1. 概述
1.1. 需求
目前在网络的发展下,病毒攻击层出不穷,为了防护针对DNS的挖矿等病毒入侵,客户提出无论是用户访问内网还是外网,都需要用集团内网的DNS进行解析域名,去进行访问。
1.2. 实现难点和解决方式
问题1:外网用户访问DNS,需要网络可以通信
解决:将DNS服务器以资源的方式发布出来
问题2:零信任无法改变本地的DNS地址,只能改变零信任的网卡DNS地址,无法保障去访问外网用其他网卡进行访问。
解决:开启“零信任DNS服务器自动为隧道应用”功能,此功能可以对所有流量进行引流
问题3:安全保障性
解决:奇安信的天擎进行终端防护,若没有安装则无法访问零信任
2. 测试方案
2.1. 原理
开启 dns 强制下发功能后,在 PC 上通过 ipconfig /all 会看到本地 dns 中多了一个198.18.0.1的 dns 地址。当用户访问域名时,相关 dns 解析请求会被该 dns 引流到 aTrust 虚拟网卡,当 dns 请求到达 aTrust 虚拟网卡后,会通过隧道将 dns 请求引流至代理网关并转发到内网的 dns 服务器,然后由内网 dns 服务器处理该 dns 解析请求。
2.2. 测试方案部署
1:首先开启DNS功能,并对DNS服务器IP地址进行下发(以隧道的形式)
注:在这里开启“DNS服务器自动配置为隧道应用”之后,其PC的全量流量都会优先匹配其发布的DNS服务器地址(优于PC网卡上的DNS地址)
将零信任的虚拟网卡的DNS放在所有DNS解析的第一位
步骤二:内网测试
可在PC上测试是否可以解析内网域名,在cmd上执行nslookup命令
输入内网域名,进行解析,若成功,则内网DNS解析确认成功
步骤三:外网进行测试,同上可以使用nslookup命令
解析百度:
说明访问此外网域名,可以通过零信任设置的内网DNS服务器进行解析,并成功(这个时候也可以在内网DNS服务器查看日志)
若解析不成功。则会调用其他的DNS服务器进行解析,若其他DNS服务器解析成功,则表示目前内网DNS服务器没有这个域名对应的A记录,若其他DNS也解析失败,则表示无这个域名
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2022-10-27 21:08
