|
防火墙主动DNS和被动DNS缓存功能说明
一、功能简介 防火墙的应用控制策略可以针对域名来进行访问控制,但是域名对应的IP地址是如何获取的呢?这时候就要了解防火墙的主动DNS和被动DNS功能,防火墙正是依靠这种功能去获取对应域名的IP地址,然后缓存下来,当出现域名访问控制策略的时候,会和缓存的域名及IP地址进行对比,来决定这个策略是运行还是拒绝!
二、功能原理 主动DNS:当防火墙设备上已经配置了DNS服务器地址的时候,并且在新增域名的时候选择主动探测(默认是主动探测)。这时候域名对应的IP地址的获取,是防火墙主动去DNS服务器处去获取域名对应的IP地址,然后缓存下来。
被动DNS:当防火墙没有配置DNS服务器地址或者DNS服务器地址无法访问的时候,在新增域名中选择主动探测或者被动探测,都会当作被动探测去获取域名对应的IP地址。 获取过程:当主机去访问域名,数据包经过防火墙到DNS服务器的时候,DNS服务器会返回A记录,当返回的数据过防火墙的时候,防火墙会主动截取这个A记录,记录到缓存文件中,以此来对比域名访问控制中的域名和IP地址。
注意:当防火墙配置DNS服务器后,也可以选择被动探测的方式去缓存域名和IP的对应关系。 当存在内网DNS服务器时候,在防火墙后的话,存在匹配不准的情况,建议都使用主动探测。
三、功能演示 拓扑如图: 3.1、主动DNS演示 防火墙配置DNS服务器地址:8.8.8.8 防火墙做策略允许访问www.baidu.com的策略,当未配置主动探测的时候,防火墙只会缓存域名信息,IP地址是NULL,如图:使用命令 show netobj-domains
当防火墙在新增域名处选择主动探测的时候,再次使用命令查看,可以看到已经有对应域名的IP地址缓存出现。
3.2、被动DNS演示 防火墙未配置DNS服务器地址
3.3、已配置DNS服务器不可达情况下,选择主动探测,这时候是被动DNS的效果,相当于被动DNS是兜底的情况。 防火墙配置DNS地址:1.1.1.1(不可达) 这时候在防火墙上查看缓存情况,可以看到未获取到IP地址。
四、功能使用场景 让客户去选择主动或者被动缓存域名及其对应IP地址,不过建议都使用主动探测方式,比较保险。
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-2-1 15:01
工程师3级 
