DNS 和您的 Cato 账户的最佳实践

本文章包含有关 DNS 设置和配置的最佳实践和建议,以改善您的账户。

使用 Cato DNS 的最佳实践

改善内部 DNS 服务器的网络性能

对于不同物理位置的站点,通过为不同站点配置不同的内部 DNS 服务器,可以实现更好的性能。 或者,Cato 的 DNS 服务利用 Cato Cloud 的全球 PoP 位置为您的主机提供快速和全球性的 DNS 解析,可以显著减少 DNS 延迟。 PoP 在缓存中存储 DNS 响应,这样未来的 DNS 请求可以更快速地响应。 连接到 Cato Cloud 并使用 Cato 的 DNS 服务的主机,从其连接的 PoP 获取 DNS 响应(通常是最近的 PoP)。 因此,DNS 响应时间非常快,并且减少了 DNS 延迟。

我们建议您使用 Cato 的 DNS 服务器,并从 Cato Cloud 的全球 PoP 位置中获益。

对于需要本地 DNS 服务器的情况,您可以配置靠近站点的物理服务器。 例如,如果您在纽约和新加坡有站点,可以为每个站点使用不同的本地 DNS 服务器,这样新加坡的 DNS 服务器只解析来自连接到新加坡站点的客户端的 DNS 请求。 连接到纽约站点的客户端,不需要将 DNS 请求发送到新加坡的服务器来解析查询。 这更加高效,并改善了您的网络性能。

有关为站点定义自定义 DNS 服务器的更多信息,请参见 配置 DNS 设置

为故障切换设置主 DNS 和备用 DNS 服务器

Cato 建议您配置两个不同的 DNS 服务器以实现冗余。 将 Cato 的默认 DNS 服务器(10.254.254.1 或 x.y.z3 用于内部 DNS 查询)设置为主要服务器,并将可信的公共 DNS 服务器设置为次要 DNS 服务器。 有关受信任 DNS 服务器的更多信息,请参见 使用受信任的 DNS 服务器。 如果主 DNS 服务器不可用,Cato 将使用备用 DNS 服务器来解析请求。 如果您使用的是内部 DNS 服务器,请配置 DNS 转发以解析内部域名。

注意

注意: DNSSEC 不支持 DNS 转发

对于 macOS 用户,建议仅定义不支持 DNSSEC 的主要/次要 DNS 服务器,例如 10.254.254.1 或内部 DNS 服务器。 从 macOS 13 Ventura 开始,操作系统首选 DNSSEC(Cato 检查不支持)来解析 DNS 查询,这可能会破坏 Cato DNS 转发。 有关更多信息,请参见 macOS Ventura 用户无法通过 Cato 访问内部资源

使用 DNS 转发与远程用户连接

远程用户不通过站点连接,而是直接连接到 Cato Cloud 的 PoP。 因此,如果未正确配置 DNS 设置,远程用户可能会遇到连接问题或无法访问内部资源。 例如,如果您为站点而非远程用户配置 DNS 设置,远程用户将无法访问您域中的这些内部资源。 由于客户端未连接到站点,DNS 服务器无法为其解析 DNS 查询。 因此,您必须为客户端配置 DNS 设置以启用此连接性。

您的账户 DNS 设置将应用于所有站点和远程用户。 如果您对远程用户有特定的 DNS 要求,请启用 DNS策略

保护访客的内部资源

Cato 建议您保护企业资产,并将访问内部 DNS 服务器的权限限制为最佳实践。 例如,规定访问访客网络的人员只能使用公共 DNS 服务器来解析 DNS 查询。 为访客网络创建一个单独的虚拟局域网,并将此网络分配给访客用户组。 然后,只为该组配置公共不受信任的 DNS 服务器的 DNS 设置。 有关受信任网络的更多信息,请参见 使用受信任的 DNS 服务器

具体步骤:

  1. 为站点创建一个访客 WiFi 网络

  2. 为访客用户创建一个 群组,并将访客网络分配给该群组

  3. 为群组定义不受信任的服务器

为远程用户提供 DNS 转发的连通性

Cato 的 DNS 转发功能让您实现网络中本地域的连通性。

远程用户通常不连接到站点而是直接连接到 Cato Cloud。 这意味着没有 DNS 服务器可以为本地域解析 DNS 查询。 我们建议您使用 DNS 转发规则将这些查询转发到相关的内部 DNS 服务器。 服务器解析查询并允许 SDP 用户连接到企业内部资源。

DNS转发仅适用于发送到受信任 DNS 服务器的 DNS 请求(为您的账户配置的 DNS 服务器被视为受信任的)。

您可以为站点或 用户/用户组 配置自定义 DNS 设置。 自定义 DNS 设置优先于账户级 DNS 设置,包括 DNS 转发。 然而,如果 DNS 转发配置为将请求转发到受信任的 DNS 服务器或为账户配置的 DNS 服务器,则使用账户级 DNS 设置。

注意:

  • 对于使用 Cato DNS 服务器的账户,Cato 只能使用默认 DNS 设置转发 DNS 查询

  • DNS 转发可以通过 UDP 或 TCP 处理 DNS 请求

  • PoP 不会在缓存中存储 DNS 转发请求

将 DNS 流量转发到 Cato

对于基于DNS的网络规则和防火墙规则(例如TLD、完全限定域名 (FQDN),和应用程序),DNS流量必须使用已定义或受信任的账户DNS服务器。 否则,这些基于DNS的规则不会应用于流量。

如果您有内部DNS服务器,您必须将DNS查询转发到Cato受信任的DNS服务器(包括Cato DNS)或为账户配置的DNS服务器。

如果您有用于离线云流量的网络规则,请确保它不包括DNS,以便将DNS查询发送到Cato受信任的DNS服务器。

这篇文章有帮助吗?

9 人中有 8 人觉得有帮助

0 条评论