Cato DNS是什么?

本文解释了DNS如何与Cato Cloud协作,以及如何使用Cato DNS服务器或受信任的公共DNS服务器和内部DNS服务器与您的账户进行交互

概览

Cato可以为您的账户提供DNS服务并充当DNS服务器。 当DNS查询从Socket、IPsec站点或Cato客户端后面发送时,PoP拦截、检查并尝试使用其自身的DNS缓存解析查询。 如果查询没有DNS缓存条目,PoP会将请求转发给其全球受信任的DNS服务器之一。

若要使用Cato DNS服务器,无需在Cato管理应用程序(CMA)中进行更改。 默认情况下,Cato为您的账户提供DNS服务并充当您的DNS服务器。 Cato使用以下DNS服务器:

  • 主要服务器:10.254.254.1(Cato DNS服务器)

  • 次要服务器:8.8.8.8(Google DNS服务器)

如果没有在DNS设置页面上配置DNS服务器,则将应用这些配置。

您可以配置DNS设置以便您的账户使用私有DNS服务器。 使用Cato DNS服务可提供安全保护和优势。 该服务处理所有DNS请求并生成响应,这使Cato能够根据您的DNS保护配置检查请求。 如果需要,可以将DNS查询安全地转发到可信的全球DNS提供商,包括8.8.8.8、1.1.1.1和9.9.9.9。

注意

注意:未针对到Cato DNS服务器(10.254.254.1)的DNS流量生成防火墙事件。

您还可以使用CMA配置Cato以解析私有DNS服务器。

受信任和不受信任的DNS服务器

被验证为安全的全球DNS服务被Cato视为受信任的DNS服务器。 其他DNS提供商被视为不受信任的DNS服务器。 受信任和不受信任DNS服务器的DNS行为不同。 有关更多信息,请参见使用受信任的DNS服务器

远程用户的DNS设置

当远程用户连接到您的网络时,您的账户DNS设置将被应用。 您可以使用DNS设置策略为用户或用户组应用特定的DNS设置。

办公室模式下的DNS设置

当客户端用于位于Cato Socket或IPsec站点的办公室时,它会自动进入办公室模式。 它在不使用加密隧道的情况下连接到站点。 在此情境下,设备使用账户或站点中配置的DNS设置。 如果用户在设备上定义了本地DNS服务器,则会使用该本地DNS服务器。

始终开启绕过模式

始终开启策略为客户端始终连接到Cato Cloud定义规则。 如果始终强制被绕过,设备将使用本地DNS设置,因为流量未路由到Cato云。

处理DNS查询

当一个PoP从一个Socket DTLS隧道、IPsec隧道或Cato客户端隧道接收到DNS查询时,PoP会检查查询的目标IP地址。 当查询的目标IP地址与受信任的DNS服务器匹配时,PoP会检查账户是否启用DNS 转发。 然后PoP将查询转发到已配置的DNS服务器。

对于不使用DNS转发的账户,PoP尝试使用其自身的DNS缓存来解析查询。 当PoP能够解析查询时,它会生成DNS响应。 如果查询没有DNS缓存条目,PoP会将请求转发给其全球DNS服务器之一,并执行以下操作:

  1. PoP将请求的目标IP地址从受信任的DNS服务器修改为全球DNS服务器的IP地址。 UDP端口不变。

  2. PoP对请求的源IP地址执行SNAT操作到其自身的公共IP地址(Cato的公共范围),从而隐藏源组织。

  3. 当PoP从全球DNS服务器接收到DNS响应时,它会将源和目标IP地址修改为原始值,并将响应转发回源。 PoP缓存从全球DNS服务器接收到的A或CNAME类型响应,并强制执行其TTL。

如果DNS查询的目标IP地址不是受信任的DNS服务器,并且没有定义内部DNS服务器,则PoP会将此查询发送到其目标IP地址,作为常规WAN或互联网流量。 查询的目标IP不变。

对于公共DNS查询,PoP使用NAT将源IP地址转换为Cato的公共范围IP地址之一。 在此情况下,PoP不执行DNS转发或DNS响应缓存。

PoP缓存中维护的DNS查询时间取决于DNS服务器的TTL。 例如,TTL为86400的DNS记录将在缓存中保留24小时。

如果启用了DNS转发,PoP不会缓存DNS响应。

注意

注意:Cato Networks不支持以下DNS类型:

  • DNS通过TLS

  • DNS通过HTTPS

使用DNS设置的层次结构

您可以在CMA中不同的对象上配置DNS设置,例如:整个账户的设置和特定群组的设置。 当这些对象之间发生冲突时,优先考虑距离用户主机最近的实体:

  1. 用户 - 离主机最近且优先级最高

  2. 站点

  3. 群组

  4. 账户 - 优先级最低

换句话说,如果站点和账户有不同的DNS设置,由于站点的优先级高于账户,将使用站点的DHCP设置。

DHCP选项优先于并覆盖账户、组、站点或用户的DNS设置。

为账户配置DNS设置

您可以为整个账户配置以下DNS设置:

DNS_Relay.png

注意

注意:您可以用自定义DNS服务器替换Cato Cloud的默认服务器。 在这种情况下,需要将以下DNS记录添加到您的DNS服务器中以保持服务功能:

  • vpn.catonetworks.net - 10.254.254.5(或自定义保留服务范围IP地址x.y.z.2)

  • tunnel-api.catonetworks.com - 10.254.254.3(或自定义保留服务范围IP地址x.y.z.7)

然而,对于通过Cato Cloud发送流量的自定义DNS服务器,您无需添加这些DNS记录。 PoPs可以为自定义服务器解析DNS查询。

Cato DNS安全保护

Cato的入侵防护系统服务包括DNS保护,分析DNS请求和响应,并提供基于声誉、行为签名和启发式的保护。 恶意DNS请求将在主机与恶意服务器之间建立连接之前被阻止(无TCP或UDP握手)。

Cato提供多种类型的DNS保护,例如恶意域名、网络钓鱼活动、DNS隧道等。 有关更多信息,请参阅自定义IPS的DNS保护

这篇文章有帮助吗?

1 人中有 1 人觉得有帮助

0 条评论