【高级篇 / DNS】(7.0) ❀ 01. DNS 菜单的作用 ❀ FortiGate 防火墙

已于 2022-08-03 15:22:54 修改
阅读量6.9k 收藏 5
点赞数
分类专栏: # DNS
于 2022-05-11 12:47:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meigang2012/article/details/124703171
版权

  【简介】FortiGate防火墙上有一个DNS菜单,很多人为了能上网而修改它,其实大家都误解了它作用。这里就详细的给大家解释一下。

  DNS菜单的作用

  防火墙的DNS菜单,并不是给我们上网用的。

  ① 选择菜单【网络】-【DNS】,我们可以看到有关于防火墙DNS的设置,默认情况下,DNS服务器为【使用FortiGuard服务器】,下面会有两个IP地址,而且我们看到响应时间也比较慢。

  FortiGuard是一组针对Fortinet产品使用的服务器,它很重要,它可以提供反病毒、入侵防御、网页过滤、反垃圾邮件、应用控制等等高级功能的更新和评级。当我们需要用到网页过滤或反垃圾邮件功能时,还需要从FortiGuard服务器上获取到访问网站的分类等信息,即使不使用这些高级功能,我们的注册信息、服务器信息、固件升级等等,都需要防火墙和FortiGuard服务器频繁联系。

  默认情况下,FortiGuard使用位于世界各地的公共FortiGuard服务器。你也可以将FortiGuard配置为使用仅位于美国的公共FortiGuard服务器。

  默认情况下,FortiGate使用FortiGuard的DNS服务器:

  ● Primary:96.45.45.45

  ● Secondary:96.45.46.46

  它们的作用,就是用来解析并找到离我们最近的FortiGuard服务器。

  因此,请保持DNS服务器为默认设置【使用FortiGuard服务器】。不要做修改,这样我们才能使防火墙保持自动更新状态。

  电脑上网要怎么配置DNS

  既然防火墙上的DNS选项是为了解析FortiGuard服务器地址,那么我们上网的DNS在哪里设置呢?

  ① 如果防火墙下面接入的是二层设备,那么我们可以直接在接口上启用DHCP。在DHCP服务器中设置中有个DNS服务器设置,这里建议选择【指定】。如果有多条不同运营商宽带,则输入通用DNS服务器地址,如果只有一条电信宽带,则可以输入当地电信宽带专用DNS地址,这样解析的速度会更快一些。

  ② 如果是固定IP宽带,运营商会提供DNS服务器IP地址。拨号宽带的话,在防火墙的DNS菜单中可以动态获得。象本例中,有两条宽带,电信和移动更有自己的DNS服务器,如果DNS设置为电信,走移动的时候很多IP解析不出来,同样,如果DNS设置为移动,走电信里又会有很多IP解析不出来,因此在接口的DHCP服务器设置DNS服务器时,我们手动设置为8.8.8.8和114.114.114.114,这是通用DNS服务器。虽然解析速度慢一点,但是走每条线路都能正确解析。 

  ③ 接口下的DHCP服务器,DNS服务器默认选项是【与系统DNS相同】。在多条宽带的情况下,不建议用这个选项,因为得到的DNS服务器IP在其它运营商并不适用。

  ④ 但如果只是一条拨号宽带,将得到拨号宽带的DNS服务器IP。这样是可行的。但是,如果不是拨号宽带,而是固定宽带,那么得到的将是96.45.45.45和96.45.46.46。而这个很显然,并不适用我们上网。

  电脑DNS为内网地址

  我们以前在用路由器的时候,发现DNS指定路由器地址,一样是可以上网的,那么在防火墙上适用吗?

  ① 如果将接口的DHCP服务器设置下的DNS服务器设置为【与接口IP地址相同】,那么会出现什么情况?

  ② DNS指向防火墙内网接口IP。

  ③ Ping百度网址,解析不出IP地址来,说明DNS无效。

  ④ 选择菜单【系统管理】-【可见功能】,启用【DNS数据库】,这个功能默认是不在菜单显示的。因为很少用到。

  ⑤ 选择菜单【网络】-【DNS服务器】,在接口上的DNS服务栏点击【新建】。

  ⑥ 选择内网接口,模式默认为递归模式,当无法满足请求时,查询外部DNS服务器。

  ● 递归:对FortiGate DNS数据库中条目的查询进行应答,并将所有其他查询转发到单独的DNS服务器进行解析。

  ● 非递归:对FortiGate DNS数据库中条目的查询进行应答,不转发不可解析的查询。

  ● 转发至系统DNS:将所有查询转发到一个单独的DNS服务器(你已经在网络> DNS中配置);即充当DNS中继而不是DNS服务器。

  ⑦ 接口上的DNS服务配置完成,当电脑DNS指定防火墙内网接口时,先在防火墙内的DNS服务器查找,当没有满足条件时,再通过DNS外部服务器查找。

  ⑧ DNS现在可以正常解析了。

  ⑨ FortiGate作为DNS服务器可以提高FortiMail设备或其他频繁使用DNS查询的设备的性能。如果你的FortiGate设备向你的本地网络提供DHCP,你可以使用DHCP将这些主机配置为使用FortiGate作为网关和DNS服务器。

  但是如果电脑上网则不建议将FortiGate作为DNS服务器,因为负载太大会影响防火墙的性能,特别是现在防火墙大部分不带硬盘,DNS缓存会消耗防火墙宝贵的内存。

  如果电脑少,可以直接指定公网DNS,如果电脑多,则建议用Windows Server建立专用的DNS服务器。由于在Windows Server DNS服务器有缓存,因此比电脑直接指定DNS公网地址来说效率更高。

飞塔CVE-2022-40684复现
G3et的博客
04-22 749
admin 无密码直接回车(会提示修改密码)
考题(7.2) 02 FortiGate防火墙 Fortinet网络安全专家 NSE4
防火墙技术专栏
05-10 438
Fortinet NSE4 FortiOS 7.2 测试题(2)
FortiGate 防火墙 DNS 地址转换(DNS Translation)
Aggy阿吉的博客
09-23 866
本例介绍 FortiGate 防火墙 DNS 地址转换(DNS Translation)配置方法。
高级 / DNS(7.0) 02. DNS 服务器的作用 FortiGate 防火墙
防火墙技术专栏
05-12 6043
前面说过,如果是单纯的访问互联网,不建议用FortiGateDNS服务器,因为会占用防火墙的CPU和内存,影响性能。如果防火墙性能足够强劲,而又需要将域名解析成内网IP地址,那么还是可以通过FortiGate防火墙DNS服务器功能来完成的。...
基于检测流量型安全产品的设计理念
网络安全产品,规划,建设,实施运维。
08-16 6929
基于检测流量的安全产品通过深度分析和实时响应,能够有效识别和防护网络中的安全威胁。企业应根据自身需求,选择合适的流量检测产品,并持续优化其检测模型和防护策略,以应对日益复杂的网络安全威胁。基于检测流量的安全产品(如IDS/IPS、NGFW、NDR等)的设计理念是通过对网络流量的深度分析和检测,识别潜在的安全威胁,并采取相应的防护措施。2.深度分析:通过多种技术手段(如签名检测、行为分析、机器学习等)对流量进行深度分析,识别威胁。3.加密流量:随着加密流量的增加,如何有效检测加密流量中的威胁是一个挑战。
高级 / DNS(7.0) 04. FortiGuard 动态 DNS (DDNS) FortiGate 防火墙
防火墙技术专栏
05-13 5628
拨号宽带在中小企业中大量存在,由于IP地址经常会变更,使得远程访问比较困难。FortiGuard动态DNS (DDNS) 允许远程管理员使用不变的域名访问FortiGate的面向互联网的接口,即使其IP地址发生变化。
教程(7.4) 01. 系统和网络设置 & FortiGate管理员 Fortinet网络安全专家 NSE4
防火墙技术专栏
02-16 2551
在本课中,你将了解FortiGate上的系统和网络设置
高级 / SDWAN】(7.0) 06. 选择最佳 DNS FortiGate 防火墙
防火墙技术专栏
08-28 2021
  DNS(Domain Name Server,域名服务器)是进行域名(domain name)和与之相对应的IP地址 (IP address)转换的服务器。DNS中保存了一张域名和与之相对应的IP地址的表,以解析消息的域名。 我们上网离不开DNS服务器,需要DNS服务器将我们输入的域名转化成IP地址,选择菜单【网络】-【DNS】,可以看到有三组DNS,一组是用来识别FortiGuard服务器的DNS,这个是给设备连接FortiGuard用的,我们保持默认就可以。另外两组是电信和移动拨号后生成的D.
高级 / DNS(7.0) 05. 用花生壳作 FortiGate 的 DDNS FortiGate 防火墙
防火墙技术专栏
10-14 3967
FortiGate防火墙自带DDNS功能,早期所有防火墙都可以免费使用,但是由于FortiGate防火墙数量越来越多,导致不稳定,现在更是只有FortiOS 6.4版本以上,或购买了UTM服务的设备,才可以正常使用DDNS功能。...
FortiOS VM 运行于 Linux KVM 平台详解
06-05
详解将专注于FortiOS VM如何运行于基于Linux的KVM平台,旨在为技术工程师提供全面的安装、配置及测试指南。 首先,KVM是一种基于硬件虚拟化技术的全虚拟化解决方案,通过Linux内核模块,利用Intel VT或AMD-V...
高级 / DNS(7.0) 03. FortiGate作为Window DNS的备用DNS服务器 FortiGate 防火墙
防火墙技术专栏
05-13 3632
在公司总部,有建立Windows DNS服务器,可以通过域名解析出内网地址来。分公司通过VPN连接总公司,能不能也利用公司总部的DNS服务器来解析内网地址呢?如果可以实现,那么所有分公司都可以利用域名通过VPN来访问总部服务器了。我们可以将FortiGate防火墙作为备用DNS服务器来实现这个功能。...
​【安全 / Web过滤】(5.6) 01. DNS 过滤僵尸网络 FortiGate 防火墙
防火墙技术专栏
03-23 5091
【简介】如果启用DNS过滤,必须使用FortiGuard DNS服务进行DNS查找。DNS查找请求发送到FortiGuard DNS服务返回,其中包括IP地址和web网页的FortiGuard分类域名评级。 阻止对已知僵尸网络C&C地址的DNS请求 飞塔防火墙有一个动态更新的僵尸网络C&C地址数据库,当对这些僵尸网络地址进行访问时,DNS过滤会匹配数......
Fortigate 飞塔防火墙命令行常用操作 CLI
热门推荐
范枝洲的博客
03-27 3万+
文章目录1. 设备console口设置2. 设置接口IP3. 设置网关4. 设置DNS5. 设置NTP 1. 设备console口设置 Bits per second 9600 Data bits 8 Parity None Stop bits 1 Flow control None 2. 设置接口IP config system interface edit port1 set ip 19...
高级 / SDWAN】(7.0) 07. DNS 解析最快的宽带优先上网 FortiGate 防火墙
防火墙技术专栏
08-29 2290
  自从配置SD-WAN之后,很多人反应网速变慢了,打开网站卡半天。你有没有接到过这种投诉?其实这是因为DNS解析的原因,由于多条宽带属于不同的运营商,而运营商自带的DNS对自己宽带的解析很快,但对其它宽带就会报错。所以我们只能使用通用DNS,虽然解析速度慢一点,但好在报错大大减少了。 经过上一文章的实测,通用DNS 114.114.114.114的解析速度比 8.8.8.8快,但是解析国外网站时得到的IP地址经常不正确。如果有访问外网的需求和条件,8.8.8.8更适合。 由于我们有.....
【接口 / DMZ】(5.2) 01. ADSL 拨号宽带映射服务器到公网 FortiGate 防火墙
防火墙技术专栏
12-06 4147
除了固定IP宽带可以映射服务器到外网之外,ADSL拨号宽带也可以映射服务器到外网,但是由于ADSL拨号宽带每次连接后IP地址都不同,这就要用到飞塔防火墙特有的DDNS动态域名功能了。
Fortinet:Broadband internet access &&&防特网:宽带上网(拨号pppoe和固定IP)
Aggy阿吉的博客
08-31 1409
防火墙可以代替路由器直接接入互联网。以下为宽带拨号pppoe和固定IP宽带的上网基本配置。 用的是虚拟机和一台在使用的防火墙做的实例,版本是5.6.2和6.0.2,但是配置都是有共性的。根据自己的设备微调一下就ok。 顺便说一下,上网配置我给出的只有三步,第一步,接口;第二步,路由;第三步,策略。而pppoe的路由是自动生成的,不需要配置。 先放一张,变换成中文界面的图片。 接下来开始...
04. 应用控制 - 功能介绍 飞塔 (Fortinet5.4) 防火墙
m0_37281670的博客
02-24 3091
         【简介】飞塔防火墙除了保证内网不受攻击之外,也具备上网行为管理功能,例如限定某人是否可以上网,上网流量有多少,也可以限制哪些软件不能用,哪些网站不能打开等,对...
飞塔(Fortinet)防火墙建立ipsec ***实例
weixin_34159110的博客
07-02 2557
环境:tj、zibo两个Fortinet防火墙,wan口为公网IP。防火墙IOS版本:v5.4.2,build1100 (GA)需求:tj和zibo需要建立ipsec ***,tj的172.18.0.1要和zibo的172.20.0.1互相通讯拓扑图:配置步骤:tj端配置1.tj端创建loopback口,并分别配置成172.18.0.1/32和172.20.0....
【安全 / 入侵防御】(6.0) 01. 基于代理与基于流的检测模式的区别 FortiGate 防火墙
防火墙技术专栏
11-02 4337
  【简介】FortiGate防火墙可以在基于代理与基于流中选择两种检查模式之一,以控制你的FortiGate或VDOM的安全配置文件检查模式。基于代理的模式提供了更多的功能,基于流的设计是为了优化性能。...
配置飞塔401E防火墙,使用网线连接管理电脑到 FortiGate 的 MGMT但无法访问 **https://192.168.1.99**
最新发布
02-07
### 解决方案 对于FortiGate 401E防火墙,在尝试通过浏览器访问管理界面遇到困难时,可能的原因涉及多个方面。具体来说: #### 接口配置确认 确保用于管理的计算机已正确连接至MGMT端口,并且该端口确实被分配了IP地址`192.168.1.99`[^1]。 #### 浏览器设置检查 验证所使用的Web浏览器是否支持HTTPS协议并能正常解析指定URL `https://192.168.1.99/` 。某些情况下,浏览器的安全策略或插件可能会阻止此类请求。 #### SSL证书问题排查 由于默认采用的是自签名SSL证书,首次登录时浏览器会提示安全警告。需手动接受此证书才能继续加载页面。如果不这样做,则可能导致看似“无法访问”的情况发生。 #### 网络连通性测试 利用命令行工具如`ping` 或者 `telnet` 来检测从客户端到服务器之间的网络路径是否畅通无阻。注意,在执行这些操作前应先确认防火墙上已经启用了相应的服务并且允许来自本地子网内的流量到达目标端口号(通常是TCP 443)。然而需要注意的是,出于安全性考量,建议仅限于内部接口开启这类诊断功能[^3]。 #### 控制台直连调试 当远程web管理不可用时,还可以考虑使用串口线缆直接连接到设备前端板上的控制台上进行初步设定调整。这一步骤尤其适用于初次部署场景下尚未完成基本网络参数初始化的情况[^2]。 ```bash # 使用 ping 命令测试与 MGMT IP 地址 (192.168.1.99) 的连通性 $ ping 192.168.1.99 # 尝试 telnet 到 HTTPS 默认端口 443, 查看是否有开放 $ telnet 192.168.1.99 443 ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞塔老梅子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值