Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=DNS-protection-network-setup-Sophos-Firewall

Configurer Sophos Firewall pour utiliser DNS Protection

Si vous utilisez Sophos Firewall en tant que serveur DNS, vous pouvez configurer le pare-feu pour utiliser DNS Protection en tant que redirecteur DNS.

Étapes clés

Les étapes clés pour configurer Sophos Firewall en vue d’utiliser DNS Protection sont les suivantes :

  1. Ajoutez Sophos Firewall comme emplacement dans Sophos Central.
  2. Copiez les adresses IP de DNS Protection depuis Sophos Central.
  3. Ajoutez les adresses IP de DNS Protection dans Sophos Firewall.
  4. Ajoutez un routage de requête DNS dans Sophos Firewall si vous utilisez un serveur DNS interne pour résoudre les requêtes DNS locales.
  5. Configurez les appareils réseau pour utiliser Sophos Firewall en tant que résolveur DNS.
  6. Créez une règle NAT pour transférer le trafic DNS sortant vers le résolveur DNS du pare-feu (facultatif).

Configuration de Sophos Central

Dans Sophos Central, ajoutez le pare-feu en tant qu’emplacement et copiez les adresses IP de DNS Protection.

Ajouter Sophos Firewall comme emplacement dans Sophos Central

Pour ajouter Sophos Firewall comme emplacement, procédez comme suit :

  1. Allez dans Mes produits > DNS Protection > Emplacements.
  2. Cliquez sur Ajouter.
  3. Saisissez le nom et la description de l’emplacement.

  4. Dans Adresses IPv4 ou FQDN, selon la configuration de votre réseau, procédez comme suit :

    • Si votre pare-feu possède une seule interface WAN, ajoutez l'adresse IP de l'interface WAN.
    • Si votre pare-feu possède plusieurs interfaces WAN, ajoutez toutes les adresses IP correspondantes ou ajoutez une plage d’adresses IP.
    • Si l’adresse IP de votre pare-feu est dynamique, ajoutez le nom d’hôte du pare-feu que vous avez enregistré auprès du fournisseur DNS dynamique (DDNS). Voir DNS dynamique.

  5. Cliquez sur Enregistrer.

Copier les adresses IP de DNS Protection

Dans Sophos Central, copiez les adresses IP de DNS Protection. Vous aurez besoin de ces adresses IP pour configurer Sophos Firewall afin qu’il utilise DNS Protection.

Pour copier les adresses IP de DNS Protection, procédez comme suit :

  1. Allez dans Mes produits > DNS Protection > Programmes d’installation.

  2. À côté de Adresses IP, cliquez sur Copier.

    Vous copiez deux adresses IP. Celles-ci seront utilisées en tant qu’adresses IP principale et secondaire de DNS Protection pour gérer la redondance.

Configuration de Sophos Firewall

Dans le pare-feu, procédez comme suit :

  • Ajoutez les adresses IP de DNS Protection dans Sophos Firewall.
  • Ajoutez un routage de requête DNS si vous utilisez un serveur DNS local.
  • Configurez vos appareils réseau pour utiliser le pare-feu comme résolveur DNS.

Ajouter les adresses IP de DNS Protection dans Sophos Firewall

Pour configurer le pare-feu afin qu’il utilise DNS Protection, ajoutez les adresses IP de DNS Protection que vous avez copiées depuis Sophos Central au pare-feu.

Pour ajouter les adresses IP de DNS Protection dans Sophos Firewall, procédez comme suit :

  1. Allez dans Réseau > DNS.
  2. Sélectionnez DNS statique.

  3. Dans DNS 1, saisissez l’adresse IP que vous souhaitez utiliser en tant que serveur DNS Protection principal.

    Il doit s’agir de l’une des adresses IP que vous avez copiées depuis Sophos Central.

  4. Dans DNS 2, saisissez l’adresse IP que vous souhaitez utiliser en tant que serveur DNS Protection secondaire.

    Il doit s’agir de l’une des adresses que vous avez copiées depuis Sophos Central.

    Remarque

    Nous vous recommandons de ne pas ajouter un autre serveur DNS dans DNS 3. Si le pare-feu bascule sur le troisième serveur DNS, vous perdrez la protection offerte par DNS Protection.

  5. Assurez-vous que les serveurs DNS IPv6 ne sont pas configurés.

    Sous IPv6, procédez comme suit :

    1. Sélectionnez DNS statique.
    2. Laissez les champs DNS 1, DNS 2et DNS 3 vides.
    3. Sélectionnez Choisir le serveur DNS IPv4 plutôt qu’IPv6.

  6. Cliquez sur Appliquer.

    Configuration DNS pour Sophos Firewall.

    Remarque

    Les adresses IP figurant dans la capture d’écran sont données à titre d’exemples uniquement. Vous devez utiliser les adresses IP que vous avez copiées depuis Sophos Central.

Ajouter un routage de requête DNS

DNS Protection ne résout pas les requêtes DNS locales. Ainsi, si vous utilisez un serveur DNS interne pour résoudre les requêtes DNS locales, vous devrez ajouter un routage de requête DNS dans le pare-feu.

Lorsque vous ajoutez un routage de requête DNS, le pare-feu résout les requêtes DNS de la manière suivante :

Topologie de routage de requête DNS dans Sophos Firewall.

  1. Toutes les requêtes des utilisateurs sont acheminées vers le pare-feu.
  2. Le pare-feu transfère les requêtes locales à un serveur DNS interne en fonction du domaine.
  3. Le pare-feu transfère les requêtes DNS publiques à DNS Protection.
  4. Le pare-feu renvoie les réponses de toutes les requêtes DNS aux utilisateurs.

Dans le routage de requête DNS, spécifiez le domaine local et le serveur DNS interne.

Pour ajouter un routage de requête DNS, procédez de la manière suivante :

  1. Allez dans Réseau > DNS.
  2. Dans Routage de requête DNS, cliquez sur Ajouter.
  3. Dans Nom d’hôte/de domaine, saisissez le domaine local.
  4. Dans Serveurs cibles, sélectionnez le serveur DNS interne.
  5. Cliquez sur Enregistrer.

Configurer les appareils réseau pour utiliser Sophos Firewall en tant que résolveur DNS

Mettez à jour les serveurs DHCP du pare-feu afin que vos appareils réseau puissent utiliser le pare-feu comme résolveur DNS.

Pour mettre à jour les serveurs DHCP du pare-feu, procédez comme suit :

  1. Allez dans Réseau > DHCP.

  2. Sous Serveur, sélectionnez un serveur DHCP configuré puis cliquez sur Modifier Bouton Modifier..

    Modifiez un serveur DHCP.

  3. Dans Interface, notez l’adresse IP de l’interface DHCP sélectionnée.

  4. Sous Serveur DNS, configurez le serveur comme suit :

    1. Ne sélectionnez pas Utiliser les paramètres DNS de l’appareil.
    2. Dans DNS principal, saisissez l’adresse IP de l’interface DHCP que vous avez notée dans Interface.
    3. Dans DNS secondaire, saisissez l’adresse IP publique de DNS Protection. Il doit s’agir de l’une des adresses IP de DNS Protection que vous avez copiées depuis Sophos Central.

  5. Cliquez sur Enregistrer.

  6. Répétez ces étapes pour tous les serveurs DHCP configurés dans le pare-feu.

Créer une règle NAT pour transférer le trafic DNS sortant vers le résolveur DNS du pare-feu

Même si tous les serveurs DHCP ont été configurés, certains appareils de votre réseau peuvent être configurés pour utiliser un résolveur DNS tiers, que ce soit par le biais d’un paramètre légitime ou malveillant. Vous pouvez donc créer une règle NAT pour transférer tout le trafic DNS sortant de votre réseau interne vers le résolveur DNS du pare-feu.

Pour créer une règle NAT, procédez comme suit :

  1. Allez dans Règles et stratégies > Règles NAT puis sélectionnez IPv4.
  2. Cliquez sur Ajouter une règle NAT, puis sélectionnez Nouvelle règle NAT.
  3. Saisissez un nom pour la règle puis réglez la Position de la règle sur Haut.
  4. Dans Source originale, sélectionnez tous vos réseaux internes.
  5. Dans Destination originale, sélectionnez le groupe d’hôtes sortant. Vous pouvez sinon sélectionner le groupe d’hôtes intégré Internet IPv4.
  6. Dans Service original, sélectionnez DNS.
  7. Dans Destination traduite (DNAT), sélectionnez ou ajoutez l’adresse IP de l’une des interfaces internes de votre pare-feu.

  8. Dans Interface d’entrée, sélectionnez les interfaces de pare-feu correspondant aux réseaux source que vous avez configurés dans Source originale.

    Remarque

    Ne sélectionnez pas le port WAN ou les interfaces WAN si vous avez plusieurs interfaces WAN dans le pare-feu.

  9. Cliquez sur Enregistrer.

Plus de ressources