設定您的網路

要將網路設定為使用 DNS Protection，您必須更新網路或裝置的設定，以確保使用 DNS Protection IP 位址解析 DNS 請求。

您必須在新增到 DNS Protection 的每個位置設定網路。

DNS 伺服器

大多數網路使用 DHCP 來指示裝置使用哪個 DNS 伺服器。您可能已手動將某些裝置設定為使用特定的 DNS 伺服器。

如果您已將裝置設定為使用網路上的本機 DNS 解析程式（如 Windows DNS 或 Sophos Firewall 的 DNS 功能），則必須更新該解析程式以使用 DNS Protection 作為 DNS 轉發器。

請參閱您使用的 DNS 伺服器的說明：

• 將 Sophos Firewall 設定為使用 DNS Protection
• 配置第三方防火牆以使用DNS Protection
• 將 Windows Server 設定為使用 DNS Protection

如果您使用的是外部 DNS 服務（如 Google Public DNS 或 Cloudflare DNS），則必須更新 DHCP 伺服器的設定，以將現有服務 IP 位址替換為 DNS Protection IP 位址。

如果您已手動將裝置設定為使用外部 DNS 服務，請將其設定為直接使用 DNS Protection。

請參閱使用者裝置的說明：

• 將 Windows 裝置設定為使用 DNS Protection
• 將 Mac 裝置設定為使用 DNS Protection

建議操作

我們建議您按照以下步驟進行：

• 為防止 ISP 劫持 DNS，建議將 DNS Protection IP 位址新增到路由器上的 DNS 設定中。
• 在 iPhone 裝置上關閉 限制 IP 位址追蹤。

• 僅將 DNS 保護 IP 地址新增至您的配置。請勿新增替代伺服器 IP 位址。

  當您使用本地DNS伺服器來緩存或轉發查詢至DNS Protection時，您可能有選項在兩個DNS Protection IP位址之外加入替代伺服器IP位址。DNS 伺服器以不同方式使用替代伺服器。某些 DNS 伺服器可能會依序查詢伺服器；其他可能會查詢所有伺服器並採用第一個回應。包括替代伺服器可能會看起來是一個安全的選項。然而，如果查詢其中一個替代伺服器，您將會失去 DNS Protection 所提供的 DNS 流量保護和可見性。

• 將您的內部網域新增至網域清單中，然後在可能封鎖您網域網站類別的原則中允許該清單。這可確保您的本地站點和服務（例如，與 ZTNA 閘道的連接）不會在您的域位於受限類別（例如，已停用的域）時被阻擋。

DNS Protection 根憑證

要確保使用者看到封鎖頁面，必須在使用者的裝置中安裝 DNS Protection 根憑證。

請參閱使用者裝置的說明：

• 在 Windows 裝置上安裝根憑證
• 在 Mac 裝置上安裝根憑證

如果您使用的防火牆開啟了 SSL/TLS 檢查，則必須將防火牆中使用的 HTTPS 掃描 CA 憑證上載到使用者的裝置。對於 Sophos Firewall，請參見 Sophos Firewall：安裝 SSL CA 憑證。如果您使用的是其他防火牆，請參閱防火牆的說明文件。

Alternatively, if you're bypassing TLS scanning or web filtering, allow the FQDN blockpage.dnsprotection.sophos.com to ensure users can see the block pages.

檢查您的設定

要檢查您的保護，請執行以下動作：

1. 移至 我的產品 > DNS Protection > 安裝程式。
2. 在檢查您的設定下方，點擊複製旁邊的URL。

3. 在網頁瀏覽器中輸入您複製的URL。

   如果您看到歡迎訊息，則已正確設定 DNS 保護。