Ideco NGFW
Скачать PDF
vpp-v18
vpp-v18
  • Об Ideco NGFW VPP
  • Общая информация
    • Виды и состав лицензий
    • Системные требования и источники данных
    • Техническая поддержка
  • Быстрый старт
    • Рекомендации при первоначальной настройке
    • MY.IDECO
    • Подготовка к установке на устройство
      • Настройка гипервизора
      • Подготовка загрузочного диска
    • Установка
    • Первоначальная настройка
    • Регистрация сервера
  • Настройка Ideco NGFW VPP
    • Панель мониторинга
    • Пользователи
      • Учетные записи
        • Настройка клиентских машин
      • Авторизация пользователей
        • IP и MAC авторизация
        • Авторизация по подсетям
    • Интеграция с Active Directory/Samba DC
      • Импорт пользователей
      • Аутентификация пользователей AD/Samba DC
        • Настройка сервера Active Directory
        • Настройка клиентских машин
    • ALD Pro
    • Мониторинг
      • Авторизованные пользователи
      • График загруженности
      • Telegram-бот
      • SNMP
      • Zabbix-агент
    • Правила трафика
      • Файрвол
      • Ограничение скорости
      • Предотвращение вторжений
      • Объекты
    • Профили безопасности
      • Контроль приложений
        • Особенности создания профилей
        • Пример создания иерархической структуры
        • Настройка фильтрации трафика, для которого в таблице FORWARD нет правил
      • Предотвращение вторжений
      • Контент-фильтр
        • Изменение страницы блокировки Контент-фильтра
      • TLS/SSL-инспекция
        • Настройка фильтрации HTTPS
    • Сервисы
      • Сетевые интерфейсы
      • Маршрутизация
      • BGP
      • DNS
      • NTP-сервер
      • Сертификаты
        • Загрузка SSL-сертификата на сервер
        • Создание самоподписанного сертификата c помощью Powershell
        • Создание сертификата c помощью openssl
    • Отчеты и журналы
      • Системный журнал
      • События безопасности
      • Действия администраторов
      • Журнал авторизации
      • Конструктор отчетов
      • Syslog
    • Управление сервером
      • Администраторы
      • Кластеризация
      • Обновления
        • Настройка кластера
      • Бэкапы
      • Терминал
      • Лицензия
      • Дополнительно
  • Диагностика проблем
    • Проблемы при авторизации пользователей
    • Восстановление пароля администратора
    • Примеры диагностики через терминал
    • Удаленный доступ к серверу
  • changelog
    • Ideco NGFW VPP 18.X
    • ФСТЭК Ideco UTM 16.X
Powered by GitBook
On this page
  • Внешние DNS-серверы
  • Forward-зоны

Was this helpful?

  1. Настройка Ideco NGFW VPP
  2. Сервисы

DNS

Сервер DNS преобразует человеко-читаемые имена серверов в IP-адреса. Настройка производится в разделе Сервер -> DNS.

PreviousBGPNextNTP-сервер

Last updated 6 months ago

Was this helpful?

Внешние DNS-серверы

Внешние DNS-серверы позволяют указать DNS-серверы во внешних сетях, через которые будут разрешаться доменные имена, запрашиваемые из Control Plane интерфейса. Это означает, что пользовательские запросы не будут перехватываться и обрабатываться. Если DNS-серверы не указаны, то сервер будет разрешать имена в интернете, используя корневые DNS-серверы.

Конфигурация не будет работать, если вышестоящий роутер перехватывает DNS-запросы. В этом случае рекомендуем указать DNS-серверы вручную:

  • Выбрать Задать вручную и указать IP-адрес DNS-сервера;

  • Использовать опцию Использовать DNS, выданные подключению, указав нужное подключение.

Рекомендации:

1. Не указывайте 8.8.8.8, 1.1.1.1 или подобные без особой необходимости. Ideco NGFW VPP справится с резолвингом самостоятельно.

2. Не указывайте DNS-сервер внутреннего контроллера домена Active Directory, даже если он может самостоятельно резолвить доменные имена в интернете. При интеграции с AD Ideco NGFW VPP автоматически настроит все необходимое (forward-зону) для работы AD и резолвинга внутренних имен домена. Для резолвинга каких-то особых зон, не связанных с AD, создавайте forward-зону.

3. Не рекомендуем использовать DNS, выданные интернет-провайдером, так как они превышают TTL и долго отвечают. Ideco NGFW VPP настроит автоматически все необходимое для подключения к PPTP/L2TP через доменное имя. Если нужна особая внутренняя доменная зона провайдера, то создавайте forward-зону.

4. Можно указывать DNS-серверы, занимающиеся фильтрацией, если это необходимо (SkyDNS или Яндекс-DNS).

5. Если все DNS-серверы отключены или удалены, то DNS будет работать нормально (Ideco NGFW VPP резолвит имена самостоятельно).

6. Если интернет-провайдер или вышестоящее устройство перехватывает DNS запросы, то использование стандартной конфигурации с корневыми серверами невозможно. Рекомендуем задать серверы вручную или использовать DNS серверы, выданные подключению.

Forward-зоны

Forward-зоны позволяют указать сторонние DNS-серверы (в локальных или внешних сетях относительно NGFW) с указанием конкретных DNS-зон, которые эти серверы обслуживают. Перечисленные возможности DNS-серверов могут использоваться одновременно.

Пример настройки Forward-зоны:

Рассмотрим ситуацию, когда IT-отдел предприятия предоставляет ресурсы для сотрудников в зоне in.metacortex.ru под именами realm1.in.metacortex.ru, sandbox.metacortex.ru и использует для этого DNS-сервер 10.10.10.10. Чтобы обеспечить доступ к ресурсам, выполните следующие шаги:

1. Перейдите в раздел Сервисы -> DNS -> Forward-зоны и нажмите Добавить;

2. Укажите название Forward-зоны и DNS-сервер:

Для резолвинга PTR при интеграции с Active Directory пропишите обратную Forward-зону. Например, для подсети 192.168.1.0/24 в названии зоны нужно прописать 1.168.192.in-addr.arpa: