Настройка DNS

ID статьи: 387
Последнее обновление: 19 янв, 2024
Documentation:
Product: NGFW
Version: 5.x, 6.1.9, 7.0.1

Данный раздел содержит настройки сервисов DNS и DNS-прокси.

Для корректной работы продукта необходимо, чтобы NGFW мог разрешать доменные имена в IP-адреса. Укажите корректные IP-адреса серверов DNS в настройке Системные DNS-серверы.

Сервис DNS-прокси позволяет перехватывать DNS-запросы от пользователей и изменять их в зависимости от нужд администратора. Сервис работает как в явном режиме, так и для перехвата транзитных запросов. Для явного режима необходимо разрешить доступ к сервису DNS на соответствующей зоне. Для перехвата транзитных запросов в этой зоне необходимо активировать следующие настройки в разделе DNS-прокси

Настройки DNS-прокси:

Наименование

Описание

Кэширование DNS

Включает или отключает кэширование ответов DNS. Рекомендуется оставить включенным для ускорения обслуживания клиентов.

DNS-фильтрация

Включает или отключает фильтрацию DNS-запросов.

При включении DNS-фильтрации NGFW проверяет и перехватывает запросы, отправляя их дальше от своего IP-адреса. Если запрос соответствует запрещающему правилу контентной фильтрации, то он будет заблокирован.

Для работы фильтрации необходимо приобрести лицензию на модуль ATP.

Внимание! Функциональность DNS-фильтрации и мост L2 в текущей версии несовместимы — при включении DNS-фильтрации DNS-запросы через мост проходить перестают.

Рекурсивные DNS-запросы

Разрешает или запрещает серверу осуществлять рекурсивные DNS-запросы. Рекомендуется оставить эту опцию включенной.

Максимальный TTL для DNS-записей

Устанавливает максимально возможное время жизни для записей DNS.

Лимит количества DNS-запросов в секунду на пользователя

Устанавливает ограничение на количество DNS-запросов в секунду для каждого пользователя. Запросы, превышающие данный параметр, будут отброшены. Значение по умолчанию - 100 запросов в секунду. Не рекомендуется ставить большие значения для данного параметра, поскольку DNS-флуд (DNS DoS attacks) является довольно частой причиной отказа обслуживания DNS-серверов.

Только A и AAAA DNS-записи для не идентифицированных пользователей (защита от VPN поверх DNS)

Если защита включена, то UserGate отвечает только на запросы на записи A и AAAA от неизвестных пользователей. Это позволяет эффективно блокировать попытки организации VPN поверх протокола DNS.

С помощью правил DNS-прокси можно указать серверы DNS, на которые пересылаются запросы на определенные домены. Данная опция может быть полезна в случае, если внутри компании используется локальный домен, не имеющий связи с интернетом и использующийся для внутренних нужд компании, например, домен Active Directory.

Чтобы создать правило DNS-прокси, необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Добавить правило.

Нажать на кнопку Добавить, задать Название и Описание (опционально).

Шаг 2. Указать список доменов.

Задать список доменов, которые необходимо перенаправлять, например, localdomain.local. Допускается использование ‘*’ для указания шаблона доменов.

Шаг 3. Указать DNS-серверы.

Задать список IP-адресов DNS-серверов, куда необходимо пересылать запросы на указанные домены.

Кроме этого, с помощью DNS-прокси можно задавать статические записи типа host (A-запись). Чтобы создать статическую запись, необходимо выполнить:

Наименование

Описание

Шаг 1. Добавить запись.

Нажать на кнопку Добавить, задать Название и Описание (опционально).

Шаг 2. Указать FQDN.

Задать Fully Qualified Domain Name (FQDN) статической записи, например, www.example.com.

Шаг 3. Указать IP-адреса.

Задать список IP-адресов, которые NGFW будет возвращать при запросе данного FQDN.

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 387
Последнее обновление: 19 янв, 2024
Ревизия: 8
Просмотры: 5518
Комментарии: 0
Теги

Также опубликовано в