Lorsque vous activez DNSWatch sur le Firebox, vous configurez un paramètre de contrôle de DNSWatch, qui contrôle les requêtes DNS sortantes que le Firebox redirige vers DNSWatch. Pour la plupart des réseaux, nous vous recommandons d'activer le contrôle DNSWatch sur toutes les interfaces. Si vous préférez désactiver le contrôle et que vous disposez d'un serveur DNS local, consultez Exemple 4 — Serveur DNS local ; contrôle DNSWatch désactivé.
Pour de plus amples informations concernant les paramètres de contrôle, consultez Activer DNSWatch sur Votre Firebox.
Exemple de configurations
Ces exemples décrivent le mode de configuration de DNSWatch et des autres paramètres DNS sur le Firebox et votre réseau.
Exemple 4 — Serveur DNS local ; contrôle DNSWatch désactivé
Si vous souhaitez que DNSWatch protège votre réseau, mais que vous ne désirez pas activer le contrôle DNSWatch, vous pouvez utiliser la configuration de cet exemple.
Configuration réseau
DHCP
Dans cet exemple, votre réseau comporte des clients DHCP et le serveur DHCP est le Firebox ou un serveur DHCP local.
Si le Firebox est votre serveur DHCP, activez le transfert DNS sur le Firebox. Lorsque le transfert DNS est activé et que le Firebox est configuré comme serveur DHCP, le Firebox fournit sa propre adresse IP comme serveur DNS aux clients DHCP.
Si vous disposez d'un serveur DHCP local, vous pouvez le configurer de manière à l'attribuer aux clients DHCP.
DNS
Sur votre serveur DNS local, nous vous recommandons de configurer un redirecteur pour l'adresse IP du Firebox.
Dans notre exemple, nous configurons un redirecteur pour l'adresse IP du Firebox 10.0.1.1 sous Windows Server 2016.
Vous pouvez également configurer des redirecteurs pointant vers les adresses IP DNSWatch.
Vous pouvez obtenir ces adresses IP à partir du Tableau de bord Web UI, qui indique toutes les adresses IP régionales de DNSWatch. Les adresses IP de DNSWatch se résolvent au domaine dnswatch.watchguard.com. Pour une liste des résolveurs DNSWatch actuels, consultez Résolutions DNSWatch. En cas de modification des adresses IP de DNSWatch, vous devez remplacer manuellement ces redirecteurs par les nouvelles adresses IP.
Nous vous recommandons de ne pas configurer d'autres redirecteurs hormis les adresses IP DNSWatch. Si votre serveur DNS est configuré pour contacter les redirecteurs DNS simultanément et non séquentiellement, certaines requêtes DNS peuvent être envoyées à des serveurs DNS différents de DNSWatch. Cela signifie que vos utilisateurs ne seront pas toujours protégés par DNSWatch.
Il est possible que le cache de votre serveur DNS local contienne des entrées correspondant aux domaines que DNSWatch considère malveillants. Nous vous recommandons de vider le cache DNS des serveurs DNS locaux après avoir activé DNSWatch. Lorsque vous videz le cache, les requêtes DNS des ressources externes sont résolues par DNSWatch et non par cache du serveur DNS local.
Pour de plus amples informations concernant les paramètres de transfert DNS de votre serveur, consultez la documentation de votre système d'exploitation.
DNSWatch n'est pas compatible avec les indications de racine. Si vous avez configuré les redirecteurs et les indications de racine sur un serveur Windows, les indications de racine sont utilisées si les redirecteurs ne répondent pas. Pour obtenir de meilleurs résultats avec DNSWatch, nous vous recommandons de désactiver l'option Utiliser les indications de racine si aucun redirecteur n'est disponible dans l'onglet Redirecteurs.
Configuration du Firebox
L'un de vos réseaux internes se situe sur l'interface Approuvée.
La liste Serveur Réseau (Global) comprend votre serveur DNS ainsi que les serveurs DNS publics. Motif courants d'ajout du serveur DNS local à la configuration du Firebox :
- Vous souhaitez que le Firebox assigne le serveur DNS local via DHCP, mais un serveur DNS d'Interface n'est pas configuré sur le Firebox.
- Vous souhaitez activer la résolution de domaine locale pour les utilisateurs Mobile VPN with IPSec, Mobile VPN with IKEv2 ou Mobile VPN with L2TP.
Le serveur DNS local doit figurer en tête de liste afin que la résolution DNS du domaine local fonctionne.
- 10.0.2.53
- 8.8.8.8
- 4.2.2.1
DNSWatch possède des serveurs régionaux aux États-Unis (Est des États-Unis), dans l'UE (Irlande) et dans la région APAC (Japon et Australie). S'il est important pour vos utilisateurs de se connecter à des serveurs situés dans d'autres régions d'un domaine, vous pouvez ajouter une règle de transfert DNS conditionnel. Dans la règle, spécifiez le nom de domaine et le serveur DNS public de votre choix.
Par exemple, vous pouvez configurer une règle de transfert DNS qui redirige les requêtes des utilisateurs d'exemple.com vers 8.8.8.8 et non vers DNSWatch.
DNSWatch comprend une liste d'exceptions qui empêche les requêtes DNS destinées aux domaines de service WatchGuard d'être transmises à DNSWatch. Lorsque le contrôle est désactivé, cette liste d'exceptions n'est pas utilisée. Si vous désactivez le contrôle DNSWatch, nous vous recommandons de configurer des règles de transfert DNS conditionnel pour les domaines de service WatchGuard watchguard.com, ctmail.com et rp.cloud.threatseeker.com si vous les utilisez. Les règles que vous configurez agissent de sorte que ces services se connectent au serveur régional le plus proche.
Configuration DNSWatch
Désactivez le contrôle DNSWatch. Lorsque le contrôle DNSWatch est désactivé, les requêtes DNS des hôtes de votre réseau ne sont pas envoyées à DNSWatch, sauf si l'hôte est configuré manuellement de manière à utiliser les serveurs DNS DNSWatch. Cependant, le Firebox utilise DNSWatch pour ses propres requêtes DNS.
Requêtes DNS des Ressources Internes
Si un hôte de votre réseau envoie une requête DNS correspondant à une ressource interne de votre réseau, le serveur DNS local résout la requête.
Si le Firebox lui-même génère une requête correspondant à une ressource locale, le résolveur du Firebox la transmet au serveur DNS local.
Requêtes DNS des Ressources Externes
Si le Firebox est configuré comme serveur DHCP et que le transfert DNS est activé
Si un hôte de votre réseau envoie une requête DNS correspondant à une ressource externe, cette requête est transmise à l'adresse IP du Firebox. Le Firebox résout la requête à partir des informations mises en cache, la transmet à un serveur DNS spécifié dans une règle de transfert DNS conditionnel ou la transmet à DNSWatch.
Si vous disposez d'un serveur DHCP local et que vous y avez configuré un redirecteur pour l'adresse IP du Firebox
Si un hôte de votre réseau envoie une requête DNS correspondant à une ressource externe, le serveur DNS local la redirige vers le Firebox. Le Firebox résout la requête à partir des informations mises en cache ou la transmet à DNSWatch.
Si vous avez également activé le transfert DNS sur le Firebox et que la requête DNS correspond à une règle de transfert DNS sur le Firebox, ce dernier transmet la requête au serveur DNS spécifié dans cette règle.
Si vous possédez un serveur DHCP local et que vous avez configuré des redirecteurs sur votre serveur DNS local pour les adresses IP de DNSWatch
Si un hôte de votre réseau envoie une requête DNS correspondant à une ressource externe, le serveur DNS local la redirige vers DNSWatch.
Si vous avez également activé le transfert DNS sur le Firebox et que la requête DNS correspond à une règle de transfert DNS sur le Firebox, ce dernier transmet la requête au serveur DNS spécifié dans cette règle.
Voir Également
À propos de DNSWatch WatchGuard
À propos de DNS sur le Firebox