使用Umbrella配置HTTPS上的DNS(DoH)

简介

本文档介绍Umbrella如何支持HTTPS上的DNS(DoH)，为隐私加密DNS查询。

概述

Cisco Umbrella支持HTTPS上的DNS(DoH)，允许DNS查询得到加密和保护，避免被拦截或修改。使用此DoH终端：

将DoH与Umbrella配合使用的步骤取决于您的浏览器和操作系统。

Mozilla Firefox

Mozilla提供了详细信息和说明信息。可以将Firefox配置为使用Umbrella作为通过HTTPS的自定义DNS提供程序。

1. 导航到选项>常规>网络设置，然后选择通过HTTPS启用DNS。
2. 在Use Provider下，选择Custom并输入URI模板: 

3. https://umbrella.cisco.com/doh-help

4. 选择OK，您的查询将被加密。
   
   

首选项.png

Google Chrome

Chromium Blog中提供了有关配置的详细信息和说明。如果启用了安全DNS，并且看到操作系统用于DNS的Umbrella任播IP地址，则Chrome会自动启用DoH。 

将操作系统配置为将以下IP地址用作DNS服务器：

1. 在Chrome设置中，导航到Privacy and security >Security(或在地址栏中输入chrome://settings/security)。
2. 启用使用安全DNS。
3. 您的DNS查询现在已加密。您可以访问Umbrella DoH测试页以检查您的配置。

注意：Chrome在决定是否升级到DoH时专门查找Umbrella IP地址。这意味着，如果您配置为使用本地DNS服务器或转发器的IP地址，Chrome将无法升级为使用DoH，即使该服务器转发到Umbrella也是如此。

如果您的计算机被认为由Chrome管理(很可能是，您的计算机由您的工作单位或学校提供给您)，则它无法自动升级到使用DoH，并且此设置不可见或不可配置。

您可以通过设置自定义提供程序直接配置Umbrella，而不是基于IP自动升级。在使用安全DNS下，选择With，然后从下拉列表中选择Custom。在请求输入自定义提供程序的地方，请按照以下格式添加Umbrella URI模板:

https://doh.umbrella.com/dns-query

注意事项

您可能会遇到一些导致DoH和Umbrella SWG（尤其是AnyConnect模块）之间发生冲突的情况：

1. AnyConnect中的External Domains（外部域）功能允许域和IP地址通过直接访问互联网绕过Umbrella SWG。使用DoH时，无法通过域名或常用限定域名(FQDN)对其进行配置。这是因为AnyConnect在检测哪些请求进入SWG以及哪些请求绕过SWG时，依赖于操作系统中的DNS缓存将域名链接到IP地址。当使用DOH时（尤其是通过浏览器），操作系统的DNS末节解析器将被绕过，因此不会创建DNS缓存条目。这使得AnyConnect无法使域名或FQDN与其看到的数据包相关联。
   
   

   解决方法
   

   使用Umbrella SWG的AnyConnect在工作站上禁用DOH，和/或按IP地址而不是域或FQDN配置外部域（SWG例外）。
   
   
2. 如果内部DNS服务器使用DoH解析内部资源（例如example.local或example.corp），则必须将AnyConnect Umbrella SWG配置为不拦截这些DOH请求。这是因为DoH类似于任何其他HTTPS请求，而SWG模块会拦截该请求并将其重定向到Umbrella。如果无法从Umbrella云访问DoH服务器，则查询永远不会到达目标内部DNS服务器。