SOPHOS GÜVENLİK DUVARI DNS

 

Bir DNS sunucusunun adresini bir DHCP veya PPPoE sunucusundan alabilir veya statik DNS sunucularını belirtebilirsiniz.

Belirli bir IP adresini kullanarak belirli ana bilgisayarlara yönelik istekleri çözümleyebilir ve ağınızdaki DNS sunucularını kullanarak harici alan adlarına yönelik istekleri çözümleyebilirsiniz.

Seçeneklerin kullanılabilirliği, mevcut arayüzlerin konfigürasyonuna bağlıdır.


sophos firewall destek kolay teknoloji

DNS'yi DHCP'den Al : DNS'yi almak için yapılandırılmış DHCP sunucusunu kullanır.

DNS'yi PPPoE'den Al : DNS'yi almak için yapılandırılmış PPPoE sunucusunu kullanır.

Statik DNS : DNS sorguları için belirtilen sunucuları kullanır. Güvenlik duvarı, bir yanıt alana kadar DNS sunucularını listelenen sırayla sorgular. Örneğin, zaman aşımı süresi içinde yalnızca birinci sunucudan yanıt almazsa ikinci sunucuyu sorgular.

Not

Güvenlik duvarı, bir NXDOMAIN (etki alanı mevcut değil) yanıtının geçerli olduğunu kabul eder ve bir sonraki sunucuyu sorgulamaz. Yanıtlar, geçerlilik süresi dolana kadar önbelleğe alınır.

sophos firewall destek kolay teknoloji

Gelen istek kayıt türüne göre bir sunucu seçin : Alan adını gelen istek kayıt türüne göre çözümlemek için DNS sunucusunu seçin. Gelen istekler A veya AAAA tipinde olabilir.

IPv4 üzerinden IPv6 DNS sunucusunu seçin : Hem IPv6 hem de IPv4 DNS sunucuları yapılandırılmışsa, sorguları çözümlemek için önceliği IPv6 sunucusuna atayın.

IPv6 üzerinden IPv4 DNS sunucusunu seçin : Hem IPv6 hem de IPv4 DNS sunucuları yapılandırılmışsa, sorguları çözümlemek için önceliği IPv4 sunucusuna atayın.

İsteği oluşturan adres IPv6 ise IPv6'yı seçin, aksi halde IPv4 : Bir IPv6 kaynağından bir istek alındığında IPv6 DNS sunucusunu ve bir IPv4 kaynağından bir istek alındığında IPv4 DNS sunucusunu seçin.

  • Bir yapılandırmayı kaydetmek için IP ve sorgu ayarlarını belirtin ve Uygula öğesine tıklayın .
  • DNS sunucusuyla bağlantıyı test etmek için Ad aramayı test et öğesine tıklayın ve bir IP adresi veya ana bilgisayar adı yazın.

DNS ana bilgisayar girişi

Belirli ana bilgisayar veya alan adlarına yönelik istekleri, DNS ana bilgisayar girişlerini kullanarak çözümleyebilirsiniz. Kullanıcının talep ettiği ana bilgisayar, DNS ana bilgisayar girişiyle eşleşirse cihaz, belirtilen IP adresini kullanarak sorguyu çözümler. Bu, daha hızlı çözüm sağlar ve yetkili DNS sunucusuna yapılan sorguları azaltır.

DNS istek yolu

Ağınızdaki DNS sunucuları üzerinden harici alan adı isteklerini, DNS istek yollarını kullanarak çözümleyebilirsiniz. Bu, daha hızlı çözünürlük sağlar, ağ üzerindeki internet trafiğini azaltır ve internette daha az DNS bilgisi açığa çıktığı için güvenliği artırır.

DNS ana bilgisayar girişi ekleme

Belirli ana bilgisayar veya alan adlarına yönelik istekleri, DNS ana bilgisayar girişlerini kullanarak çözümleyebilirsiniz. Kullanıcının talep ettiği ana bilgisayar DNS ana bilgisayar girişiyle eşleşiyorsa cihaz, belirtilen IP adresini kullanarak sorguyu çözer.

  1.  > DNS'ye gidin .
  2. DNS ana bilgisayar girişi bölümüne ilerleyin ve Ekle'yi tıklayın .

  3. Ayarları belirtin.

    SeçenekTanım
    Ana Bilgisayar/Alan adı Ana bilgisayar veya etki alanı için tam nitelikli etki alanı adı (FQDN).
    Giriş türü Ana bilgisayar için bir IP adresi yazın veya ana bilgisayar olarak yapılandırılacak bir arayüz seçin.
    IP adresi Ana bilgisayarın IP adresi.
    Yaşama zamanı Etki alanı için DNS aramasının gerçekleştiği aralık (saniye cinsinden).

    TTL (yaşam süresi), bir DNS kaydı değişikliğinin etkili olmasının ne kadar süreceğini belirler. Etki alanının DNS kaydı bir sonraki aramaya kadar önbelleğe alınır.

    Sophos Güvenlik Duvarı, DNS kaydındaki TTL değeri yerine varsayılan aralıkta localhost'a çözümlenen etki alanları için DNS aramaları gerçekleştirir. Varsayılan aralığı değiştirmek için CLI yardımına gidin.
    Ağırlık Trafiğin yükünü dengelemek için ağırlık. Cihaz, trafiği tek tek bağlantılara atanan ağırlıklarla orantılı olarak bağlantılar arasında dağıtır. Ağırlık, WAN bağlantı yöneticisi sayfasında listelenen diğer bağlantılara göre belirli bir bağlantıdan ne kadar trafiğin geçtiğini belirler.
    WAN'da yayınla DNS ana bilgisayar girişini WAN'da yayınlayın.
    Bu ana makine girişi için ters DNS araması ekleyin IP adresinin belirlenen alan adına çözümlenmesine izin verin.

    Ters DNS araması için aşağıdaki kısıtlamalar geçerlidir:

    • Aynı IP adresine çözümleyen birden fazla ana bilgisayar varsa ters DNS araması, IP adreslerinden yalnızca biri için yapılandırılabilir.
    • Yalnızca A, AAAA ve PTR tipi DNS kayıtları desteklenir.
    • Adres (A) kayıtları, bir ana bilgisayar adını bir IP adresine işaret eder ve 32 bitlik bir IPv4 adresi döndürür.
    • AAAA kayıtları, bir ana bilgisayar adını bir IP adresine yönlendirir ve 128 bitlik bir IPv6 adresi döndürür.
    • Geriye doğru aramalar için işaretçi kayıtları (PTR) kullanılır. IP adresini bir ana bilgisayar adına eşlerler.
    • Desteklenen maksimum DNS girişi 1024'tür.
    • İstemci sisteminde cihaz arayüzü DNS olarak kullanılıyorsa, KÖK sunucularını sorgulamadan önce yapılandırılmış DNS sunucularına bir sorgu gönderilir.

  4. Kaydet'i tıklayın .

DNS istek yolu ekleme

Ağınızdaki DNS sunucuları üzerinden harici alan adı isteklerini, DNS istek yollarını kullanarak çözümleyebilirsiniz.

Sophos Firewall'u bir DNS sunucusu gibi davranacak şekilde ayarlamanız gerekir. Bunu yapmak için DNS ayarlarınızı  > DNS > DNS yapılandırması altında yapılandırın .

Etki alanı adlarını ileticiler veya kök sunucular yerine alternatif bir DNS sunucusu aracılığıyla çözümlemek istiyorsanız, o sunucu için bir DNS istek yolu yapılandırabilirsiniz. Önbellek araması başarısız olursa DNS sorgusu ileticilere veya kök sunuculara iletilmez. Bunun yerine istek yolu girişine eklenen hedef sunuculara yönlendirilir.

  1.  > DNS'ye gidin .
  2. DNS istek yolu bölümüne ilerleyin ve Ekle'yi tıklayın .

  3. Ayarları belirtin.

  4. SeçenekTanım
    Ana Bilgisayar/Alan adı Dahili DNS sunucusunu kullanmak istediğiniz etki alanını girin.
    Hedef sunucular Yukarıda belirtilen etki alanını çözümlemek için kullanılacak DNS sunucularını seçin. Ana bilgisayar listesine sunucu adını yazarak bir sunucu arayabilirsiniz. Sunucu yoksa oluşturabilirsiniz. Sophos Güvenlik Duvarı, seçilen ana bilgisayarlardan etki alanını belirtilen sırayla çözümlemeye çalışır.

    En fazla sekiz IP adresi ekleyebilirsiniz.

  5. Kaydet'i tıklayın .

Gelen DNS yük dengelemesini ve yük devretmeyi yapılandırma

Sophos Güvenlik Duvarı'nın arkasında barındırılan tek bir web sitesi için birden fazla DNS ana bilgisayar girişi ekleyebilirsiniz; bu, gelen DNS yük dengelemesine olanak tanır.

güvenlik duvarının www.example.com web sitesine yönelik tüm istekleri 10.10.10.1 veya 20.20.20.1 WAN bağlantısı IP adreslerinden herhangi birine çözümlemesi için statik DNS ana bilgisayar girişlerini nasıl yapılandırabileceğiniz açıklanmaktadır. Bağlantılardan herhangi biri başarısız olursa, güvenlik duvarı tüm istekleri etkin arayüzün IP adresine çözer. Bu, gelen DNS yük dengelemesini ve yük devretmeyi kolaylaştırır.

www.example.com için bir kullanıcı isteğinin izlediği adımlar aşağıdaki şemada gösterilmektedir:

sophos firewall destek kolay teknoloji

 
  1. Bir uç nokta bilgisayarı, yerel bir DNS sunucusuna http://www.example.com IP adresini isteyen bir istek gönderir.
  2. Yerel DNS sunucusu bu isteği yetkili DNS sunucusuna iletir.
  3. Yetkili DNS sunucusu, yerel DNS sunucusuna önceden kayıtlı NS kayıtları ns1.example.com ve ns2.example.com ile yanıt vererek isteği doğrudan Sophos Güvenlik Duvarına yönlendirir.
  4. Yerel DNS sunucusu da http://www.example.com IP adresini Sophos Güvenlik Duvarı'nda sorgular. Sorgu, aktif WAN bağlantılarından herhangi biri aracılığıyla güvenlik duvarına ulaşır.
  5. Sophos Firewall, yerel DNS sunucusuna, isteği alan arayüzün WAN IP adresi olan 20.20.20.1 ile yanıt verir.
  6. Yerel DNS sunucusu, uç nokta bilgisayarına Sophos Firewall'dan alınan IP adresi olan 20.20.20.1 ile yanıt verir.
  7. Uç nokta bilgisayarı daha sonra http://20.20.20.1 HTTP isteğini kullanarak www.example.com'a erişir.
  8. Güvenlik duvarındaki DNS statik ana bilgisayar girişleri aracılığıyla hem WAN Bağlantıları 10.10.10.1 hem de 20.20.20.1'e bağlanan www.example.com, 172.16.16.5'i barındıran web sunucusu, uç nokta bilgisayarının HTTP isteğine ilgili içerikle yanıt verir.