Sophos Firewall zur Verwendung von DNS Protection konfigurieren

Wenn Sie die Sophos Firewall als DNS-Server verwenden, können Sie die Firewall so konfigurieren, dass DNS Protection als DNS-Forwarder verwendet wird.

Wichtige Schritte

Die wichtigsten Schritte zur Konfiguration von Sophos Firewall mit DNS Protection lauten wie folgt:

1. Fügen Sie Sophos Firewall als Standort in Sophos Central hinzu.
2. Kopieren Sie die DNS Protection-IP-Adressen aus Sophos Central.
3. Fügen Sie die DNS Protection-IP-Adressen in Sophos Firewall hinzu.
4. Fügen Sie in Sophos Firewall eine DNS-Anfrageroute hinzu, wenn Sie einen internen DNS-Server verwenden, um lokale DNS-Anfragen aufzulösen.
5. Richten Sie Netzwerkgeräte ein, um Sophos Firewall als DNS-Resolver zu verwenden.
6. (Optional) Erstellen Sie eine NAT-Regel, um ausgehenden DNS-Datenverkehr an den DNS-Resolver der Firewall weiterzuleiten.

Konfiguration von Sophos Central

Fügen Sie in Sophos Central die Firewall als Speicherort hinzu und kopieren Sie die DNS Protection-IP-Adressen.

Fügen Sie Sophos Firewall als Standort in Sophos Central hinzu

Um Sophos Firewall als einen Standort hinzuzufügen, gehen Sie wie folgt vor:

1. Gehen Sie zu Meine Produkte > DNS Protection > Standorte.
2. Klicken Sie auf Hinzufügen.
3. Geben Sie einen Namen und eine Beschreibung für den Standort ein.

4. Gehen Sie in IPv4-Adressen oder FQDNs entsprechend Ihrer Netzwerkeinrichtung wie folgt vor:

   • Wenn Ihre Firewall über eine einzelne WAN-Schnittstelle verfügt, fügen Sie die IP-Adresse der WAN-Schnittstelle hinzu.
   • Wenn Ihre Firewall über mehrere WAN-Schnittstellen verfügt, fügen Sie alle diese IP-Adressen hinzu oder fügen Sie einen IP-Adressbereich hinzu.
   • Wenn die IP-Adresse Ihrer Firewall dynamisch ist, fügen Sie den Hostnamen der Firewall hinzu, der beim Dynamic DNS (DDNS) Provider registriert ist. Siehe Dynamisches DNS.

5. Klicken Sie auf Speichern.

DNS Protection-IP-Adressen kopieren

Kopieren Sie in Sophos Central die DNS Protection-IP-Adressen. Sie benötigen diese IP-Adressen, um Sophos Firewall zur Verwendung von DNS Protection zu konfigurieren.

Gehen Sie wie folgt vor, um die DNS Protection-IP-Adressen zu kopieren:

1. Gehen Sie zu Meine Produkte > DNS Protection > Installationsprogramme.

2. Klicken Sie neben IP-Adressen auf Kopieren.

   Sie kopieren zwei IP-Adressen. Sie können sie als primäre und sekundäre DNS Protection-IP-Adressen verwenden, um die Redundanz zu konfigurieren.

Sophos Firewall-Konfiguration

Gehen Sie in der Firewall wie folgt vor:

• Fügen Sie die DNS Protection-IP-Adressen in Sophos Firewall hinzu.
• Fügen Sie eine DNS-Anfrageroute hinzu, wenn Sie einen lokalen DNS-Server verwenden.
• Richten Sie Ihre Netzwerkgeräte so ein, dass sie die Firewall als DNS-Resolver verwenden.

DNS Protection-IP-Adressen in Sophos Firewall hinzufügen

Um die Firewall so zu konfigurieren, dass sie DNS Protection verwendet, fügen Sie die DNS Protection-IP-Adressen hinzu, die Sie von Sophos Central zur Firewall kopiert haben.

Gehen Sie wie folgt vor, um die DNS Protection-IP-Adressen in Sophos Firewall hinzuzufügen:

1. Gehen Sie zu Netzwerk > DNS.
2. Wählen Sie Statisches DNS.

3. Geben Sie unter DNS 1 die IP-Adresse ein, die Sie als primären DNS Protection-Server verwenden möchten.

   Dies muss eine der IP-Adressen sein, die Sie aus Sophos Central kopiert haben.

4. Geben Sie unter DNS 2 die IP-Adresse ein, die Sie als sekundären DNS Protection-Server verwenden möchten.

   Dies muss eine der Adressen sein, die Sie aus Sophos Central kopiert haben.

   Hinweis

   Wir empfehlen, keinen anderen DNS-Server in DNS 3 hinzuzufügen. Wenn die Firewall auf den dritten DNS-Server umschaltet, verlieren Sie den von DNS Protection angebotenen Schutz.

5. Stellen Sie sicher, dass IPv6-DNS-Server nicht konfiguriert sind.

   Gehen Sie unter IPv6 wie folgt vor:

   1. Wählen Sie Statisches DNS.
   2. Lassen Sie die Felder DNS 1, DNS 2 und DNS 3 leer.
   3. Wählen Sie IPv4-DNS-Server über IPv6 auswählen.

6. Klicken Sie auf Anwenden.

   

   Hinweis

   Die IP-Adressen im Screenshot sind nur Beispiele. Sie müssen die IP-Adressen verwenden, die Sie aus Sophos Central kopiert haben.

DNS-Anfrageroute hinzufügen

DNS Protection löst keine lokalen DNS-Anforderungen auf. Wenn Sie also einen internen DNS-Server verwenden, um lokale DNS-Anfragen aufzulösen, müssen Sie eine DNS-Anfrageroute in der Firewall hinzufügen.

Wenn Sie eine DNS-Anfrageroute hinzufügen, löst die Firewall DNS-Anfragen wie folgt auf:

1. Alle Anfragen der Benutzer gehen an die Firewall.
2. Die Firewall leitet lokale Anfragen basierend auf der Domäne an einen internen DNS-Server weiter.
3. Die Firewall leitet öffentliche DNS-Anfragen an DNS Protection weiter.
4. Die Firewall leitet die Antworten von allen DNS-Anfragen zurück an die Benutzer weiter.

Geben Sie in der DNS-Anfrageroute die lokale Domäne und den internen DNS-Server an.

Verfahren Sie zum Hinzufügen einer DNS-Anfrageroute wie folgt:

1. Gehen Sie zu Netzwerk > DNS.
2. Klicken Sie unter DNS-Anfrageroute auf Hinzufügen.
3. Geben Sie unter Host-/Domänenname die lokale Domäne ein.
4. Wählen Sie unter Zielserver den internen DNS-Server aus.
5. Klicken Sie auf Speichern.

Richten Sie Netzwerkgeräte ein, um Sophos Firewall als DNS-Resolver zu verwenden

Aktualisieren Sie die DHCP-Server der Firewall, damit Ihre Netzwerkgeräte die Firewall als DNS-Resolver verwenden.

Gehen Sie wie folgt vor, um die DHCP-Server der Firewall zu aktualisieren:

1. Gehen Sie zu Netzwerk > DHCP.

2. Wählen Sie unter Server einen konfigurierten DHCP-Server aus und klicken Sie auf „Bearbeiten“ , um Änderungen vorzunehmen.

   

3. Notieren Sie sich unter Schnittstelle die IP-Adresse der ausgewählten DHCP-Schnittstelle.

4. Konfigurieren Sie den Server unter DNS-Server wie folgt:

   1. Wählen Sie nicht die Option DNS-Einstellungen der Appliance verwenden aus.
   2. Geben Sie unter Primärer DNS die IP-Adresse der DHCP-Schnittstelle ein, die Sie unter Schnittstelle angegeben haben.
   3. Geben Sie unter Sekundärer DNS die öffentliche IP-Adresse von DNS Protection ein. Dies muss eine der DNS Protection IP-Adressen sein, die Sie aus Sophos Central kopiert haben.

5. Klicken Sie auf Speichern.

6. Wiederholen Sie diese Schritte für alle konfigurierten DHCP-Server in der Firewall.

Erstellen einer NAT-Regel, um ausgehenden DNS-Datenverkehr an den DNS-Resolver der Firewall weiterzuleiten

Selbst nachdem Sie alle DHCP-Server konfiguriert haben, können einige Geräte in Ihrem Netzwerk so konfiguriert werden, dass sie einen DNS-Resolver eines Drittanbieters verwenden, entweder über eine legitime oder schädliche Einstellung. Sie können also eine NAT-Regel erstellen, um den gesamten ausgehenden DNS-Datenverkehr von Ihrem internen Netzwerk an den DNS-Resolver der Firewall weiterzuleiten.

Um eine NAT-Regel zu erstellen, gehen Sie wie folgt vor:

1. Gehen Sie zu Regeln und Richtlinien > NAT-Regeln und wählen Sie IPv4 aus.
2. Klicken Sie auf NAT-Regel hinzufügenund wählen Sie Neue NAT-Regel aus.
3. Geben Sie einen Namen für die Regel ein und setzen Sie die Position der Regel auf Ganz oben.
4. Wählen Sie unter Ursprüngliche Quelle alle Ihre internen Netzwerke aus.
5. Wählen Sie unter Ursprüngliches Ziel die Ausgangs-Hostgruppe aus. Sie können stattdessen auch die integrierte Hostgruppe Internet IPv4 auswählen.
6. Wählen Sie unter Originaler Dienst die Option DNS aus.
7. Wählen Sie unter Übersetztes Ziel (DNAT) die IP-Adresse einer der internen Schnittstellen Ihrer Firewall aus oder fügen Sie sie hinzu.

8. Wählen Sie unter Eingehende Schnittstelle die Firewall-Schnittstellen aus, die den Quellnetzwerken entsprechen, die Sie in der Ursprünglichen Quelle konfiguriert haben.

   Hinweis

   Wählen Sie keinen WAN-Port oder keine WAN-Schnittstellen aus, wenn Sie mehrere WAN-Schnittstellen in der Firewall haben.

9. Klicken Sie auf Speichern.

Weitere Ressourcen

• Drittanbieter-Firewall zur Verwendung von DNS Protection konfigurieren