【简介】FortiGate防火墙上有一个DNS菜单,很多人为了能上网而修改它,其实大家都误解了它作用。这里就详细的给大家解释一下。
?
防火墙的DNS菜单,并不是给我们上网用的。
① 选择菜单【网络】-【DNS】,我们可以看到有关于防火墙DNS的设置,默认情况下,DNS服务器为【使用FortiGuard服务器】,下面会有两个IP地址,而且我们看到响应时间也比较慢。
FortiGuard是一组针对Fortinet产品使用的服务器,它很重要,它可以提供反病毒、入侵防御、网页过滤、反垃圾邮件、应用控制等等高级功能的更新和评级。当我们需要用到网页过滤或反垃圾邮件功能时,还需要从FortiGuard服务器上获取到访问网站的分类等信息,即使不使用这些高级功能,我们的注册信息、服务器信息、固件升级等等,都需要防火墙和FortiGuard服务器频繁联系。
默认情况下,FortiGuard使用位于世界各地的公共FortiGuard服务器。你也可以将FortiGuard配置为使用仅位于美国的公共FortiGuard服务器。
默认情况下,FortiGate使用FortiGuard的DNS服务器:
● Primary:96.45.45.45
● Secondary:96.45.46.46
它们的作用,就是用来解析并找到离我们最近的FortiGuard服务器。
因此,请保持DNS服务器为默认设置【使用FortiGuard服务器】。不要做修改,这样我们才能使防火墙保持自动更新状态。
?
既然防火墙上的DNS选项是为了解析FortiGuard服务器地址,那么我们上网的DNS在哪里设置呢?
①?如果防火墙下面接入的是二层设备,那么我们可以直接在接口上启用DHCP。在DHCP服务器中设置中有个DNS服务器设置,这里建议选择【指定】。如果有多条不同运营商宽带,则输入通用DNS服务器地址,如果只有一条电信宽带,则可以输入当地电信宽带专用DNS地址,这样解析的速度会更快一些。
②?如果是固定IP宽带,运营商会提供DNS服务器IP地址。拨号宽带的话,在防火墙的DNS菜单中可以动态获得。象本例中,有两条宽带,电信和移动更有自己的DNS服务器,如果DNS设置为电信,走移动的时候很多IP解析不出来,同样,如果DNS设置为移动,走电信里又会有很多IP解析不出来,因此在接口的DHCP服务器设置DNS服务器时,我们手动设置为8.8.8.8和114.114.114.114,这是通用DNS服务器。虽然解析速度慢一点,但是走每条线路都能正确解析。?
③?接口下的DHCP服务器,DNS服务器默认选项是【与系统DNS相同】。在多条宽带的情况下,不建议用这个选项,因为得到的DNS服务器IP在其它运营商并不适用。
④?但如果只是一条拨号宽带,将得到拨号宽带的DNS服务器IP。这样是可行的。但是,如果不是拨号宽带,而是固定宽带,那么得到的将是96.45.45.45和96.45.46.46。而这个很显然,并不适用我们上网。
?
我们以前在用路由器的时候,发现DNS指定路由器地址,一样是可以上网的,那么在防火墙上适用吗?
①?如果将接口的DHCP服务器设置下的DNS服务器设置为【与接口IP地址相同】,那么会出现什么情况?
②?DNS指向防火墙内网接口IP。
③?Ping百度网址,解析不出IP地址来,说明DNS无效。
④?选择菜单【系统管理】-【可见功能】,启用【DNS数据库】,这个功能默认是不在菜单显示的。因为很少用到。
⑤?选择菜单【网络】-【DNS服务器】,在接口上的DNS服务栏点击【新建】。
⑥?选择内网接口,模式默认为递归模式,当无法满足请求时,查询外部DNS服务器。
●?递归:对FortiGate DNS数据库中条目的查询进行应答,并将所有其他查询转发到单独的DNS服务器进行解析。
●?非递归:对FortiGate DNS数据库中条目的查询进行应答,不转发不可解析的查询。
● 转发至系统DNS:将所有查询转发到一个单独的DNS服务器(你已经在网络> DNS中配置);即充当DNS中继而不是DNS服务器。
⑦?接口上的DNS服务配置完成,当电脑DNS指定防火墙内网接口时,先在防火墙内的DNS服务器查找,当没有满足条件时,再通过DNS外部服务器查找。
⑧?DNS现在可以正常解析了。
⑨?FortiGate作为DNS服务器可以提高FortiMail设备或其他频繁使用DNS查询的设备的性能。如果你的FortiGate设备向你的本地网络提供DHCP,你可以使用DHCP将这些主机配置为使用FortiGate作为网关和DNS服务器。
但是如果电脑上网则不建议将FortiGate作为DNS服务器,因为负载太大会影响防火墙的性能,特别是现在防火墙大部分不带硬盘,DNS缓存会消耗防火墙宝贵的内存。
如果电脑少,可以直接指定公网DNS,如果电脑多,则建议用Windows Server建立专用的DNS服务器。由于在Windows?Server DNS服务器有缓存,因此比电脑直接指定DNS公网地址来说效率更高。
