许其他互联网流量绕过隧道直接到达目的地。
以下Windows注册表密钥控制DNS中继如何管理DNS请求、选择DNS服务器以及响应网络接口更改。
|
注册表键 |
描述 |
值 |
|---|---|---|
|
DnsRelayUseAllInterfaces |
控制DNS中继是否从设备上的所有网络接口收集本地DNS服务器 |
已启用 – 从所有接口收集DNS服务器 已禁用 – 仅从选定的接口收集DNS服务器 |
|
DnsRelayBindingStrategy |
控制DNS中继在将DNS查询转发到本地DNS服务器时绑定到哪个网络接口 |
0 – 绑定到隧道使用的物理接口 1 – 绑定到配置DNS服务器的接口 2 – 绑定到最佳路由选定的接口 |
|
DnsRelayUpdateOnAdapterChange |
控制DNS中继是否在网络接口发生变化时更新配置 当您可能会开启和关闭第三方VPN时需要此功能。 |
已启用 – 网络接口变化时更新DNS中继 已禁用 – 网络接口变化时不更新DNS中继 |
0 条评论
文章评论已关闭。