简介
本文档介绍Umbrella如何支持HTTPS上的DNS(DoH),为隐私加密DNS查询。
概述
Cisco Umbrella支持HTTPS上的DNS(DoH),允许DNS查询得到加密和保护,避免被拦截或修改。使用此DoH终端:
主机名 |
描述 |
doh.umbrella.com |
Umbrella的标准DNS服务前端(208.67.222.222/220.220) |
将DoH与Umbrella配合使用的步骤取决于您的浏览器和操作系统。
Mozilla Firefox
Mozilla提供了详细信息和说明信息。可以将Firefox配置为使用Umbrella作为通过HTTPS的自定义DNS提供程序。
- 导航到选项>常规>网络设置,然后选择通过HTTPS启用DNS。
- 在Use Provider下,选择Custom并输入URI模板:
-
https://umbrella.cisco.com/doh-help
- 选择OK,您的查询将被加密。
首选项.png
Google Chrome
Chromium Blog中提供了有关配置的详细信息和说明。如果启用了安全DNS,并且看到操作系统用于DNS的Umbrella任播IP地址,则Chrome会自动启用DoH。
将操作系统配置为将以下IP地址用作DNS服务器:
服务 |
IPv4 地址 |
IPv6地址 |
Umbrella DNS |
208.67.222.222 208.67.220.220 |
2620:119:35::35 2620:119:53::53 |
- 在Chrome设置中,导航到Privacy and security >Security(或在地址栏中输入chrome://settings/security)。
- 启用使用安全DNS。
- 您的DNS查询现在已加密。您可以访问Umbrella DoH测试页以检查您的配置。
注意:Chrome在决定是否升级到DoH时专门查找Umbrella IP地址。这意味着,如果您配置为使用本地DNS服务器或转发器的IP地址,Chrome将无法升级为使用DoH,即使该服务器转发到Umbrella也是如此。
如果您的计算机被认为由Chrome管理(很可能是,您的计算机由您的工作单位或学校提供给您),则它无法自动升级到使用DoH,并且此设置不可见或不可配置。
您可以通过设置自定义提供程序直接配置Umbrella,而不是基于IP自动升级。在使用安全DNS下,选择With,然后从下拉列表中选择Custom。在请求输入自定义提供程序的地方,请按照以下格式添加Umbrella URI模板:
https://doh.umbrella.com/dns-query
注意事项
您可能会遇到一些导致DoH和Umbrella SWG(尤其是AnyConnect模块)之间发生冲突的情况:
- AnyConnect中的External Domains(外部域)功能允许域和IP地址通过直接访问互联网绕过Umbrella SWG。使用DoH时,无法通过域名或常用限定域名(FQDN)对其进行配置。这是因为AnyConnect在检测哪些请求进入SWG以及哪些请求绕过SWG时,依赖于操作系统中的DNS缓存将域名链接到IP地址。当使用DOH时(尤其是通过浏览器),操作系统的DNS末节解析器将被绕过,因此不会创建DNS缓存条目。这使得AnyConnect无法使域名或FQDN与其看到的数据包相关联。
解决方法
使用Umbrella SWG的AnyConnect在工作站上禁用DOH,和/或按IP地址而不是域或FQDN配置外部域(SWG例外)。
- 如果内部DNS服务器使用DoH解析内部资源(例如example.local或example.corp),则必须将AnyConnect Umbrella SWG配置为不拦截这些DOH请求。这是因为DoH类似于任何其他HTTPS请求,而SWG模块会拦截该请求并将其重定向到Umbrella。如果无法从Umbrella云访问DoH服务器,则查询永远不会到达目标内部DNS服务器。