簡介
本檔案將說明Umbrella如何支援透過HTTPS(DoH)的DNS,以及加密DNS查詢以保持私密性。
概觀
Cisco Umbrella支援透過HTTPS(DoH)進行的DNS,允許對DNS查詢進行加密並保護查詢免受攔截或修改。使用此DoH終結點:
主機名 |
說明 |
doh.umbrella.com |
Umbrella的標準DNS服務前端(208.67.222.222/220.220) |
將DoH與Umbrella一起使用的步驟取決於您的瀏覽器和作業系統。
Mozilla Firefox
Mozilla提供了詳細資訊和說明資訊。可以將Firefox配置為使用Umbrella作為通過HTTPS提供程式的自定義DNS。
- 導覽至Options > General > Network Settings,然後選擇Enable DNS over HTTPS。
- 在Use Provider下,選擇Custom,然後輸入URI模板:
-
https://umbrella.cisco.com/doh-help
- 選擇OK,您的查詢將被加密。
首選項.png
Google Chrome
有關配置的詳細資訊和說明可從Chromium獲得。如果啟用了安全DNS,並且它看到作業系統為DNS使用的Umbrella任播IP地址,則Chrome會自動啟用DoH的使用。
將作業系統配置為將這些IP地址用作DNS伺服器:
服務 |
IPv4地址 |
IPv6位址 |
Umbrella DNS |
208.67.222.222 208.67.220.220 |
2620:119:35::35 2620:119:53::53 |
- 在Chrome設定中,導航至隱私和安全>安全(或在位址列中輸入chrome://settings/security)。
- 啟用使用安全DNS。
- 您的DNS查詢現在已加密。您可以訪問Umbrella DoH測試頁面檢查您的配置。
附註:Chrome在決定是否升級至DoH時專門查詢Umbrella IP地址。這表示如果您配置為使用本地DNS伺服器或轉發器的IP地址,Chrome無法升級到使用DoH,即使該伺服器轉發到Umbrella。
如果您的電腦被認為由Chrome管理(很可能是,您的電腦是由您的工作單位或學校提供的),則無法自動升級到使用DoH,並且此設定不可見或不可配置。
您可以通過設定自定義提供程式直接配置Umbrella,而不是基於IP自動升級。在Use secure DNS下,選擇With,然後從下拉選單中選擇Custom。在請求輸入自定義提供程式的位置,按以下格式新增Umbrella URI模板:
https://doh.umbrella.com/dns-query
注意事項
有些情況可能會導致DoH和Umbrella SWG(特別是AnyConnect模組)之間發生衝突:
- AnyConnect中的External Domains(外部域)功能允許域和IP地址通過直接訪問網際網路繞過Umbrella SWG。使用DoH時,無法通過域名或頻繁限定域名(FQDN)進行配置。這是因為AnyConnect在檢測哪些請求轉到SWG以及哪些請求繞過它時,依賴於作業系統中的DNS快取將域名連結到IP地址。當使用DOH時(尤其是通過瀏覽器),作業系統的DNS存根解析器將被繞過,因此不會建立DNS快取條目。這會導致AnyConnect無法將域名或FQDN與其正在檢視的資料包相關聯。
因應措施
使用AnyConnect for Umbrella SWG在工作站上禁用DOH,和/或按IP地址(而不是域或FQDN)配置外部域(SWG異常)。
- 如果內部DNS伺服器使用DoH來解析內部資源(例如example.local或example.corp),則必須將AnyConnect Umbrella SWG配置為不攔截這些DOH請求。這是因為DoH看起來像任何其他HTTPS請求,而SWG模組會攔截該請求並將其重定向到Umbrella。如果無法從Umbrella雲訪問DoH伺服器,則查詢永遠不會到達目標內部DNS伺服器。