Websense와 함께 OpenDNS Umbrella를 설치하기 위한 모범 사례 이해

소개

이 문서에서는 Websense와 함께 OpenDNS Umbrella를 설치하는 모범 사례를 설명합니다.

개요

평가 중(그리고 평가 후) OpenDNS의 모든 잠재력을 보려면 모든 비내부 DNS 트래픽이 OpenDNS 글로벌 네트워크를 가리켜야 합니다. 3가지 Websense 환경으로 인해 OpenDNS에서 일부 DNS 트래픽을 놓치게 됩니다.

1. 온-프레미스 프록시에서 웹 서버에서 시작된 DNS 요청을 확인하고 있습니다(더 일반적임).

2. 클라우드 프록시에서 웹 서버에서 시작된 DNS 요청을 해결하고 있습니다(웹 엔드포인트 에이전트를 사용하는 하이브리드 고객의 경우).

3. 온-프레미스 프록시에서 클라이언트 대신 DNS 요청을 해결하고 있습니다(일반적이지 않음).

1) 온-프레미스 프록시에서 웹 서버에서 시작된 DNS 요청을 확인하고 있습니다.

• 명시적 또는 투명 프록시 모드에서 구축된 Websense 콘텐츠 게이트웨이는 웹 서버와의 연결 후 시작된 DNS 요청을 확인할 수 있습니다. 구성할 수 있습니다.

• 이러한 DNS 요청이 Websense의 기본 제공 DNS 프록시 캐싱 또는 다른 재귀 DNS 서비스에서 확인되면 OpenDNS가 우회됩니다.

• Websense가 OpenDNS를 사용하여 비내부 DNS 요청을 항상 해결하도록 구성되어 있는지 확인하려면 Websense의 지원 자료(사용자의 편의를 위해 여기에 연결됨)를 참조하십시오.
  Content Gateway Manager 도움말 > DNS 확인자 > DNS 변수 > Split DNS 옵션 사용

2) 클라우드 프록시에서 웹 서버에서 시작된 DNS 요청을 확인하고 있습니다.

• 안타깝게도 Websense에서는 고객이 DNS 서버 설정을 직접 변경할 수 없습니다.

• Websense에서 OpenDNS를 가리키도록 설정을 수동으로 변경하도록 요청할 수 있는지 잘 모르겠습니다.

3) 온-프레미스 프록시에서 클라이언트 대신 DNS 요청을 확인하고 있습니다.

• DNS 프록시 캐싱 옵션이 활성화된 경우 발생하지만 DNS 프록시 캐싱은 L4 스위치 또는 Cisco WCCPv2 디바이스에서만 구성할 수 있으므로 일반적인 환경이 아닙니다.

• DNS 프록시는 A 및 CNAME DNS 항목에 대한 요청에만 응답합니다. 다른 요청 유형은 응답하지 않습니다.

• 호스트 이름-IP 주소 매핑이 DNS 캐시에 없는 경우 Content Gateway는 /etc/resolv.conf 파일에 지정된 DNS 서버에 접속합니다. (참고: resolv.conf의 첫 번째 항목만 사용되며, 이는 DNS 요청이 원래 의도했던 DNS 서버가 아닐 수 있습니다.)

참고: "Always Query Destination" 옵션은 DNS 조회 수를 줄이며, 콘텐츠 게이트웨이가 명시적 및 투명 프록시 모드에서 모두 실행되고 있지 않은 경우 활성화할 수 있습니다. ARM(Adaptive Redirection Module)에서 들어오는 요청의 원래 목적지 IP를 항상 가져오도록 프록시를 구성합니다. 요청의 호스트 이름에 대해 DNS 조회를 수행하는 대신 해당 IP를 사용하여 원천 서버를 확인합니다. 클라이언트가 이미 DNS 조회를 수행했으므로 프록시가 수행할 필요가 없습니다.