跳至內容
部分或全部頁面已經過機器翻譯。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=DNS-protection-troubleshooting

排疑解難

排除DNS Protection問題。

存取問題

Apple裝置上的網際網路問題」失敗

問題

您無法在iPhone裝置上存取網際網路,但可以在其他裝置上存取。

如何進行

你的Apple裝置可能已開啟iCloud私人中繼設定。 在iPhone裝置上關閉限制IP位址追蹤。對於更多資訊,請參閱 爲iCloud專用中繼準備網絡或Web服務器

使用專用IP地址配置的位置失敗

問題

您所在位置面臨網際網路問題,DNS請求未得到解決。這可能是因為您使用私有IP地址添加了位置。專用IP地址(如172和192)不起作用。

如何進行

使用其公用IP地址配置位置。它通常是路由器 WAN 介面的 IP 位址。

為DNS解析配置多個伺服器失敗

問題

DNS Protection不適用於您,因為您已為DNS解析配置了多臺伺服器。這也可能是因為您配置了單獨的DNS伺服器來解析IPv6地址。DNS Protection是一種基於IPv4的DNS服務,也能夠解析IPv6地址。您不需要單獨的IPv6 DNS伺服器來解析IPv6地址。

如何進行

要解決此問題,請執行以下操作:

  1. 僅使用DNS Protection解析公共DNS請求。
  2. 通過在網路級別修改IPv6設定或配置DHCPv6堆棧,使其不會自動獲取DNS地址,關閉IPv6 DNS服務。

儀錶板

儀表板不顯示DNS流量資訊

問題

您在儀表板上看不到DNS流量資訊。

如何進行

這可能是由於ISP的"DNS劫持"所致。要解決此問題,請將DNS Protection IP地址添加到路由器上的DNS設定中。請參閱 未應用DNS原則

位置

失敗IPv6地址未被接受

問題

" 添加位置 "頁面不接受IPv6地址。

如何進行

目前,我們僅支持IPv4作爲靜態IP地址和主機名。

與DNS Protection IP地址無通信

問題

您的系統無法與DNS Protection IP地址通信。

如何進行

DNS Protection僅接受來自配置位置的請求。在Sophos Central中配置位置後使用DNS伺服器。

來自某個位置的DNS請求不再被解析

問題

DNS Protection已停止解析來自某個位置的DNS請求。

如何進行

出現此問題的原因可能是以下:

  • 您在該位置輸入的FQDN未解析為有效的IP地址。您必須檢查DNS配置才能解決此問題。
  • 您輸入的IP地址或位置中FQDN的IP地址與其他用戶衝突。DNS Protection優先考慮首先創建位置的用戶。在這種情況下,我們建議您向ISP詢問唯一的IP地址。

您可以在 **** Sophos Central的警報頁面上看到這些問題的警報。

原則

網站被錯誤分類

問題

您認為網站分類錯誤。

如何進行

您可以執行以下任務之一:

  • 創建自定義域列表,將該網站添加到列表,然後將該列表添加到策略中以允許或阻止該網站。請參閱 新增原則網域清單

  • Sophos支援處提交重新分類請求

    若要執行此操作,請依照以下步驟操作。

    1. “提交示例”下,單擊 Web地址(URL)
    2. Web Address (URL)(網址(URL))中,輸入您希望我們重新分類的網站。

    3. 產品/服務中,選擇 Sophos XG防火牆

      注意

      Sophos Firewall的網站類別與DNS Protection相同。

    4. Comments (注釋)中,提及此重新分類請求是針對DNS Protection而不是Sophos Firewall。您也可以添加有關您的請求的其他詳細資訊。

    5. 添加您的個人詳細資訊。
    6. 單擊 提交URL
未立即實施更新的策略

問題

您更新了策略以阻止以前允許的域。該策略不會立即實施,您仍然可以訪問域。

如何進行

如果您封鎖的網域有較長的DNS生存時間(TTL),就會發生這種情況。在這種情況下,可以訪問域,直到其DNS TTL過期。

網域

允許的域被阻止失敗

問題

您已允許使用自定義域列表的域,但DNS Protection將其阻止。

如何進行

這可能是因為該域存在安全風險。DNS Protection始終阻止站點SophosLabs標記為威脅或安全風險。

動態 DNS

CloudFlare配置

問題

如果您在向CloudFlare注冊的域上設定A記錄,您的配置將切換到"代理模式"。在此配置中,A記錄返回CloudFlare IP地址,而不是您指定的IP地址。如果您想創建DynDNS條目以指向您的IP地址,則這並不理想。

如何進行

在CloudFlare中,將 Proxy status (代理狀態  )設定為DNS Only (僅限DNS),以確保DNS入口點指向您指定的IP地址。

安裝程式

無法訪問阻止頁面

問題

您可以訪問DNS Protection歡迎頁面,但當您訪問被DNS Protection策略阻止的站點時,您看到的是原始站點,而不是阻止頁面。

如果您的防火牆未配置為使用DNS Protection解析域名,並且在Web代理模式下篩選通信並打開Pharming Protection,則您將看不到阻止頁面。這會導致防火牆將Web連接發送到從其DNS伺服器獲取的IP地址,而不是使用DNS Protection將它們重定向到阻止頁面。

如何進行

選擇以下選項之一:

  • 將防火牆配置為使用DNS Protection作為其DNS伺服器。
  • 關閉竄改防護

  • 關閉與DNS Protection封鎖頁面服務連線上的防火牆Web篩選和TLS解密,如下所示:

    • 爲名稱創建FQDN對象 blockpage.dnsprotection.sophos.com
    • 創建允許所有HTTP和HTTPS服務通信的防火牆規則。源網絡必須是內部區域和網絡,而目標必須是WAN區域。使用新的FQDN物件指定目的網路。設定" 允許 動作",並且不打開任何Web篩選選項。
    • 創建一個TLS規則,允許HTTPS連接到阻止頁面服務而不進行解密,使用與防火牆規則相同的選擇條件,但帶有 “請勿解密 ”動作。

更多資源