排疑解難

問題

您無法在 iPhone 裝置上連線到網際網路，但可以在其他裝置上連線。

如何排除

您的 Apple 裝置可能開啟了 iCloud 私密轉送設定。在 iPhone 裝置上關閉 限制 IP 位址追蹤。欲了解更多資訊，請參閱 為 iCloud 私密轉送準備您的網路或 Web 伺服器。

問題

您在位置上遇到網際網路問題，且 DNS 請求無法解析。這可能是因為您使用私有 IP 位址新增了位置。私有 IP 位址無法使用，例如 172.x.x.x 和 192.x.x.x。

如何排除

使用其公共 IP 位址來設定位置。它通常是您的路由器 WAN 介面的 IP 位址。

問題

DNS Protection 無法正常運作，因為您為 DNS 解析配置了多個伺服器。也可能是因為您為解析 IPv6 位址配置了單獨的 DNS 伺服器。DNS 保護是一項 IPv4 的 DNS 服務，也能解析 IPv6 位址。您不需要配置單獨的 IPv6 DNS 伺服器來解析 IPv6 位址。

如何排除

若要解決此問題，請按照以下步驟操作：

1. 僅使用 DNS Protection 來解析公共 DNS 請求。
2. 修改網路層的 DHCPv6 設定或配置 IPv6 堆疊來關閉 IPv6 DNS 服務，使其不會自動獲取 DNS 位址。

問題

您無法在儀表板上查看 DNS 流量資訊。

如何排除

這可能是因為您的 ISP 進行了「DNS 挾持」。若要解決此問題，請將 DNS Protection 的 IP 位址新增到您的路由器的 DNS 設定中。請參閱 未應用的 DNS 原則。

問題

新增位置 頁面不接受 IPv6 位址。

如何排除

目前，我們僅支援 IPv4 用於靜態 IP 位址和主機名稱。

問題

您的系統無法與 DNS Protection 的 IP 位址進行通訊。

如何排除

DNS Protection 僅接受來自已配置位置的請求。在 Sophos Central 中配置位置後，再使用 DNS 伺服器。

問題

DNS Protection 已停止解析來自某個位置的 DNS 請求。

如何排除

此問題可能由以下原因引起：

• 您在位置中輸入的 FQDN 無法解析為有效的 IP 位址。您必須檢查 DNS 設定以解決此問題。
• 您輸入的 IP 位址或位置中 FQDN 的 IP 位址與其他使用者發生衝突。DNS Protection 會優先處理最早建立該位置的使用者。在這種情況下，我們建議您向您的 ISP 要求一個唯一的 IP 位址。

您可以在 Sophos Central 的 警示 頁面中查看這些問題的警示。

問題

您認為某個網站被錯誤分類。

如何排除

您可以採取以下其中一項操作：

• 建立自訂的網域清單，將該網站新增至清單，並將清單新增至原則中，以允許或封鎖該網站。請參閱 新增原則 和 網域清單。

• 在 Sophos 支援 提交重新分類請求。

  若要執行此動作，請依照以下步驟操作。

  1. 在 提交樣本 下，按一下 網址 (URL)。
  2. 在 網址 (URL) 中，輸入您希望我們重新分類的網站。

  3. 在 產品/服務 中，選擇 Sophos XG Firewall。

     注意

     Sophos Firewall 具有與 DNS Protection 相同的網站分類。

  4. 在 註解 中，註記這個重新分類請求是針對 DNS Protection，而非 Sophos Firewall。您也可以新增有關該請求的其他細節。

  5. 新增您的個人詳細資訊。
  6. 按一下 提交網址。

問題

您更新了原則以封鎖先前允許的網域。該原則未立即生效，您仍然可以存取該網域。

如何排除

如果您封鎖的網域有較長的 DNS 存留時間 (TTL)，則會發生這種情況。在這種情況下，該網域會一直可存取，直到其 DNS TTL 到期。

問題

您使用自訂網域清單允許了一個網域，但 DNS Protection 將其封鎖。

這可能是由於以下原因之一：

• 該網域存在安全風險。DNS Protection 始終會封鎖被 SophosLabs 標記為威脅或安全風險的網站。
• 該網域具有 CNAME 記錄，且其類別已被封鎖。

如何排除

若要檢查該網域是否具有 CNAME 記錄，請依照以下步湊操作。

在 Windows 上，請執行以下命令：

nslookup <domain name> <DNS server IP address>

nslookup www.companyExample.ca 198.51.100.200
Server: dns.companyExample
Address: 198.51.100.200

Non-authoritative answer:
Name:    12345-www-companyExample-ca.community.com
Address:  192.0.2.0
Aliases:  www.companyExample.ca

在上面的範例中，12345-www-companyExample-ca.community.com 是 CNAME。

在 Linux 上，請執行以下命令：

dig <domain name>

dig www.companyExample.ca/

; <<>> DiG Ubuntu <<>> www.companyExample.ca
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61575
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;www.companyExample.ca.            IN    A

;; ANSWER SECTION:
www.companyExample.on.ca        10    IN    CNAME    12345-www-companyExample-ca.community.com
12345-www-companyExample-ca.community.com 9 IN    A    x.x.x.x

;; Query time: 64 msec
;; SERVER: x.0.0.11#53(x.0.0.11) (UDP)
;; WHEN: Sat Mar 01 03:46:59 CST 2025

在上面的範例中，12345-www-companyExample-ca.community.com 是 CNAME。

如果 CNAME 的類別被封鎖，而且您認為它被錯誤分類，請在 Sophos 支援 提交重新分類的請求。若要提交重新分類的請求，請參閱 原則 下的「網站分類錯誤」問題。

問題

如果您在註冊於 Cloudflare 的網域上設置了 A 記錄，您的設定將切換到「代理模式」。在此設定下，A 記錄將回傳一個 Cloudflare 的 IP 地址，而不是您指定的 IP 地址。如果您想建立一個 DynDNS 條目以指向您的 IP 地址，那這不太恰當。

如何排除

在 Cloudflare 中，將 代理狀態 設定為 僅 DNS，以確保您的 DNS 條目會指向您指定的 IP 地址。

問題

您可以存取 DNS Protection 的歡迎頁面，但當您瀏覽被 DNS Protection 原則封鎖的網站時，會看到原始網站，而不是封鎖頁面。

如果您的防火牆未配置為使用 DNS Protection 來解析網域名稱，並且在啟用網址嫁接防護 (Pharming Protection) 的情況下以 Web 代理模式篩選流量，您將不會看到封鎖頁面。這會導致防火牆將網路連線發送到從其 DNS Protection 獲取的 IP 地址，而不是使用 DNS Protection 將其重新導向至封鎖頁面。

如何排除

請使用以下其中一種作法：

• 將您的防火牆設定為使用 DNS Protection 作為其 DNS 伺服器。
• 關閉網址嫁接防護

• 請按以下方式關閉防火牆的 Web 篩選與 TLS 解密，以允許連線至 DNS Protection 封鎖頁面服務：

  • 為該名稱建立 FQDN 物件 blockpage.dnsprotection.sophos.com。
  • 建立允許所有 HTTP 和 HTTPS 服務流量的防火牆規則。來源網路必須是您的內部區域和網路，目的地必須是 WAN 區域。使用新的 FQDN 物件來指定目的地網路。設定為 允許 動作，並且不要啟用任何 Web 篩選選項。
  • 建立一條 TLS 規則，允許 HTTPS 連線至封鎖頁面服務且不進行解密，使用與防火牆規則相同的選擇條件，但動作設定為 不解密。