【NGFW】【DNS代理】智慧防火墙配置DNS代理服务器的注意事项

2线-王鹏程发表于:2020年09月02日 16:56:48更新于:2020年09月03日 18:37:06

适配版本


产品:智慧防火墙

版本:6.1.12.xxxx

平台:平台无关

关键字


"DNS代理服务器配置"、"DNS代理服务器探测"

内容


使用防火墙的DNS代理功能,需先配置”DNS代理服务器“,后被各模块调用 ,具体配置方法如下:

image.png

在此处可指定首选及备选DNS代理服务器,并可启用探测功能。

  1. 在未启用探测时:防火墙在收到需要代理的DNS流量会将目的地址修改为指定的首选DNS代理服务器转发,收到DNS回复后再转发给客户端,如未收到,此时访问失败。由于未开探测,即使首选的异常,备选也不会生效。

  2. 当启用探测时:防火墙会去解析指定的探测域名,探测判断原则为查看是否收到了对应的DNS响应报文。如首选DNS异常,会验证备选DNS。当防火墙在收到需要代理的DNS流量,会将DNS转发给正常的DNS代理服务器,比上述多出一个冗余机制。

上述为DNS代理服务器的基本实现 ,在一般场景下不会出现问题,但如果在多出口场景需要注意。比如很常见的一个场景,防火墙有三大运营商和教育网的多个出口,而我们希望相应流量走教育网,此时建议在静态路由中,指定教育网的DNS IP走教育网出口。如果不指定,教育网的DNS探测流量很可能会走其他的出口出去,造成探测失败,业务异常。同样的,三大运营商DNS 服务器IP建议也详细指定,或尝试使用ISP路由解决,不过由于各运营商可绕行互通,有时候不会触发异常。