使用Umbrella設定透過HTTPS(DoH)的DNS

簡介

本檔案將說明Umbrella如何支援透過HTTPS(DoH)的DNS，以及加密DNS查詢以保持私密性。

概觀

Cisco Umbrella支援透過HTTPS(DoH)進行的DNS，允許對DNS查詢進行加密並保護查詢免受攔截或修改。使用此DoH終結點：

將DoH與Umbrella一起使用的步驟取決於您的瀏覽器和作業系統。

Mozilla Firefox

Mozilla提供了詳細資訊和說明資訊。可以將Firefox配置為使用Umbrella作為通過HTTPS提供程式的自定義DNS。

1. 導覽至Options > General > Network Settings，然後選擇Enable DNS over HTTPS。
2. 在Use Provider下，選擇Custom，然後輸入URI模板: 

3. https://umbrella.cisco.com/doh-help

4. 選擇OK，您的查詢將被加密。
   
   

首選項.png

Google Chrome

有關配置的詳細資訊和說明可從Chromium獲得。如果啟用了安全DNS，並且它看到作業系統為DNS使用的Umbrella任播IP地址，則Chrome會自動啟用DoH的使用。 

將作業系統配置為將這些IP地址用作DNS伺服器：

1. 在Chrome設定中，導航至隱私和安全>安全(或在位址列中輸入chrome://settings/security)。
2. 啟用使用安全DNS。
3. 您的DNS查詢現在已加密。您可以訪問Umbrella DoH測試頁面檢查您的配置。

附註：Chrome在決定是否升級至DoH時專門查詢Umbrella IP地址。這表示如果您配置為使用本地DNS伺服器或轉發器的IP地址，Chrome無法升級到使用DoH，即使該伺服器轉發到Umbrella。

如果您的電腦被認為由Chrome管理(很可能是，您的電腦是由您的工作單位或學校提供的)，則無法自動升級到使用DoH，並且此設定不可見或不可配置。

您可以通過設定自定義提供程式直接配置Umbrella，而不是基於IP自動升級。在Use secure DNS下，選擇With，然後從下拉選單中選擇Custom。在請求輸入自定義提供程式的位置，按以下格式新增Umbrella URI模板：

https://doh.umbrella.com/dns-query

注意事項

有些情況可能會導致DoH和Umbrella SWG（特別是AnyConnect模組）之間發生衝突：

1. AnyConnect中的External Domains（外部域）功能允許域和IP地址通過直接訪問網際網路繞過Umbrella SWG。使用DoH時，無法通過域名或頻繁限定域名(FQDN)進行配置。這是因為AnyConnect在檢測哪些請求轉到SWG以及哪些請求繞過它時，依賴於作業系統中的DNS快取將域名連結到IP地址。當使用DOH時（尤其是通過瀏覽器），作業系統的DNS存根解析器將被繞過，因此不會建立DNS快取條目。這會導致AnyConnect無法將域名或FQDN與其正在檢視的資料包相關聯。
   
   

   因應措施
   

   使用AnyConnect for Umbrella SWG在工作站上禁用DOH，和/或按IP地址（而不是域或FQDN）配置外部域（SWG異常）。
   
   
2. 如果內部DNS伺服器使用DoH來解析內部資源（例如example.local或example.corp），則必須將AnyConnect Umbrella SWG配置為不攔截這些DOH請求。這是因為DoH看起來像任何其他HTTPS請求，而SWG模組會攔截該請求並將其重定向到Umbrella。如果無法從Umbrella雲訪問DoH伺服器，則查詢永遠不會到達目標內部DNS伺服器。