DNS Protection을 사용하도록 Sophos Firewall 구성
Sophos Firewall을 DNS 서버로 사용하는 경우 DNS Protection을 DNS 포워더로 사용하도록 방화벽을 구성할 수 있습니다.
주요 단계
Sophos Firewall with DNS Protection를 구성하는 주요 단계는 다음과 같습니다.
- Sophos Firewall를 Sophos Central의 위치로 추가합니다.
- Sophos Central에서 복사한 DNS Protection IP 주소를 추가합니다.
- Sophos Firewall에서 DNS Protection IP 주소를 추가합니다.
- 내부 DNS 서버를 사용하여 로컬 DNS 요청을 확인하는 경우 Sophos Firewall에서 DNS 요청 경로를 추가합니다.
- Sophos Firewall를 DNS 확인자로 사용하도록 네트워크 장치를 설정합니다.
- (선택 사항) 아웃바운드 DNS 트래픽을 방화벽의 DNS 확인기로 전달하는 NAT 규칙을 만듭니다.
Sophos Central 구성
Sophos Central에서 방화벽을 위치로 추가하고 DNS Protection IP 주소를 복사합니다.
Sophos Central에 Sophos Firewall를 추가하여 관리할 수 있습니다.
위치를 추가하려면 다음과 같이 하십시오.
- 나의 제품 > DNS Protection > 위치으로 이동합니다.
- 추가를 클릭합니다.
- 위치에 대한 이름 및 설명을 입력합니다.
-
****네트워크 설정에 따라 IPv4 주소 또는 FQDN에서 다음과 같이 하십시오.
- 방화벽에 단일 WAN 인터페이스가 있는 경우 WAN 인터페이스의 IP 주소를 추가합니다.
- 방화벽에 여러 WAN 인터페이스가 있는 경우 해당 IP 주소를 모두 추가하거나 IP 주소 범위를 추가합니다.
- 방화벽의 IP 주소가 동적이면 동적 DNS(DDNS) 공급자에 등록된 방화벽의 호스트 이름을 추가합니다. 동적 DNS를 참조하십시오.
-
저장을 클릭합니다.
DNS Protection IP 주소 복사
Sophos Central에서 DNS Protection IP 주소를 복사합니다. DNS Protection를 사용하도록 Sophos Firewall를 구성하려면 이러한 IP 주소가 필요합니다.
DNS Protection IP 주소를 복사하려면 다음과 같이 하십시오.
- 나의 제품 > DNS Protection > 설치 프로그램으로 이동합니다.
-
IP 주소 옆에 있는 복사를 클릭합니다.
두 개의 IP 주소를 복사합니다. 리던던시를 구성하기 위해 기본 및 보조 DNS Protection IP 주소로 사용할 수 있습니다.
Sophos Firewall DNS 구성.
방화벽에서 다음과 같이 하십시오.
- Sophos Firewall에서 DNS Protection IP 주소를 추가합니다.
- 로컬 DNS 서버를 사용하는 경우 DNS 요청 경로를 추가합니다.
- 방화벽을 DNS 확인자로 사용하도록 네트워크 장치를 설정합니다.
Sophos Firewall에서 DNS Protection IP 주소 추가
방화벽이 DNS Protection를 사용하도록 구성하려면 Sophos Central에서 복사한 DNS Protection IP 주소를 방화벽에 추가합니다.
Sophos Firewall에서 DNS Protection IP 주소를 추가하려면 다음과 같이 하십시오.
- 도구 > DNS로 이동합니다.
- 정적 DNS를 선택합니다.
-
DNS 1에 기본 DNS Protection 서버로 사용할 IP 주소를 입력합니다.
이 주소는 Sophos Central에서 복사한 IP 주소 중 하나여야 합니다.
-
DNS 2에 보조 DNS Protection 서버로 사용할 IP 주소를 입력합니다.
이 주소는 Sophos Central에서 복사한 주소 중 하나여야 합니다.
참고
DNS 3에 다른 DNS 서버를 추가하지 않는 것이 좋습니다. 방화벽이 세 번째 DNS 서버로 전환되면 DNS Protection에서 제공하는 보호 기능이 손실됩니다.
-
IPv6 DNS 서버가 구성되지 않았는지 확인합니다.
IPv6 아래에서다음과 같이 하십시오.
- 정적 DNS를 선택합니다.
- DNS 1, DNS 2및 DNS 3은 비워 둡니다.
- IPv6를 통해 IPv4 DNS 서버 선택
-
적용을 클릭합니다.
참고
스크린샷의 IP 주소는 예일 뿐입니다. Sophos Central에서 복사한 DNS Protection IP 주소를 추가합니다.
DNS 요청 경로 추가
DNS Protection는 로컬 DNS 요청을 확인하지 않습니다. 따라서 내부 DNS 서버를 사용하여 로컬 DNS 요청을 확인하는 경우 방화벽에 DNS 요청 경로를 추가해야 합니다.
DNS 요청 경로를 추가하면 방화벽은 DNS 요청을 다음과 같이 확인합니다.
- 사용자의 모든 요청이 방화벽으로 이동합니다.
- 방화벽은 도메인을 기반으로 로컬 요청을 내부 DNS 서버로 전달합니다.
- 방화벽은 공용 DNS 요청을 DNS Protection로 전달합니다.
- 방화벽은 모든 DNS 요청의 응답을 사용자에게 다시 전달합니다.
DNS 요청 경로에서 로컬 도메인 및 내부 DNS 서버를 지정합니다.
경로를 추가하려면 다음과 같이 하십시오.
- 도구 > DNS로 이동합니다.
- DNS 요청 경로 아래에서 추가를 클릭합니다.
- 호스트/도메인 이름에 로컬 도메인을 입력합니다.
- 대상 서버에서 내부 DNS 서버를 선택합니다.
- 저장을 클릭합니다.
Sophos Firewall를 DNS 확인자로 사용하도록 네트워크 장치 설정
네트워크 장치가 방화벽을 DNS 확인자로 사용하도록 방화벽의 DHCP 서버를 업데이트합니다.
방화벽의 DHCP 서버를 업데이트하려면 다음과 같이 하십시오.
- 네트워크 > DHCP 로이동합니다.
-
서버 아래에서구성된 DHCP 서버를 선택하고 편집을 클릭하여
변경합니다.
-
인터페이스에서 선택한 DHCP 인터페이스의 IP 주소를 기록해 둡니다.
-
DNS 서버 아래에서서버를 다음과 같이 구성합니다.
- 장치의 DNS 설정 사용을 선택하지 마십시오.
- 기본DNS에 접근하여인터페이스에서 확인한 DHCP 인터페이스의 IP 주소를 입력하세요.
- 보조 DNS에 DNS Protection의 공용 IP 주소를 입력합니다. 이 주소는 Sophos Central에서 복사한 주소 중 하나여야 합니다.
-
저장을 클릭합니다.
- 방화벽에 구성된 모든 DHCP 서버에 대해 이 단계를 반복합니다.
아웃바운드 DNS 트래픽을 방화벽의 DNS 확인자로 전달하는 NAT 규칙 만들기
DHCP 서버를 모두 구성했음에도 불구하고 네트워크 내의 일부 장치가 제3자 DNS 리졸버를 사용하도록 설정되어 있을 수 있습니다. 이는 정당한 설정이거나 악의적인 설정일 수 있습니다. 따라서 내부 네트워크에서 모든 아웃바운드 DNS 트래픽을 방화벽의 DNS 확인자로 전달하는 NAT 규칙을 생성할 수 있습니다.
NAT 규칙을 만들려면 다음과 같이 하십시오.
- 규칙 및 정책 > NAT 규칙으로 이동하여 IPv4를 선택합니다.
- NAT 규칙 추가를 클릭한 다음 새 NAT 규칙을 선택합니다.
- 규칙의 이름을 입력하고 규칙 위치를 맨 위로설정합니다.
- 원래 소스에서 모든 내부 네트워크를 선택합니다.
- 원래 대상에서 아웃바운드 호스트 그룹을 선택합니다. **** 대신 기본 제공 호스트 그룹 인터넷 IPv4 그룹을 선택할 수도 있습니다.
- 원래 서비스에서 DNS를 선택합니다.
- 변환된 대상(DNAT) 에서방화벽의 내부 인터페이스 중 하나의 IP 주소를 선택하거나 추가합니다.
-
인바운드 인터페이스에서 원래 소스에서 구성한 소스 네트워크에 해당하는 방화벽 인터페이스를 선택합니다.
참고
방화벽에 여러 개의 WAN 인터페이스가 있는 경우 WAN 포트 또는 WAN 인터페이스를 선택하지 마십시오.
-
저장을 클릭합니다.
추가 리소스