【简介】如果启用DNS过滤,必须使用FortiGuard DNS服务进行DNS查找。DNS查找请求发送到FortiGuard DNS服务返回,其中包括IP地址和web网页的FortiGuard分类域名评级。
阻止对已知僵尸网络C&C地址的DNS请求
飞塔防火墙有一个动态更新的僵尸网络C&C地址数据库,当对这些僵尸网络地址进行访问时,DNS过滤会匹配数据库,并进行阻止。
① 选择菜单【系统管理】-【FortiGuard】,在〖FortiGuard分布网络〗可以看到【僵尸网络IP】和【僵尸网络域名】,这个数据库不能手动更新,在UTM服务期内会自动更新。
② 选择【僵尸网络IP】后面的【条目】,可以看到有3万多个IP地址和端口。这些都是FortiGuard研究所搜集整理并更新的。
③ 选择【僵尸网络域名】后面的【条目】,可以看到有6万多个域名。这个数字还会随时增加。当在DNS过滤里启用僵尸网络过滤里,这些IP和域名都会被阻止访问。
④ 在命令状态下,通过 get system status 命令,可以看到僵尸网络数据库的版本号及更新时间。
DNS过滤配置
DNS过滤可应用于基于代理和基于流模式,基于代理的优点是检测可以比其他方法更彻底,在数据分析中产生的假阳性或阴性结果较少。
① 选择菜单【系统管理】-【设定】,将System Operation Settings下的〖检测模式〗设置为【代理】。
③ 选择菜单【安全配置文件】-【DNS过滤器】,显示默认default配置,可以直接在这个配置上进行修改,也可以新建一个配置。如果启用【阻断发送到botnet C&C的DNS请求】,那么这个数据库里的所有地址都会阻止访问。
④ 如果UTM在服务期内,启用【基于FortiGuard分类的过滤器】,当DNS查询时,会先通过互联网上的FortiGuard DNS服务,然后返回IP地址和web网页的FortiGuard分类域名评级。可以修改分类的动作,例如上面禁止多媒体的下载,以保证带宽。
⑤ 虽然FortiGuard DNS服务可以满足绝大多数需求,可是如果有找不到的,我们还是要继续走其它DNS,所以启用【当发生分级错误时允许DNS请求】,还有一种情况,当网络不稳定或UTM即将到期,也可以启用这个功能,这样即使FortuGuard DNS服务不能访问了,也可以通过其它DNS查询。
⑥ 除了僵尸网络数据库和远程FortiGuard DNS服务外,我们还可以手动设置某些不想访问的网站。启用【域过滤】,选择【新建】。
⑦ 在编辑域过滤器窗口,这里我们设置阻断域名是sina.com.cn的所有网站。可以建立多条域过滤器,根据顺序执行。
⑧ 要想让DNS过滤起作用,还需要在上网策略里启用【DNS过滤】,这里配置文件为默认的default,当然也可以新建配置文件。
效果测试测试的时候,最好先清除浏览器里的缓存。
① 访问新浪新闻网站,显示网页被阻止的提示,这就是DNS过滤在起作用了。
② 访问新浪体育网站,网页一样被阻止了,符合过滤条件 *.sina.com.cn。
飞塔技术-老梅子 QQ:57389522
