域名系统 (DNS) 是一个可实现数字 IP 地址与具备可读性的分级 Internet 地址相互转换的服务器网络系统。 DNS 让计算机网络理解自己的意图,例如,在浏览器中键入域名 www.example.com 时表明要转到 200.253.208.100 上的服务器。 使用 Fireware XTM,有两种方法可以控制 DNS 流量:DNS 数据包筛选器和 DNS 代理策略。 仅在通过 XTM 设备路由 DNS 请求时,DNS 代理才有用。
新建配置文件时,该文件将自动添加传出数据包筛选器策略,以此允许从信任网络和可选网络至外部网络的所有 TCP 和 UDP 连接。 这样用户即可使用标准 TCP 53 和 UDP 53 端口连接至外部 DNS 服务器。 由于该筛选器是数据包筛选器,因此它无法防御常见的 UDP 传出特洛伊木马、DNS 攻击以及打开来自信任网络的所有传出 UDP 流量时发生的其他问题。 DNS 代理具有保护网络免遭这些威胁的功能。 如果使用网络的外部 DNS 服务器,则 DNS 传出规则集会提供更多方式帮助控制网络社区可用的服务。
要将 DNS 代理添加至 XTM 设备配置,请参阅向配置中添加代理策略。
如果必须更改代理定义,可以使用“新建/编辑代理策略”
在策略配置页面顶部,可以设置以下操作:
要设置访问规则和其他选项,请选择“策略”选项卡。
在“属性”选项卡上,可配置以下选项:
也可以在代理定义中配置下列选项:
可以为此代理选择预定义的代理操作,也可以配置用户定义的代理操作。 有关如何配置代理操作的详细信息,请参阅关于 代理操作。
对于 DNS 代理,可以为代理操作配置以下类别的设置: