By : admin

Voit määrittää Fireboxin ohjaamaan DNS-kyselyt verkon tietokoneista DNS-palvelimelle. Voit esimerkiksi käyttää DNS-tiedonsiirtoa lähettääksesi DNS-kyselyitä sivukonttorista pääkonttorin etä-DNS-palvelimelle.

Voit ottaa DNS-tiedonsiirron käyttöön Fireware Web UI:stä, Policy Managerista ja CLI:stä. Voit myös lisätä ehdollisia DNS-tiedonsiirtosääntöjä. Näiden sääntöjen avulla voit lähettää DNS-kyselyitä eri DNS-palvelimille kyselyssä olevan toimialuenimen perusteella.

Ehdollinen DNS-tiedonsiirto voi nopeuttaa DNS-kyselyjen vasteaikoja. Jos sinulla on resursseja pilvipalvelussa, käyttäjät voivat muodostaa yhteyden näihin resursseihin nopeammin, koska:

  • Jotkut pilvipalveluntarjoajat käyttävät maantieteellistä sijaintia valitessaan, mihin datakeskukseen yhteys muodostetaan. Kun muodostat yhteyden sijaintisi lähellä olevaan DNS-palvelimeen, pilvipalveluntarjoaja voi yhdistää sinut lähimpään datakeskukseensa.
  • Firebox tallentaa DNS-kyselyjen tulokset välimuistiin.

Fireware v11.12.1:ssä tai sitä uudemmissa versioissa voit ottaa DNS-tiedonsiirron käyttöön vain komentoriviltä, eikä ehdollista DNS-tiedonsiirtoa tueta. Jos otit DNS-tiedonsiirron käyttöön ennen päivitystä Fireware v11.12.2:een, DNS-tiedonsiirto pysyy käytössä, mutta toiminnallisuus muuttuu tässä aiheessa kuvatulla tavalla.
Ohjeita DNS-tiedonsiirron ottamiseksi käyttöön Fireware v11.12.1:ssä tai sitä uudemmissa versioissa on WatchGuard Knowledge Base -tietokannan kohdassa How to enable DNS forwarding.

DNS-palvelimet Fireboxissasi

Nämä DNS-palvelimet saattavat olla määritettyinä Fireboxissasi:

  • Verkon DNS-palvelin – Oletus-DNS-palvelin kaikille Fireboxin liitännöille ja paikallisille prosesseille
  • Liitännän DNS-palvelin – DNS-palvelin määrittelemillesi liitännöille
  • Ehdollinen DNS-palvelin – DNS-palvelin, joka on tarkoitettu verkkotunnuksia ja liitäntöjä, jotka määrittelet DNS-ohjaussäännössä
  • Palveluntarjoajalta saatu DNS-palvelin – Kun Firebox on määritetty DHCP-asiakkaaksi tai PPPoE-asiakkaaksi
  • DNSWatch-palvelin – DNS-palvelin, kun DNSWatch on käytössä, joissakin tapauksissa

Kullakin DNS-palvelimella on eri käyttötarkoitus ja se määritetään eri paikkaan Fireboxin asetuksissa.

Jotkut DNS-palvelimet ovat etusijalla muihin nähden. Kun otat DNS Forwarding -säännön käyttöön, ota huomioon, että:

  • Ehdolliset DNS-palvelimet ovat etusijalla verkko-DNS-palvelimeen ja DNSWatch-palvelimiin nähden.
  • Liittymä-DNS-palvelin on etusijalla ehdolliseen DNS-palvelimeen nähden.

Lisätietoja DNS-palvelimen etusijasta on kohdassa Tietoja DNS:stä Fireboxissa.

Miten se toimii

Voit ottaa DNS-tiedonsiirron ja ehdollisen DNS-tiedonsiirron käyttöön näissä verkkotiloissa:

  • Mixed routing mode
  • Drop-in mode
  • Bridge mode

Kun otat DNS-tiedonsiirron käyttöön:

  • Sinun on valittava yksi tai useampi Trusted (luotettu), Optional (valinnainen) tai Custom (mukautettu) -liitäntä, jotta se voi osallistua DNS-tiedonsiirtoon.
  • Fireboxin paikalliset prosessit käyttävät Fireboxia DNS-palvelimena.
  • Firebox tallentaa DNS-kyselyjen tulokset välimuistiin (enintään 10 000 merkintää).
  • Jos et lisää ehdollisia DNS-tiedonsiirtosääntöjä, Fireboxin paikalliseen IP-osoitteeseen lähetetyt DNS-kyselyt ohjataan määrittelemääsi verkon DNS-palvelimeen. Firebox tallentaa näiden kyselyjen tulokset välimuistiin.
  • Jos määrität Fireboxin DHCP-palvelimeksi, verkon DHCP-asiakkaat käyttävät automaattisesti liitännän IP-osoitetta DNS-palvelimena, ellet määritä DNS-palvelinta DHCP-palvelimen asetuksissa.
  • DNS-liikenne, joka lähetetään DNS-tiedonsiirtoa varten määritetyistä liitännöistä Fireboxiin, sallitaan. DNS-käytäntöä ja DNS-välityskäytäntöä sovelletaan vain läpikulkevaan DNS-liikenteeseen.
  • Jos määrität Firebox-liitännän DHCP-palvelimeksi ja liitäntä on määritetty DNS-tiedonsiirtoa varten:
    • Jos et määritä DNS-palvelinta DHCP-asetuksissa, DHCP-palvelin antaa DNS-palvelimeksi automaattisesti Firebox-liitännän IP-osoitteen. DNS-tiedonsiirto tapahtuu.
    • Jos määrität DHCP-asetuksissa muun DNS-palvelimen kuin Firebox-liitännän IP-osoitteen, DHCP-palvelin antaa automaattisesti määrittämäsi DNS-palvelimen IP-osoitteen. DNS-tiedonsiirtoa ei tapahdu.

Firebox voi käsitellä jopa 10 000 DNS-pyyntöä samanaikaisesti.

Jos otat DNS-tiedonsiirron kirjaamisen käyttöön, Firebox luo lokiviestin, kun DNS-tiedonsiirto tapahtuu.

Jos sivustojen välillä on BOVPN-virtuaaliliitäntäyhteys ja määrität DNS-tiedonsiirron, sinun on lisättävä virtuaaliliitännän IP-osoite BOVPN-virtuaaliliitännän asetuksissa, jotta DNS-tiedonsiirto toimisi VPN:n yli. Virtuaaliliittymän IP-osoite tarvitaan, koska DNS-palvelimen on reititettävä liikenne takaisin kyseiseen IP-osoitteeseen. Lisätietoja virtuaaliliitännän IP-osoitteista on kohdassa BOVPN:n virtuaaliliitännän IP-osoitteiden määrittäminen.

Fireware v12.4:ssä tai uudemmassa versiossa voit ottaa DNSWatchin käyttöön Bridge-tilassa. Jotta Firebox voi ratkaista isäntänimiä paikallisissa toimialueissa, sinun on luotava paikallisille toimialueille DNS-tiedonsiirtosäännöt, joissa määritetään paikalliset DNS-palvelimet.

Ehdollinen DNS-tiedonsiirto

Voit lisätä ehdollisia DNS-tiedonsiirtosääntöjä. Kun lisäät välityssäännön, Firebox käyttää välimuistiin tallennettuja tietoja vastatakseen DNS-kyselyyn tai se välittää kyselyn säännössä määritettyyn DNS-palvelimeen.

Esimerkiksi sivukonttorin Fireboxissa, jolla on VPN-yhteys pääkonttoriin, voit määrittää DNS-asetukset seuraavasti:

  • Välitä sisäisen toimialueen example.com DNS-kyselyt VPN:n kautta pääkonttorin DNS-palvelimelle.
  • Lähettää kaikki muut DNS-kyselyt julkiselle DNS-palvelimelle, joka on fyysisesti lähempänä sivukonttoria.

Konfigurointi

Kun otat ehdollisen DNS-tiedonsiirron käyttöön Fireboxissa, voit lisätä DNS-tiedonsiirtosääntöjä. Kullekin DNS-tiedonsiirtosäännölle määritetään nämä asetukset:

Domain Name

Lisää yksi tai useampi verkkotunnus. Määritettävien verkkotunnusten määrää ei ole rajoitettu. Tarkemmat verkkotunnukset ovat etusijalla. Verkkotunnusten järjestyksellä ei ole merkitystä.

DNS-palvelin

Määritä DNS-palvelin. Lisäämääsi verkkotunnusta koskevat kyselyt lähetetään määrittelemällesi DNS-palvelimelle. Voit lisätä enintään neljä DNS-palvelinta kullekin verkkotunnukselle. Firebox ottaa yhteyttä luettelon ensimmäiseen DNS-palvelimeen ja ottaa yhteyttä muihin DNS-palvelimiin tarpeen mukaan.

Esimerkki

Tässä esimerkissä sivukonttorissa Firebox on määritetty DHCP-palvelimeksi. DHCP-palvelimen asetuksissa ei ole määritetty käyttöliittymän DNS-palvelinta. Sisäinen DNS-palvelin on pääkonttorin verkossa. Haarakonttorin Fireboxissa ehdollinen DNS-ohjaussääntö lähettää kyselyt osoitteesta example.com pääkonttorin DNS-palvelimelle. Kaikki muut DNS-kyselyt lähetetään Fireboxissa määritetylle verkon DNS-palvelimelle.

Miten se toimii:

  1. Verkon DHCP-asiakas lähettää sivukonttorissa DNS-kyselyn toimialueen nimelle example.com.
  2. Firebox vastaanottaa kyselyn ja tutkii DNS-välimuistinsa.
  3. Jos välimuistissa ei ole merkintää nimelle example.com, Firebox tutkii DNS Forwarding -luettelonsa.
  4. Jos example.com on DNS Forwarding -luettelossa, Firebox välittää kyselyn kyseiselle verkkotunnukselle määritetylle DNS-palvelimelle.
    Esimerkissämme kysely ohjataan pääkonttorin etä-DNS-palvelimelle 10.50.1.253.
  5. Jos example.com ei sisälly DNS Forwarding -luetteloon, Firebox ohjaa DNS-kyselyn verkon DNS-palvelimelle, joka esimerkissämme on 4.2.2.1.

Näissä kuvissa näkyvät esimerkkimme verkko-DNS- ja DNS-tiedonsiirtoasetukset:

DNS-tiedonsiirtoasetukset Web-käyttöliittymässä

DNS-tiedonsiirtoasetukset Käytäntöjenhallinnassa

Fireware v12.6.4:ssä tai uudemmissa Fireware v12.6.4:stä lähtien DNS-välimuistitallennuksen voi poistaa käytöstä. Lisätietoja on kohdassa Tietoja DNS:stä Fireboxissa.

Katso myös

Verkon DNS- ja WINS-palvelimien määrittäminen

DNS- ja WINS-palvelimien määrittäminen IPSecin kanssa toimivaa mobiili-VPN:ää varten

Tietoja DNS:stä Fireboxissa

Tietoja WatchGuard DNSWatchista

.

Articles

Vastaa

Sähköpostiosoitettasi ei julkaista.