fortigate

[fortigate]DNS 過濾

他會使用到fortiguard SDNS服務來進行DNS查詢,他因為直接從DNS下手,所以功能很簡單不太號資源。

運作方式

當使用者上網去查詢DNS時,使用者可能有自己設定的168.95.1.1的DNS這沒關係。當Fortifate發現有人在查詢DNS時,他同時也會把這一筆DNS拿去查fortiguard的 SDNS伺服器他的分類,當查詢到這筆DNS分類應該是要block掉的話,此時User的DNS server(168.95.1.1)回傳回來的那個資料就會被擋下來,會被我們複寫成一個阻擋頁面的IP(我們後面會設定到),使用者打開就是會出現網頁被封鎖的畫面,反之則通過。

但是要注意,這個功能只有複寫掉DNS的查詢而已,要是使用者自己有DNS的紀錄了(可能之前上過),或是他直接連IP那他還是可以去上他想要的網站。

[功能]重導 botnet C&C 訪問要求到阻擋頁面

這個功能顧名思義,不過他的資料庫來源來自於防毒更新訂閱(IPS授權內),所以你要是訂閱過期了的話,就不會有新的資訊近來就是。

[功能]FortiGuard Category Based 過濾器(需付費授權)

這個功能跟我之前寫過[FORTIGATE]網頁過濾 這篇文章的分類過濾一樣,會針對你的domain來做一個分類過濾,所以你可以直接從這邊過濾掉整個色情網站的分類,就不用還要一個一個去找遍全世界的色情網站的domain來阻擋,以免被老闆罵上班怎一直在看。這個功能也是需要訂閱的,你在設定時雖然他不會告訴你,但是你要是沒有訂閱的話,你連所有網站都會變成被阻擋的頁面。

[功能]域名過濾器

他有支援一般domain或是你用正規表示、萬用字元都可以,可以讓她允許(Allow)、監看(monitor)、重新導向到阻擋入口頁面。這個功能跟網頁過濾的功能一樣,是優先於類別過濾的

檢查流程

這張圖我從網頁過濾拿過來的,基本上流程是依樣

[功能]DNS 轉譯

這個功能會把DNS解析出來的IP換成你想要的IP,就有點像是DNS汙染的概念。假如test.davidou.org解析出來IP是211.77.77.77 我把它更改192.168.2.1 這時候使用者上這個網站,他拿到的DNS 解析出來IP就會變成192.168.2.1就會被導向過去了。你可以在cmd命令提示字元PING測試看看就知道了。

你在上面設定時會發現一個遮罩功能,它可以讓你把整個段的ip全部一起轉過去,例如照上面第一條的設定,211.75.72.123就會被轉到192.168.2.123去,因為我遮罩設定255.255.255.0

[功能]重導目的地 IP

當DNS需要被阻擋時,我們就可以把它複寫成我們這邊設定的IP,可以使用fortigard預設的IP(應該是208.91.112.55)或是你想自己指定一個也是可以

[功能]紀錄所有 DNS 詢問及回應

你如果有開啟這功能,你就會在你的日誌與報表->dns查詢這個分頁看到你的使用者dns查詢的Log紀錄

Be the First to comment.

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

(若看不到驗證碼,請重新整理網頁。)