排疑解難
排除DNS Protection問題。
存取問題
Apple裝置上的網際網路問題」失敗
問題
您無法在iPhone裝置上存取網際網路,但可以在其他裝置上存取。
如何進行
你的Apple裝置可能已開啟iCloud私人中繼設定。 在iPhone裝置上關閉限制IP位址追蹤。對於更多資訊,請參閱 爲iCloud專用中繼準備網絡或Web服務器。
使用專用IP地址配置的位置失敗
問題
您所在位置面臨網際網路問題,DNS請求未得到解決。這可能是因為您使用私有IP地址添加了位置。專用IP地址(如172和192)不起作用。
如何進行
使用其公用IP地址配置位置。它通常是路由器 WAN 介面的 IP 位址。
為DNS解析配置多個伺服器失敗
問題
DNS Protection不適用於您,因為您已為DNS解析配置了多臺伺服器。這也可能是因為您配置了單獨的DNS伺服器來解析IPv6地址。DNS Protection是一種基於IPv4的DNS服務,也能夠解析IPv6地址。您不需要單獨的IPv6 DNS伺服器來解析IPv6地址。
如何進行
要解決此問題,請執行以下操作:
- 僅使用DNS Protection解析公共DNS請求。
- 通過在網路級別修改IPv6設定或配置DHCPv6堆棧,使其不會自動獲取DNS地址,關閉IPv6 DNS服務。
儀錶板
儀表板不顯示DNS流量資訊
問題
您在儀表板上看不到DNS流量資訊。
如何進行
這可能是由於ISP的"DNS劫持"所致。要解決此問題,請將DNS Protection IP地址添加到路由器上的DNS設定中。請參閱 未應用DNS原則。
位置
失敗IPv6地址未被接受
問題
" 添加位置 "頁面不接受IPv6地址。
如何進行
目前,我們僅支持IPv4作爲靜態IP地址和主機名。
與DNS Protection IP地址無通信
問題
您的系統無法與DNS Protection IP地址通信。
如何進行
DNS Protection僅接受來自配置位置的請求。在Sophos Central中配置位置後使用DNS伺服器。
來自某個位置的DNS請求不再被解析
問題
DNS Protection已停止解析來自某個位置的DNS請求。
如何進行
出現此問題的原因可能是以下:
- 您在該位置輸入的FQDN未解析為有效的IP地址。您必須檢查DNS配置才能解決此問題。
- 您輸入的IP地址或位置中FQDN的IP地址與其他用戶衝突。DNS Protection優先考慮首先創建位置的用戶。在這種情況下,我們建議您向ISP詢問唯一的IP地址。
您可以在 **** Sophos Central的警報頁面上看到這些問題的警報。
原則
網站被錯誤分類
問題
您認為網站分類錯誤。
如何進行
您可以執行以下任務之一:
- 創建自定義域列表,將該網站添加到列表,然後將該列表添加到策略中以允許或阻止該網站。請參閱 新增原則 和 網域清單。
-
若要執行此操作,請依照以下步驟操作。
- 在 “提交示例”下,單擊 Web地址(URL)。
- 在 Web Address (URL)(網址(URL))中,輸入您希望我們重新分類的網站。
-
在 產品/服務中,選擇 Sophos XG防火牆。
注意
Sophos Firewall的網站類別與DNS Protection相同。
-
在 Comments (注釋)中,提及此重新分類請求是針對DNS Protection而不是Sophos Firewall。您也可以添加有關您的請求的其他詳細資訊。
- 添加您的個人詳細資訊。
- 單擊 提交URL。
未立即實施更新的策略
問題
您更新了策略以阻止以前允許的域。該策略不會立即實施,您仍然可以訪問域。
如何進行
如果您封鎖的網域有較長的DNS生存時間(TTL),就會發生這種情況。在這種情況下,可以訪問域,直到其DNS TTL過期。
網域
允許的域被阻止失敗
問題
您已允許使用自定義域列表的域,但DNS Protection將其阻止。
如何進行
這可能是因為該域存在安全風險。DNS Protection始終阻止站點SophosLabs標記為威脅或安全風險。
動態 DNS
CloudFlare配置
問題
如果您在向CloudFlare注冊的域上設定A記錄,您的配置將切換到"代理模式"。在此配置中,A記錄返回CloudFlare IP地址,而不是您指定的IP地址。如果您想創建DynDNS條目以指向您的IP地址,則這並不理想。
如何進行
在CloudFlare中,將 Proxy status (代理狀態 )設定為DNS Only (僅限DNS),以確保DNS入口點指向您指定的IP地址。
安裝程式
無法訪問阻止頁面
問題
您可以訪問DNS Protection歡迎頁面,但當您訪問被DNS Protection策略阻止的站點時,您看到的是原始站點,而不是阻止頁面。
如果您的防火牆未配置為使用DNS Protection解析域名,並且在Web代理模式下篩選通信並打開Pharming Protection,則您將看不到阻止頁面。這會導致防火牆將Web連接發送到從其DNS伺服器獲取的IP地址,而不是使用DNS Protection將它們重定向到阻止頁面。
如何進行
選擇以下選項之一:
- 將防火牆配置為使用DNS Protection作為其DNS伺服器。
- 關閉竄改防護
-
關閉與DNS Protection封鎖頁面服務連線上的防火牆Web篩選和TLS解密,如下所示:
- 爲名稱創建FQDN對象
blockpage.dnsprotection.sophos.com
。 - 創建允許所有HTTP和HTTPS服務通信的防火牆規則。源網絡必須是內部區域和網絡,而目標必須是WAN區域。使用新的FQDN物件指定目的網路。設定" 允許 動作",並且不打開任何Web篩選選項。
- 創建一個TLS規則,允許HTTPS連接到阻止頁面服務而不進行解密,使用與防火牆規則相同的選擇條件,但帶有 “請勿解密 ”動作。
- 爲名稱創建FQDN對象
更多資源