ネットワークの設定
DNS Protection を使用するようにネットワークを設定するには、ネットワークまたはデバイスの設定を更新して、DNS Protection IPアドレスを使用して DNS リクエストが解決されるようにする必要があります。
DNS Protection に追加するすべての場所でネットワークを設定する必要があります。
DNS サーバー
大半のネットワークでは、DHCP を使用して、使用する DNS サーバーをデバイスに指示します。一部のデバイスでは、特定の DNS サーバーを使用するように手動で設定している場合があります。
Windows DNS やソフォスファイアウォールの DNS 機能など、ネットワーク上のローカル DNS リゾルバを使用するようにデバイスを設定済みの場合は、そのリゾルバを更新して DNS Protection フォワーダとして使用する必要があります。
使用する DNS サーバーの手順を参照してください。
- DNS Protection を使用するように Sophos Firewall を設定する
- DNS Protection を使用するようにサードパーティのファイアウォールを設定する
- DNS Protection を使用するように Windows サーバーを設定する
外部 DNS サービス (Google パブリック DNS や Cloudflare DNS など) を使用している場合は、既存のサービス IP アドレスを DNS Protection IP アドレスに置き換えるように DHCP サーバーの設定を更新する必要があります。
外部 DNS サービスを使用するようにデバイスを手動で設定した場合は、DNS Protection を直接使用するようにデバイスを設定します。
ユーザーのデバイスに対応した手順を参照してください。
推奨事項
次の手順を実行することを推奨します。
- ISP による DNS ハイジャックを防ぐために、ルーターの DNS 設定に DNS Protection IP アドレスを追加します。
- iPhoneデバイスで「IP アドレスのトラッキングを制限」をオフにします。
-
設定には DNS Protection IP アドレスのみを追加してください。代替サーバー IP アドレスを追加しないでください。
ローカル DNS サーバーを使用してクエリをキャッシュまたは DNS Protection に転送する場合、2つの DNS Protection IP アドレスに加えて代替サーバー IP アドレスを含めるオプションがあります。DNS サーバーは、さまざまな方法で代替サーバーを使用します。一部の DNS サーバーは、サーバーに順次クエリを実行できます。他のサーバーは、すべてのサーバーにクエリを実行して最初の応答を受け取ることができます。代替サーバーを含めることは安全な選択肢のように思われるかもしれません。ただし、代替サーバーのいずれかにクエリが実行されると、DNS Protection が提供するDNS トラフィックの保護と可視性が失われます。
DNS Protection ルート証明書
ユーザーにブロックページを表示させるには、ユーザーのデバイスに DNS Protection ルート証明書をインストールする必要があります。
ユーザーのデバイスに対応した手順を参照してください。
SSL/TLS インスペクションがオンになっているファイアウォールを使用している場合は、ファイアウォールで使用されている HTTPS スキャン CA 証明書をユーザーのデバイスにアップロードする必要があります。詳細については、Sophos Firewall: SSL CA 証明書をインストールするを参照してください。別のファイアウォールを使用している場合は、そのファイアウォールに関するドキュメントを参照してください。
または、TLS スキャンまたは Web フィルタリングをバイパスする場合は、FQDN blockpage.dnsprotection.sophos.com を許可して、ユーザーがブロックページを表示できるようにします。
設定を確認してください
DNS Protection の設定は、次のように確認できます。
- 「マイプロダクト > DNS Protection > インストーラに移動します。
- 「設定を確認してください」で URL の横の「コピー」をクリックします。
-
Web ブラウザに、コピーした URL を入力します。
ようこそメッセージが表示された場合は、DNS Protection が正しく設定されています。