預設配置HTTPS上的Web瀏覽器和DNS
簡介
本文說明如何為Cisco Umbrella設定Web瀏覽器和HTTPS上的DNS預設值。
必要條件
需求
本文件沒有特定需求。
採用元件
本檔案中的資訊是根據Cisco Umbrella。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
概觀
從Firefox版本63開始,Mozilla可以為Firefox使用者預設啟用DNS-over-HTTPS(DoH)。這會將DoH傳送到CloudFlare,後者可以繞過您的Umbrella設定。為了保留您的Umbrella設定,請完成本文後面的步驟。
當受Firefox啟用的DoH時,受影響的Firefox使用者會看到此橫幅:
1.jpg
在最新版本中,Chrome還將DoH作為手動配置提供。只有在系統上的系統DNS伺服器明確支援DoH時,Chrome DoH才能啟用。因此,漫遊客戶端使用者或具有本地DNS伺服器的網路看不到啟用的Chrome DoH。
使用Umbrella時預設為系統DNS
對於大多數Umbrella使用者,此時不需要執行任何操作。Firefox支援使用特殊域use-application-dns.net來指示DNS過濾解決方案(例如Cisco Umbrella)的存在。如果客戶端正在使用Umbrella解析程式,則Firefox不會預設啟用DoH。
但是,如果使用者已在Firefox中手動配置DoH,則Firefox會遵守該配置並使用定義的DoH伺服器。在這種情況下,您需要完成本文後面的其他說明,以防止網路上的使用者使用DoH。
根據Chrome 83的發佈:「Chrome將自動切換到DNS-over-HTTPS(如果當前的DNS提供程式支援)」。
阻止使用HTTPS的DNS的其他說明
為了保護您的Umbrella部署,Umbrella現已將DoH提供程式包括在代理/匿名程式內容類別中。當此類別被阻止時,瀏覽器無法解析DoH伺服器的主機名,並還原為Umbrella覆蓋您的DNS的標準系統DNS。要確保您的設定阻止DoH提供程式:
1.定位至策略>內容類別。
2.選擇正在使用的類別設定。
3.確保選擇代理/匿名程式。
1.jpg
4.儲存更新。
現在,當Firefox向您的使用者推出此更改時,您的使用者仍可以繼續使用Umbrella。
附註:請勿將Mozilla Kill Switch域新增到阻止清單中。這是因為,如果域被阻止,Umbrella將返回阻止頁面的A記錄。Firefox將此視為有效響應,因此可以自動升級其DoH。
其他建議
Firefox也可以手動配置為特定DoH提供程式。如果按域配置,則可由Umbrella執行。Umbrella(DNS)無法強制執行IP配置。 對於DoH的網路實施,可能需要防火牆規則。如需參考,請參閱使用防火牆規則防止繞過Cisco Umbrella。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
17-Sep-2025
|
初始版本 |
意見