Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=DNS-protection-network-setup-Sophos-Firewall

Configurazione di Sophos Firewall per l’uso di DNS Protection

Se si utilizza Sophos Firewall come server DNS, è possibile configurare il firewall in modo che utilizzi DNS Protection come DNS forwarder.

Passaggi principali

I passaggi principali per configurare Sophos Firewall con DNS Protection sono i seguenti:

  1. Aggiungere Sophos Firewall come posizione in Sophos Central.
  2. Copiare gli indirizzi IP di DNS Protection da Sophos Central.
  3. Aggiungere gli indirizzi IP di DNS in Sophos Firewall.
  4. Aggiungere una route della richiesta DNS in Sophos Firewall, se si utilizza un server DNS interno per risolvere le richieste DNS locali.
  5. Configurare i dispositivi di rete in modo che utilizzino Sophos Firewall come risolutore DNS.
  6. (Facoltativo) Creare una regola NAT per inoltrare al risolutore DNS del firewall il traffico DNS in uscita.

Configurazione di Sophos Central

In Sophos Central, aggiungere il firewall come posizione e copiare gli indirizzi IP di DNS Protection.

Aggiunta di Sophos Firewall come posizione in Sophos Central

Per aggiungere Sophos Firewall come posizione, procedere come segue:

  1. Aprire Prodotti > DNS Protection > Posizioni.
  2. Cliccare su Aggiungi.
  3. Inserire un nome e una descrizione per la posizione.

  4. In Indirizzi IPv4 o FQDN, a seconda della propria configurazione della rete, procedere come segue:

    • Se il firewall ha un’unica interfaccia WAN, aggiungere l’indirizzo IP dell’interfaccia WAN.
    • Se il firewall ha più interfacce WAN, aggiungere tutti gli indirizzi IP o un intervallo di indirizzi IP.
    • Se l’indirizzo IP del firewall è dinamico, aggiungere il nome host del firewall registrato con il provider di DNS dinamico (DDNS). Vedere DNS dinamico.

  5. Cliccare su Salva.

Copia degli indirizzi IP di DNS Protection

In Sophos Central, copiare gli indirizzi IP di DNS Protection. Questi indirizzi IP saranno necessari per configurare Sophos Firewall in modo che utilizzi DNS Protection.

Per copiare gli indirizzi IP di DNS Protection, procedere come segue:

  1. Aprire Prodotti > DNS Protection > Programmi di installazione.

  2. Accanto a Indirizzi IP, cliccare su Copia.

    Occorre copiare due indirizzi IP. Possono essere utilizzati come indirizzi IP primario e secondario di DNS Protection per configurare la ridondanza.

Configurazione di Sophos Firewall

Nel firewall, svolgere le seguenti attività:

  • Aggiungere gli indirizzi IP di DNS in Sophos Firewall.
  • Aggiungere una route della richiesta DNS, se si utilizza un server DNS locale.
  • Configurare i propri dispositivi di rete in modo che utilizzino il firewall come risolutore DNS.

Aggiunta degli indirizzi IP di DNS Protection in Sophos Firewall

Per configurare il firewall in modo che utilizzi DNS Protection, aggiungere al firewall gli indirizzi IP di DNS Protection copiati da Sophos Central.

Per aggiungere gli indirizzi IP di DNS Protection in Sophos Firewall, procedere come segue:

  1. Selezionare Rete > DNS.
  2. Selezionare DNS statico.

  3. In DNS 1, inserire l’indirizzo IP che si desidera utilizzare come server primario di DNS Protection.

    Deve essere uno degli indirizzi IP copiati da Sophos Central.

  4. In DNS 2, inserire l’indirizzo IP che si desidera utilizzare come server secondario di DNS Protection.

    Deve essere uno degli indirizzi copiati da Sophos Central.

    Nota

    Si consiglia di non aggiungere altri server DNS in DNS 3. Se il firewall passa al terzo server DNS, la sicurezza offerta da DNS Protection non sarà applicata.

  5. Assicurarsi che i server DNS IPv6 non siano configurati.

    Sotto IPv6, svolgere le seguenti attività:

    1. Selezionare DNS statico.
    2. Lasciare vuoti i campi DNS 1, DNS 2 e DNS 3.
    3. Selezionare Scegli server DNS IPv4 rispetto a IPv6.

  6. Cliccare su Applica.

    Configurazione del DNS in Sophos Firewall.

    Nota

    Gli indirizzi IP nello screenshot sono solo esempi. Bisognerà utilizzare gli indirizzi IP copiati da Sophos Central.

Aggiunta di una route della richiesta DNS

DNS Protection non risolve le richieste DNS locali. Di conseguenza, se si utilizza un server DNS interno per risolvere le richieste DNS locali, occorrerà aggiungere una route della richiesta DNS nel firewall.

Quando si aggiunge una route della richiesta DNS, il firewall risolve le richieste DNS come segue:

Topologia del percorso delle richieste DNS di Sophos Firewall.

  1. Tutte le richieste provenienti dagli utenti vengono inviate al firewall.
  2. Il firewall inoltra le richieste locali a un server DNS interno, in base al dominio.
  3. Il firewall inoltra le richieste DNS pubbliche a DNS Protection.
  4. Il firewall inoltra le risposte ottenute da tutte le richieste DNS agli utenti.

Nella route della richiesta DNS, specificare il dominio locale e il server DNS interno.

Per aggiungere una route della richiesta DNS, procedere come segue:

  1. Selezionare Rete > DNS.
  2. Sotto Route della richiesta DNS, cliccare su Aggiungi.
  3. In Nome host/dominio, inserire il dominio locale.
  4. In Server target, selezionare il server DNS interno.
  5. Cliccare su Salva.

Configurazione dei dispositivi di rete in modo che utilizzino Sophos Firewall come risolutore DNS

Aggiornare i server DHCP del firewall in modo che i propri dispositivi di rete utilizzino il firewall come risolutore DNS.

Per aggiornare i server DHCP del firewall, procedere come segue:

  1. Selezionare Rete > DHCP.

  2. Sotto Server, selezionare un server DHCP configurato e cliccare su Modifica Pulsante Modifica. per apportare modifiche.

    Modifica di un server DHCP.

  3. In Interfaccia, prendere nota dell’indirizzo IP dell’interfaccia DHCP selezionata.

  4. Sotto Server DNS, configurare il server come segue:

    1. Non selezionare Usa impostazioni DNS del dispositivo.
    2. In DNS primario, inserire l’indirizzo IP dell’interfaccia DHCP indicata in Interfaccia, annotato in precedenza.
    3. In DNS secondario, inserire l’indirizzo IP pubblico di DNS Protection. Deve essere uno degli indirizzi IP di DNS Protection copiati da Sophos Central.

  5. Cliccare su Salva.

  6. Ripetere questi passaggi per tutti i server DHCP configurati nel firewall.

Creazione di una regola NAT per inoltrare al risolutore DNS del firewall il traffico DNS in uscita

Anche dopo aver configurato tutti i server DHCP, alcuni dispositivi nella rete potrebbero essere configurati per utilizzare un risolutore DNS di terze parti, il che può avvenire sia tramite un’impostazione legittima, sia per mezzo di una dannosa. Pertanto, è possibile creare una regola NAT per inoltrare al risolutore DNS del firewall tutto il traffico DNS in uscita dalla propria rete interna.

Per creare una regola di NAT, procedere come segue:

  1. Aprire Regole e criteri > Regole NAT e selezionare IPv4.
  2. Cliccare su Aggiungi regola NAT e selezionare Nuova regola NAT.
  3. Inserire un nome per la regola e impostare la Posizione della regola su In cima.
  4. In Origine originale, selezionare tutte le reti interne.
  5. In Destinazione originale, selezionare il gruppo host in uscita. Come alternativa, è anche possibile selezionare il gruppo host integrato Internet IPv4 .
  6. In Servizio originale, selezionare DNS.
  7. In Destinazione convertita (DNAT), selezionare o aggiungere l’indirizzo IP di una delle interfacce interne del firewall.

  8. In Interfaccia in entrata, selezionare le interfacce firewall corrispondenti alle reti di origine configurate in Origine originale.

    Nota

    Se il firewall ha più interfacce WAN, evitare di selezionare la porta WAN o qualsiasi interfaccia WAN.

  9. Cliccare su Salva.

Ulteriori risorse