Теперь настраивать DNS на сервере стало значительно проще, в общем случае не нужно вообще никаких настроек. Гораздо удобнее стало использовать наш продукт с интернет-сервисами, предоставляющими услуги фильтрации трафика через DNS. Зачем это нужно и как воспользоваться этой возможностью рассказывается в данной статье.
ЧТО ТАКОЕ DNS:
Domain Name System (система доменных имён) - это адресная книга Интернета, где каждому домену сопоставлен цифровой адрес. Например наш сайт, ideco.ru - живет по адресу 46.182.31.10.
Каждый раз, когда вы заходите на веб-страницу, браузер ищет её адрес в системе DNS.
НАСТРОЙКА ФИЛЬТРАЦИИ С ПОМОЩЬЮ DNS-СЕРВЕРОВ В IDECO ICS:
По умолчанию настраивать DNS-сервер в Ideco ICS не нужно. Нет необходимости даже в указании адресов dns-серверов в настройках интерфейсов. Наш сервер будет запрашивать сопоставление доменных имен через корневые dns-серверы интернета.
Но для фильтрации трафика и обеспечения безопасности интернета можно использовать не только средства нашего интернет-шлюза, но и внешние фильтрующие dns-сервисы, такие как SkyDNS, Яндекс.DNS, OpenDNS и другие.
ЧЕМ ЭТО МОЖЕТ БЫТЬ ПОЛЕЗНО:
- Защита от зараженных сайтов.
- Защита от бот-сетей.
- Защита от нежелательных сайтов.
НАСТРОИТЬ ФИЛЬТРАЦИЮ ЧЕРЕЗ СТОРОННИЕ DNS-СЕРВЕРА НА IDECO ICS ОЧЕНЬ ПРОСТО:
1. Достаточно прописать выбранный DNS-сервер в настройках:
В случае, если у вас внутри локальной сети, либо внутри сети провайдера, есть внутренняя dns-зона, не обслуживаемая внешними dns-серверами (например, есть домен Active Directory), нужно прописать ее в Forward-зонах.
2. На всех устройствах, которые требуется защитить, в качестве единственного DNS-сервера должен быть прописан ip-адрес Ideco ICS.
Пользователи, получающие адреса автоматически через DHCP-сервер Ideco ICS, либо авторизующиеся по VPN-подключению, получают нужные настройки автоматически. Остальным нужно прописать их вручную (либо настроить нужные параметры на стороннем DHCP-сервере).
Дополнительно можно запретить пользователям сети использовать внешние DNS-серверы (чтобы никто не мог обойти защиту, указав другой dns-сервер на локальном устройстве).
Проще всего это сделать через системный фаервол, указав следующее правило (разместив его выше всех разрешающих правил):
Если необходимо разрешить кому-нибудь использовать сторонние dns-сервера для обхода фильтрации, можно создать разрешающие правила для этих компьютеров, разместив их выше этого запрещающего правила.
3. При использовании динамического ip-адреса на внешнем интерфейсе сервера можно без дополнительных настроек использовать фильтрацию Яндекс.DNS
и других сервисов, у которых для разных уровней фильтрации используются разные DNS-сервера. В случае использования SkyDNS с единым DNS-сервером и возможностью настроек доступа по категориям сайтов, необходимо установить SkyDNS Agent на один из компьютеров или windows-серверов локальной сети.
4. Настройка запрещенных категорий доступа настраивается на сайтах, предоставляющих услуги dns-фильтрации. Для Яндекс.DNS вы просто выбираете DNS-сервер, обеспечивающий необходимый вам уровень защиты. В случае использования SkyDNS - регистрируетесь на сайте и запрещаете выбранные категории сайтов в личном кабинете.
КОМПЛЕКТ IDECO ICS + SKYDNS
Специально для школ наша компания совместно с сервисом SkyDNS предлагает комплект «Интернет-шлюз Ideco ICS + контент-фильтр SkyDNS», обеспечивающий максимальную защиту сети с учетом требований российских законов и методик фильтрации, рекомендованных Министерством образования РФ. Подробнее о преимуществах и ценах на комплект можно узнать в специальном разделе.