跳至內容
部分或全部頁面已經過機器翻譯。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=DNS-protection-network-setup-Sophos-Firewall

將 Sophos Firewall 設定為使用 DNS Protection

如果将 Sophos Firewall 用作 DNS 伺服器,則可以將防火牆設定為使用 DNS Protection 作為 DNS 轉發器。

主要步驟

使用DNS Protection配置Sophos Firewall的關鍵步驟如下:

  1. 將Sophos Firewall添加為Sophos Central中的位置。
  2. 新增從 Sophos Central 複製的 DNS Protection IP 位址。
  3. 在Sophos Firewall中添加DNS Protection IP地址。
  4. 如果您使用內部DNS伺服器解析本地DNS請求,請在Sophos Firewall中添加DNS請求路由。
  5. 設定網路設備以將Sophos Firewall用作DNS解析程序。
  6. (可選)創建NAT規則,將出站DNS流量轉發到防火牆的DNS解析程序。

Sophos Central配置

在Sophos Central中,將防火牆添加為位置並復制DNS Protection IP地址。

將Sophos Firewall添加為Sophos Central中的位置

若要新增位置,請依照以下步驟操作:

  1. 前往 我的產品 > DNS Protection > 位置
  2. 按一下 新增
  3. 輸入位置的名稱和說明。

  4. IPv4地址或FQDN中,根據您的網路設定,執行以下操作:

    • 如果您的防火牆只有一個 WAN 介面,請新增該 WAN 介面的 IP 位址。
    • 如果您的防火牆有多個 WAN 介面,請新增所有這些 IP 位址,或新增一個 IP 位址範圍。
    • 如果您的防火牆的 IP 位址是動態的,請新增防火牆在動態 DNS (DDNS) 提供商註冊的主機名稱。請參閱 動態 DNS

  5. 按一下 儲存

復制DNS Protection IP地址

在Sophos Central中,複製DNS Protection IP地址。您將需要這些IP地址來配置Sophos Firewall以使用DNS Protection。

要復制DNS Protection IP地址,請執行以下操作:

  1. 移至 我的產品 > DNS Protection > 安裝程式

  2. “IP Addresses (IP地址)”旁邊,單擊 ****“

    您可以複製兩個 IP 位址。您可以將它們用作主要和次要 DNS Protection IP 位址來設定冗餘。

Sophos Client Firewall 配置

在防火牆中,執行以下操作:

  • 在Sophos Firewall中添加DNS Protection IP地址。
  • 如果您使用的是本地DNS伺服器,請添加DNS請求路由。
  • 設定您的網路設備以將防火牆用作DNS解析程序。

在Sophos Firewall中添加DNS Protection IP地址

要將防火牆配置爲使用DNS Protection,請將您從Sophos Central複製的DNS Protection IP地址添加到防火牆。

要在Sophos Firewall中添加DNS Protection IP地址,請執行以下操作:

  1. 移至工具 > DNS
  2. 選取靜態 DNS

  3. DNS 1 中,輸入要用作主要 DNS Protection 伺服器的 IP 位址。

    這必須是從 Sophos Central 複製的IP位址之一。

  4. DNS 2 中,輸入要用作次要 DNS Protection 伺服器的 IP 位址。

    這必須是從 Sophos Central 複製的位址之一。

    注意

    建議不要在 DNS 3 中新增任何其他 DNS 伺服器。如果防火牆切換至第三個 DNS 伺服器,您將失去 DNS Protection 提供的保護。

  5. 確保未配置IPv6 DNS伺服器。

    IPv6下,執行以下操作:

    1. 選取靜態 DNS
    2. DNS 1DNS 2DNS 3 留空。
    3. 選擇 IPv4 DNS 伺服器優先於 IPv6

  6. 按一下 应用

    Sophos Firewall DNS 設定。

    注意

    顯示器截圖中的IP地址只是示例。新增從 Sophos Central 複製的 DNS Protection IP 位址。

新增 DNS 要求路由

DNS Protection無法解析本地DNS請求。因此,如果您使用內部DNS伺服器解析本地DNS請求,則必須在防火牆中添加DNS請求路由。

當您添加DNS請求路由時,防火牆將按以下方式解析DNS請求:

Sophos Firewall DNS請求路由拓撲。

  1. 來自用戶的所有請求都會進入防火牆。
  2. 防火牆根據域將本地請求轉發到內部DNS伺服器。
  3. 防火牆將公共DNS請求轉發到DNS Protection。
  4. 防火牆將所有DNS請求的響應轉發回用戶。

在DNS請求路由中,指定本地域和內部DNS伺服器。

要新增路由,請依照以下步驟操作:

  1. 移至工具 > DNS
  2. “DNS request route”(DNS請求路由 ****)
  3. 在“ Host/Domain name”(主機/域名)中,輸入本地域。
  4. 目標伺服器中,選擇內部DNS伺服器。
  5. 按一下 儲存

設定網路設備以將Sophos Firewall用作DNS解析程序

更新防火牆的DHCP伺服器,以便您的網路設備將防火牆用作DNS解析程序。

要更新防火牆的DHCP伺服器,請執行以下操作:

  1. 轉至 網路 > DHCP

  2. 伺服器下,選擇配置的DHCP伺服器,然後單擊編輯 編輯按鈕。 進行更改。

    編輯DHCP伺服器。

  3. Interface (接口)中,記下選定DHCP接口的IP地址。

  4. DNS server (DNS伺服器)下,按如下方式配置伺服器:

    1. 不要選擇 使用設備的DNS設定
    2. Primary DNS(主DNS)中,輸入您在 Interface (接口)中記錄的DHCP接口的IP地址
    3. 輔助DNS中,輸入DNS Protection的公用IP地址。這必須是從 Sophos Central 複製的位址之一。

  5. 按一下 儲存

  6. 對防火牆中所有已配置的DHCP伺服器重複這些步驟。

創建NAT規則,將出站DNS流量轉發到防火牆的DNS解析程序

即使在配置了所有DHCP伺服器之後,網路中的某些設備也可能被配置為使用第三方DNS解析程序(通過合法設定或惡意設定)。因此,您可以創建一個NAT規則,將所有出站DNS流量從您的內部網路轉發到防火牆的DNS解析程序。

要設定 NAT,請執行以下動作:

  1. 轉至 Rules and原則 > NAT rules ,然後選擇 IPv4
  2. 單擊 添加NAT規則,然後選擇 新建NAT規則
  3. 輸入規則的名稱,然後將 規則位置設置Top
  4. Original source(原始來源)中,選擇所有內部網路。
  5. Original destination(原始目標)中,選擇Outboud host group您也可以選擇內置主機組 Internet IPv4組
  6. Original service (原始服務)中,選擇 ****
  7. 轉換目標(DNAT)中,選擇或添加防火牆內部接口之一的IP地址。

  8. Inbound interface(入站接口)中,選擇與您在 原始源中配置的源網路相對應的防火牆接口

    注意

    如果防火牆中有多個WAN接口,請勿選擇WAN埠或任何WAN接口。

  9. 按一下 儲存

更多資源