ما هو DNS كاتو؟

توضح هذه المقالة كيفية عمل DNS مع كاتو كلاود, وكيف يمكنك استخدام خادم DNS كاتو أو خوادم DNS العامة والداخلية الموثوقة مع حسابك

نظرة عامة

يمكن لكاتو أن يوفر خدمات DNS لحسابك ويتصرف كخادم DNS. عندما يتم إرسال استعلام DNS من وراء سوكت أو موقع IPsec أو عميل كاتو، يقوم PoP باعتراض وتفتيش وحل الاستعلام باستخدام ذاكرته المخبأة DNS الخاصة به. إذا لم يكن هناك إدخال ذاكرة مخبأة للاستعلام، يقوم PoP بإرسال الاستعلام إلى واحد من خوادم DNS الموثوقة العالمية.

لا يلزم تغيير لإستخدام خادم DNS كاتو داخل تطبيق إدارة كاتو (CMA). بشكل افتراضي، يوفر كاتو خدمة DNS لحسابك ويتصرف كخادم DNS الخاص بك. يستخدم كاتو خوادم DNS التالية:

  • الخادم الرئيسي: 10.254.254.1 (خادم DNS كاتو)

  • الخادم الثانوي: 8.8.8.8 (خادم DNS جوجل)

يتم تطبيق هذه الإعدادات إذا لم يتم تكوين خوادم DNS في صفحة إعدادات DNS.

يمكنك تكوين إعدادات DNS بحيث يستخدم حسابك خوادم DNS خاصة. استخدام خدمة DNS كاتو يوفر حماية وأفضليات أمنية. تعالج الخدمة جميع طلبات DNS وتولد الردود، مما يتيح لكاتو تفتيش الطلبات بناءً على تكوين حماية DNS الخاص بك. إذا لزم الأمر، يتم إرسال طلبات DNS بشكل آمن إلى جهات تقديم DNS العالمية الموثوقة والتي تشمل 8.8.8.8، 1.1.1.1، و9.9.9.9.

ملاحظة

ملاحظة: لا يتم توليد أحداث جدار الحماية لحركة مرور DNS إلى خادم DNS كاتو (10.254.254.1).

يمكنك أيضًا استخدام CMA لتكوين كاتو لحل الخوادم DNS الخاصة.

خوادم DNS الموثوقة وغير الموثوقة

تعتبر خدمات DNS العالمية التي تم التحقق منها بأنها آمنة بواسطة كاتو كخوادم DNS موثوقة. يعتبر مقدمو DNS الآخرين خوادم DNS غير موثوقة. يكون سلوك DNS مختلفاً بالنسبة لخوادم DNS الموثوقة وغير الموثوقة. لمزيد من المعلومات، انظر استخدام خوادم DNS الموثوقة.

إعدادات DNS للمستخدمين البعيدين

عندما يتصل مستخدم بعيد بشبكتك، يتم تطبيق إعدادات DNS الحساب الخاصة بك. يمكنك تطبيق إعدادات DNS محددة للمستخدمين أو مجموعات المستخدمين باستخدام سياسة إعدادات DNS.

إعدادات DNS في وضع المكتب

عندما يتم استخدام العميل في مكتب خلف سوكت كاتو أو موقع IPsec، يدخل تلقائيًا في وضع المكتب. يتصل بالموقع دون استخدام النفق المشفر. في هذا السيناريو:

  • الأجهزة التي تعمل بنظام Windows تستخدم إعدادات DNS الخاصة بالجهاز

  • الأجهزة التي تعمل بنظام ماك أو إس تستخدم إعدادات DNS المحددة في حسابك.

وضع تجاوز التشغيل الدائم

تعرف سياسة التشغيل الدائم قواعد عندما يتصل العميل دائمًا بكاتو كلاود. إذا تجاوزت التشغيل الدائم:

  • الأجهزة التي تعمل بنظام Windows تستخدم إعدادات DNS الخاصة بالجهاز

  • الأجهزة التي تعمل بنظام ماك أو إس تستخدم إعدادات DNS المحددة في حسابك.

معالجة استعلامات DNS

عندما يتلقى PoP استعلام DNS من نفق DTLS الخاص بسوكت، نفق IPsec، أو نفق عميل كاتو، يتحقق PoP من عنوان IP الوجهة للاستعلام. عندما يتطابق عنوان IP الوجهة للاستعلام مع خادم DNS موثوق، يقوم PoP بالتحقق إذا كان توجيه DNS مفعل للحساب. ثم يقوم PoP بإرسال الاستعلام إلى الخادم(ات) DNS المُكوّن.

للحسابات التي لا تستخدم توجيه DNS، يحاول PoP حل الاستعلام باستخدام ذاكرته المخبأة DNS الخاصة به. عندما يستطيع PoP حل الاستعلام، فإنه يولد رد DNS. إذا لم يكن هناك إدخال ذاكرة مخبأة للاستعلام، يقوم PoP بإرسال الاستعلام إلى أحد خوادم DNS العالمية الخاصة به، ويقوم بالأعمال التالية:

  1. يقوم PoP بتعديل عنوان IP الوجهة للاستعلام من خادم DNS موثوق إلى عنوان IP خادم DNS العالمي. لا يتم تغيير منفذ UDP.

  2. يقوم PoP بإجراء SNAT على عنوان IP المصدر للاستعلام إلى عنوان IP العام الخاص به (نطاق العام لكاتو)، مما يخفي مصدر المنظمة.

  3. عندما يتلقى PoP رد DNS من خادم DNS العالمي، فإنه يعدل عناوين IP المصدر والوجهة إلى القيم الأصلية ويرسل الرد مرة أخرى إلى المصدر. يخزن PoP الردود من نوع A أو CNAME التي يتلقاها من خوادم DNS العالمية ويطبق TTL الخاص بها.

إذا لم يتطابق عنوان IP الوجهة لاستعلام DNS مع خادم DNS موثوق، ولم يتم تعريف خادم DNS داخلي، يقوم PoP بإرسال هذا الاستعلام إلى عنوان IP الوجهة كحركة مرور عادية أو إنترنت. لم يتم تغيير عنوان IP الوجهة للاستعلام.

بالنسبة للاستعلامات DNS العامة، يستخدم PoP NAT لترجمة عنوان IP المصدر إلى أحد عناوين IP النطاق العام لكاتو. في هذه الحالة، لا يقوم PoP بإجراء توجيه DNS أو تخزين الردود DNS.

مدة بقاء الاستعلامات DNS في ذاكرة PoP تعتمد على TTL من خادم DNS. على سبيل المثال, السجل DNS مع TTL قدره 86400 سيتم تخزينه ل 24 ساعة

إذا تم تفعيل توجيه DNS، فإن PoP لا يخزن الردود DNS.

ملاحظة

ملاحظة: لا يدعم كاتو الشبكات أنواع DNS التالية:

  • DNS عبر TLS

  • DNS عبر HTTPS

العمل مع الهرم لإعدادات DNS

يمكنك تكوين إعدادات DNS على كائنات مختلفة في CMA، على سبيل المثال: الإعدادات للحساب بالكامل، وللمجموعات المحددة. عندما يكون هناك تعارض بين هذه الكائنات، تكون الأسبقية للكيان الأقرب إلى المضيف للمستخدم:

  1. المستخدمون - الأقرب إلى المضيف والأسبقية العليا

  2. المواقع

  3. المجموعات

  4. الحساب - الأسبقية الأدنى

بعبارة أخرى، إذا كانت هناك إعدادات DNS مختلفة لموقع وللحساب، يتم استخدام إعدادات DHCP للموقع لأن الموقع له أسبقية أعلى من الحساب.

تأخذ خيارات DHCP الأسبقية وتجاوز إعدادات DNS للحساب أو المجموعة أو الموقع أو المستخدم.

تكوين إعدادات DNS للحساب

يمكنك تكوين إعدادات DNS التالية للحساب بالكامل:

DNS_Relay.png

ملاحظة

ملاحظة: يمكنك استبدال الخوادم الافتراضية لكاتو كلاود بخوادم DNS مخصصة. في هذه الحالة، يجب إضافة السجلات DNS التالية إلى خوادم DNS الخاصة بك للحفاظ على وظيفة الخدمة:

  • vpn.catonetworks.net - 10.254.254.5 (أو عنوان IP نطاق الخدمة الاحتياطية المخصصة x.y.z.2)

  • tunnel-api.catonetworks.com - 10.254.254.3 (أو عنوان IP نطاق الخدمة الاحتياطية المخصصة x.y.z.7)

ومع ذلك، بالنسبة لخوادم DNS المخصصة التي ترسل حركة المرور عبر كاتو كلاود، لا تحتاج إلى إضافة هذه السجلات DNS. يمكن أن تحل PoPs استعلامات DNS للخوادم المخصصة.

حماية DNS الأمنية لكاتو

تشمل خدمة IPS الخاصة بكاتو حماية DNS التي تحلل طلبات واستجابات DNS وتوفر الحماية بناءً على السمعة وتواقيع السلوك والتحليل الشامل. يتم حظر طلبات DNS الضارة قبل أن يكون هناك اتصال بين المضيف والخادم الضار (بدون مصافحة TCP أو UDP).

يوفر كاتو أنواع متنوعة من حماية DNS، على سبيل المثال، النطاقات الضارة، حملات التصيد الاحتيالي، نفق DNS، والمزيد. لمزيد من المعلومات، انظر تخصيص الحمايات DNS لـ IPS.

هل كان هذا المقال مفيداً؟

1 من 1 وجدوا هذا مفيداً

لا توجد تعليقات