简介
本文档介绍如何使用IP地址而不是主机名配置Umbrella的内容过滤器。
概述
大多数网站属于解析为单个IP地址的域,但仅将网站的IP地址输入浏览器地址栏中,不容易或经常不可能“绕过”Cisco Umbrella的内容过滤器。此外,大多数恶意软件使用域名作为其命令和控制(C&C),而不是IP地址。
执行内容
出于以下原因,按主机名而不是IP进行阻止实际上更好:
- 安全性更高 — 不安全的域从IP跳至IP,以躲避各种代理/恶意软件阻止解决方案或ISP的阻拦。很难在IP级别而不是域级别跟上这些变化(而且不是正确的方式)
- 减少误报/漏报 — 一个IP有时被数千个域共享,其中几个域是恶意的。屏蔽所有网络既不是好主意,也不是屏蔽任何网络。
- 更好的可视性 — 阻止IP会阻止用户/计算机尝试访问哪个域的日志记录和分析,这也是安全/合规团队必须关注的信息。
对于内容阻塞,通过IP地址访问网站或主机确实不需要DNS查找,因此从技术上讲,这不会发送到Umbrella的服务器进行评估。
但是,如今大多数网站都有负载均衡和高可用性解决方案以及地理定位(使用多个IP和位置来提高最终用户的性能)。 它们有多个子域用于身份验证等功能,网站由来自不同服务器的多个IP组成,在某些情况下,输入IP只会将您定向到站点的FQDN。 几乎所有Web服务器都以静默方式指示Web浏览器从一个或多个不同的域下载其内容。初始连接建立后,会代表服务器通过用户浏览器发送多个额外的DNS请求,这些请求会正常执行。
因此,在绝大多数情况下,在浏览器中简单地键入IP地址并不起作用,因为Web服务器端的设置通常最终会将其转换为域,此时我们收到一个可以对其执行操作的DNS查询。或者,您可以接收部分或损坏的主页,然后如果没有适当的DNS解析,所有链接(包括登录)都不会运行。
此时,Umbrella能够截取解析请求并执行安全或内容评估。
如果您不确定特定站点的状态,请在域中执行nslookup,直接在浏览器地址栏中输入IP地址并查看其行为。我们鼓励您自己试试看它是如何表现的。
反馈