Lorsque le paramètre d'application de DNSWatch est activé sur un Firebox, les serveurs DNSWatch ont la priorité sur ces serveurs DNS :
- Serveurs DNS Réseau (Global) configurés sur votre Firebox
DNSWatch n'a pas priorité sur un serveur DNS local s'il figure en tête de liste des serveurs DNS Réseau. - Serveurs DNS d'interface configurés sur votre Firebox
- Serveurs DNS assignés par votre FAI (lorsque le Firebox est un client DHCP ou PPPoE)
- Redirecteurs vers les serveurs DNS publics configurés sur un serveur DNS local
- Serveurs DNS configurés manuellement sur un hôte du réseau
Pour de plus amples informations concernant les serveurs DNS configurés sur votre Firebox, consultez À propos de DNS sur le Firebox.
Ces facteurs influent sur la capacité des Fireboxes à envoyer des requêtes DNS à partir de votre réseau vers DNSWatch :
- Contenu du cache du résolveur DNS du Firebox Astuce !
- Règles de transfert DNS conditionnel configurées sur le Firebox
- Paramètres d'application de DNSWatch Astuce !
Pour de plus amples informations concernant le cache du résolveur DNS du Firebox et le transfert DNS conditionnel, consultez À propos du Transfert DNS.
Pour de plus amples informations concernant les options de contrôle DNSWatch, consultez Activer DNSWatch sur Votre Firebox.
Pour obtenir des exemples de configuration DNSWatch, consultez Exemples de configuration de Firebox DNSWatch.
Serveurs DNS DNSWatch
Lorsque vous activez DNSWatch, deux adresses IP DNSWatch sont ajoutées à la configuration de votre Firebox. Si le serveur DNSWatch principal n'est pas disponible, le Firebox tente de contacter le serveur DNSWatch secondaire.
Lorsque vous activez le contrôle DNSWatch sur une interface interne, le Firebox redirige toutes les requêtes DNS sortantes de cette interface vers les serveurs DNS DNSWatch.
Serveur DNS Réseau (Global)
Le serveur DNS Réseau (Global) est le serveur DNS par défaut de toutes les interfaces et processus locaux du Firebox. Votre Firebox envoie les requêtes DNS au premier serveur de la liste des serveurs DNS Réseau avant les autres serveurs de la liste.
Si la liste des serveurs DNS Réseau comprend un serveur DNS local, celui-ci doit figurer en tête de liste. DNSWatch n'a pas priorité sur un serveur DNS local si ce serveur figure en tête de liste des serveurs DNS Réseau.
Lorsque DNSWatch est activé avec le contrôle désactivé :
- Les serveurs DNS DNSWatch ont priorité sur les serveurs DNS de la liste des serveurs DNS Réseau du Firebox pour les requêtes DNS issues par le Firebox lui-même ou pour les requêtes DNS envoyées à l'adresse IP du Firebox. Il y a une exception : DNSWatch n'a pas la priorité sur un serveur DNS local s'il apparaît en premier dans la liste des serveurs DNS du réseau.
- Les requêtes DNS adressées à des adresses IP différentes de l'adresse IP du Firebox ou aux adresses IP de DNSWatch ne sont pas envoyées à DNSWatch.
- Si la fonctionnalité de transfert DNS est désactivée, les requêtes DNS issues du Firebox ou destinées à celui-ci sont envoyées à DNSWatch.
- Si la fonctionnalité de transfert DNS est activée, les requêtes DNS issues du Firebox ou adressées à celui-ci sont résolues par le cache du Firebox, envoyées aux serveurs DNS spécifiés dans les règles de transfert DNS conditionnel ou envoyées à DNSWatch (dans cet ordre).
Lorsque DNSWatch est activé avec le contrôle activé :
- Les serveurs DNS DNSWatch ont priorité sur les serveurs DNS de la liste des serveurs DNS Réseau du Firebox. Il y a une exception : DNSWatch n'a pas la priorité sur un serveur DNS local s'il apparaît en premier dans la liste des serveurs DNS du réseau.
- Les requêtes DNS issues du Firebox ou adressées à celui-ci sont résolues par le cache du Firebox, envoyées aux serveurs DNS spécifiés dans les règles de transfert DNS conditionnel ou envoyées à DNSWatch (dans cet ordre).
Serveur DNS d'Interface
Le serveur DNS d'interface est un serveur DNS facultatif que vous pouvez spécifier lorsque vous configurez une interface en tant que serveur DHCP.
Si DNSWatch est activé avec le contrôle désactivé et qu'un serveur DNS d'interface est spécifié, les requêtes DNS sont envoyées au serveur DNS d'interface et non à DNSWatch.
Lorsque DNSWatch est activé avec le contrôle activé et qu'un serveur DNS d'interface est spécifié :
- Les serveurs DNS DNSWatch ont priorité sur les serveurs DNS spécifiés dans les paramètres de l'interface.
- Les requêtes DNS correspondant aux ressources externes sont résolues par le cache du Firebox, envoyées aux serveurs DNS spécifiés dans les règles de transfert DNS conditionnel ou envoyées à DNSWatch (dans cet ordre).
Serveur DNS d'un FAI
Lorsque votre Firebox est configuré en tant que client DHCP ou PPPoE, il reçoit les paramètres du serveur DNS de votre FAI.
Lorsque DNSWatch est activé :
- Les serveurs DNS DNSWatch ont priorité sur les serveurs de votre FAI.
- Votre Firebox obtient les serveurs DNS de votre FAI et enregistre ces informations.
Redirecteurs d'un Serveur DNS Local
Les serveurs DNS locaux résolvent les requêtes correspondant aux noms d'hôtes sur vos réseaux privés et contactent d'autres serveurs DNS de manière à résoudre les requêtes correspondant aux noms d'hôtes publics. Votre serveur DNS peut employer deux méthodes pour résoudre les requêtes des noms d'hôtes publics : les redirecteurs et les indications de racine.
DNSWatch n'est pas compatible avec les indications de racine. Si vous avez configuré les redirecteurs et les indications de racine sur un serveur Windows, les indications de racine sont utilisées si les redirecteurs ne répondent pas. Pour obtenir de meilleurs résultats avec DNSWatch, nous vous recommandons de désactiver l'option Utiliser les indications de racine si aucun redirecteur n'est disponible dans l'onglet Redirecteurs.
Si vous possédez un serveur DNS local où des redirecteurs ont été configurés :
Si le contrôle DNSWatch est activé
DNSWatch a priorité sur les redirecteurs DNS publics spécifiés sur votre serveur DNS local.
Étant donné que le Firebox surveille le trafic du port 53 lorsque le contrôle est activé, les requêtes DNS des domaines publics sont envoyées à DNSWatch, même si la requête a été adressée à un redirecteur public spécifié dans les paramètres de votre serveur DNS local.
Serveurs DNS publics configurés en tant que redirecteurs DNS sous Windows Server 2016
Si le contrôle DNSWatch est désactivé et que l'adresse IP du Firebox est spécifiée comme redirecteur sur votre serveur DNS local
Les requêtes DNS correspondant aux domaines publics envoyées au serveur DNS local sont redirigées vers le Firebox, qui les transmet à DNSWatch.
Firebox configuré comme redirecteur DNS sous Windows Server 2016
Serveurs DNS Configurés Manuellement sur un Hôte
Un hôte de votre réseau peut être configuré manuellement avec les paramètres du serveur DNS.
Si le contrôle DNSWatch est activé
DNSWatch a priorité sur les serveurs DNS publics configurés manuellement sur l'hôte.
Étant donné que le Firebox surveille le trafic du port 53 lorsque le contrôle est activé, les requêtes DNS des domaines publics sont envoyées à DNSWatch, même si la requête a été adressée à un autre serveur DNS.
Si le contrôle DNSWatch est désactivé et que l'hôte est configuré avec des serveurs DNS publics
Les requêtes DNS des domaines publics sont transmises au serveur DNS spécifié dans les paramètres de l'hôte. Les requêtes DNS ne sont pas redirigées vers DNSWatch.
Pour protéger cet hôte avec DNSWatch, si vous ne souhaitez pas activer le contrôle DNSWatch, nous vous recommandons de modifier manuellement les serveurs DNS configurés sur cet hôte en indiquant l'adresse IP du Firebox ou les adresses IP du serveur DNSWatch.
Si le contrôle DNSWatch est désactivé et que l'adresse IP du Firebox est configurée en tant que serveur DNS dans les paramètres de l'hôte
Les requêtes DNS correspondant aux domaines publics sont envoyées au Firebox, qui les transmet à DNSWatch.
Voir Également
À propos de DNSWatch WatchGuard
Exemples de configuration de Firebox DNSWatch
Surveiller l'État du Service DNSWatch
À propos de DNS sur le Firebox