Activer DNSWatch sur Votre Firebox
DNSWatch bloque les connexions d'utilisateurs aux domaines malveillants, indépendamment du type de connexion, du protocole ou du port. Vous pouvez également appliquer des stratégies de filtrage du contenu pour bloquer du contenu en fonction des catégories. Pour plus d'informations, consultez À propos de DNSWatch WatchGuard.
Vous pouvez également appliquer une stratégie de filtrage du contenu au Firebox. Si vous avez une stratégie de filtrage du contenu par défaut, elle s'applique automatiquement aux nouveaux Firebox. Pour appliquer une stratégie de filtrage du contenu à votre Firebox, consultez Gérer l'Accès des Utilisateurs au Contenu.
- Mettre à Niveau le système d'exploitation Fireware OS ou WatchGuard System Manager
- Obtenir une Clé de Fonctionnalité Firebox
À propose des Options de Contrôle d'Utilisation DNSWatch
Lorsque vous activez DNSWatch, vous devez sélectionner une option de contrôle d'utilisation. Pour chaque interface, le contrôle peut être activé ou désactivé. Le paramètre Contrôle d'Utilisation contrôle les requêtes DNS sortantes que le Firebox redirige vers le serveur DNS DNSWatch.
- Activé —le Firebox redirige toutes les requêtes DNS sortantes de cette interface vers les serveurs DNS DNSWatch.
- Désactivé — le Firebox redirige les requêtes DNS sortantes de cette interface vers les serveurs DNS de DNSWatch uniquement lorsque la requête DNS est adressée au Firebox.
Lorsque vous activez DNSWatch, vous devez sélectionner l'une des options de contrôle suivantes :
- Contrôler sur toutes les interfaces Approuvées, Facultatives et Personnalisées
- Contrôler sur les interfaces sélectionnées
- Désactiver le contrôle
Pour la plupart des réseaux, nous vous recommandons d'activer le contrôle sur toutes les interfaces.
Recommandations de Configuration
DNSWatch modifie d'autres paramètres DNS du Firebox. Dans la plupart des cas, il n'est pas nécessaire de modifier votre configuration DNS existante après avoir activé DNSWatch. Voici quelques recommandations spécifiques :
Contrôle d'Utilisation
Pour la plupart des réseaux, nous vous recommandons d'activer le contrôle DNSWatch sur toutes les interfaces. Si vous déterminez que DNSWatch cause des problèmes de résolution DNS sur un client réseau devant utiliser un serveur DNS spécifique, désactivez le contrôle d'utilisation uniquement pour l'interface à laquelle le client se connecte. Si vous désactivez le contrôle, il sera parfois nécessaire de modifier d'autres paramètres DNS, comme indiqué ci-dessous.
Si vous désactivez le contrôle d'une interface, activez son transfert DNS dans les paramètres DNS Réseau du Firebox. Lorsque le transfert DNS est activé et que le Firebox est configuré comme serveur DHCP, le Firebox envoie sa propre adresse IP aux clients DHCP en tant qu'adresse IP du serveur DNS. Le Firebox transmet les requêtes DNS sortantes qui lui sont adressées aux serveurs DNS DNSWatch.
Serveurs DNS Réseau (Global)
Si votre réseau possède un serveur DNS interne, vérifiez que le serveur DNS interne figure en premier dans les paramètres DNS (globaux) du réseau. Le Firebox utilise les serveurs DNS globaux de manière à traiter les requêtes DNS qui ne peuvent pas être résolues par les serveurs DNS DNSWatch. Pour plus d'informations, consultez À propos de DNS sur le Firebox.
Règles de Transfert DNS
DNSWatch possède des serveurs DNS dans trois régions : aux États-Unis (Est des États-Unis), dans l'UE (Irlande) et dans la région APAC (Japon et Australie). DNSWatch envoie au Firebox les adresses IP des serveurs DNS DNSWatch de la région la plus proche. Si votre Firebox se situe dans une autre région et que vous souhaitez confirmer que les requêtes DNS d'un domaine donné sont résolues vers un serveur DNS de votre région, vous pouvez ajouter une règle de transfert DNS pour ce domaine. Dans la règle de transfert DNS, spécifiez l'adresse IP du serveur DNS de votre choix. Pour plus d'informations, consultez À propos du Transfert DNS.
De nombreux produits et services WatchGuard sont hébergés sur des serveurs régionaux. Si le contrôle est désactivé sur toutes les interfaces, ajoutez des règles de transfert DNS pour ces domaines afin de confirmer que les services sont résolus vers les serveurs de votre région :
- watchguard.com
- ctmail.com
- rp.cloud.threatseeker.com
Ces règles de transfert DNS ne sont pas nécessaires lorsque le contrôle est activé. Lorsque le contrôle est activé, DNSWatch n'envoie pas de requêtes DNS pour ces domaines à DNSWatch et utilise à la place un serveur DNS spécifié dans les paramètres DNS réseau du Firebox.
Serveur DNS Local
Si vous désactivez le contrôle DNSWatch de l'interface du Firebox à laquelle votre serveur DNS local se connecte, configurez le serveur DNS de manière à utiliser l'adresse IP de l'interface du Firebox en tant que serveur DNS pour les requêtes DNS qu'il ne parvient pas à résoudre. Le Firebox redirige ensuite les requêtes DNS sortantes issues du serveur DNS vers les serveurs DNS DNSWatch.
DNSWatch sur un Firebox en Mode Pont
Dans Fireware v12.4 et les versions ultérieures, vous pouvez activer DNSWatch sur un Firebox configuré en Mode Pont. Un Firebox en Mode Pont a les mêmes options d'Application d'Utilisation qu'un Firebox configuré en Mode de Routage Mixte. L'interface est nommée « Global Bridge » dans la liste des interfaces des Fireboxes Protégés dans DNSWatch.
Un Firebox en Mode Pont avec DNSWatch activé ne peut pas résoudre les noms d'hôtes des domaines locaux à moins de créer des règles de redirection DNS pour les domaines locaux. Pour de plus amples informations concernant les règles d'accès, consultez À propos du Transfert DNS.
L'option de contrôle choisie détermine si DNSWatch a priorité sur les autres paramètres DNS configurés sur votre Firebox. Pour plus d'informations, consultez Priorité des Paramètres DNS de DNSWatch sur un Firebox.
Activer DNSWatch sur Votre Firebox
Vous pouvez activer DNSWatch à partir de Policy Manager, CLI, ou Fireware Web UI. L'état d'enregistrement et les adresses IP des serveurs DNS DNSWatch s'affichent uniquement dans Firebox Web UI.
- Sélectionnez services d'Abonnement > DNSWatch.
- Cochez la case Activer le Service DNSWatch.
- Dans la liste déroulante Contrôle d'Utilisation, sélectionnez l'option de contrôle.
L'option par défaut est Désactiver le contrôle.
Si votre réseau ne dispose pas d'un serveur DNS local, nous vous recommandons de le modifier de manière à activer le contrôle sur certaines interfaces internes ou l'ensemble d'entre elles. - Si vous avez sélectionné Contrôler sur toutes les interfaces Approuvées, Facultatives et Personnalisées, pour sélectionner les interfaces à contrôler, cliquez sur Sélectionner.
La liste des interfaces internes s'affiche. Par défaut, le contrôle est activé sur toutes les interfaces.
- Le contrôle de toutes les interfaces est activé par défaut. Pour désactiver le contrôle d'une interface, décochez sa case.
- Cliquez sur OK.
- Cliquez sur Enregistrer.
Le Firebox se connecte au compte DNSWatch où le Firebox a été activé et l'y enregistre. L'état d'enregistrement et les adresses IP des serveurs DNS DNSWatch s'affichent sur la page de configuration de DNSWatch.
- Sélectionnez services d'Abonnement > DNSWatch.
- Cochez la case Activer DNSWatch.
- Dans la liste déroulante, sélectionnez l'option de contrôle.
L'option par défaut est Désactiver le contrôle.
Si votre réseau ne dispose pas d'un serveur DNS local, nous vous recommandons de le modifier de manière à activer le contrôle sur certaines interfaces internes ou l'ensemble d'entre elles. - Si vous avez sélectionné Contrôler sur toutes les interfaces approuvées, facultatives et personnalisées, cliquez sur Sélectionner pour sélectionner les interfaces à contrôler.
La liste des interfaces internes s'affiche.
- Le contrôle de toutes les interfaces est activé par défaut. Pour désactiver le contrôle d'une interface, décochez sa case.
- Cliquez sur OK.
- Enregistrez la configuration sur le Firebox.
Le Firebox se connecte au compte DNSWatch où le Firebox a été activé et l'y enregistre. L'état d'enregistrement et les adresses IP des serveurs DNS DNSWatch s'affichent sur la page de configuration de DNSWatch.
Vérifier l'État de DNSWatch sur le Firebox
Après avoir activé DNSWatch sur votre Firebox, celui-ci se connecte au compte DNSWatch où le il a été activé et s'enregistre. L'état de l'enregistrement figure dans Fireware Web UI sur le tableau de bord du Panneau Avant ainsi que sur la page de configuration de DNSWatch. L'état d'enregistrement de DNSWatch n'est pas disponible dans Policy Manager.
Pour afficher l'état d'enregistrement de DNSWatch à partir de Fireware Web UI :
- Connectez-vous à Fireware Web UI.
- Sélectionnez services d'Abonnement > DNSWatch.
La page DNSWatch affiche l'état d'enregistrement de votre Firebox ainsi que les adresses IP des serveurs DNS DNSWatch.
- État — Indique l'état de DNSWatch. L'état peut adopter l'une de ces valeurs :
- Désactivé — La fonction DNSWatch n'est pas activée.
- Enregistrement en attente — L'enregistrement du Firebox n'a pas encore été effectué.
- Récupération d'adresses — Le Firebox est enregistré mais n'a pas encore obtenu d'adresses IP de DNSWatch.
- Opérationnel — Le Firebox s'est enregistré et a récupéré les adresses IP avec succès.
- Erreur — Une erreur s'est produite. Pour de plus amples informations concernant le dépannage des erreurs DNSWatch, consultez Surveiller l'État du Service DNSWatch.
- Date d'Enregistrement — Indique la date et l'heure à laquelle votre Firebox a été enregistré avec succès dans votre compte DNSWatch.
- Serveurs DNS — Les adresses IP des serveurs DNS DNSWatch que le Firebox utilise pour la résolution DNS. Les adresses IP du serveur DNS figurent également dans le tableau de bord des Interfaces et dans la liste des Serveurs DNS de l'onglet Détails. Pour plus d'informations, consultez À propos des Serveurs DNS DNSWatch.
- Serveurs Blackhole — Les adresses IP des Serveurs Blackhole DNSWatch. Lorsque DNSWatch reçoit une requête DNS correspondant à un domaine figurant dans les Flux de Domaines ou sur la Liste de Blocage, il renvoie l'adresse IP du Serveur Blackhole et non l'adresse IP réelle du domaine demandé. Pour de plus amples informations concernant les Serveurs Blackhole DNSWatch, consultez À propos des Serveurs de la Liste Noire DNSWatch.
L'état de DNSWatch s'affiche également dans le tableau de bord du Panneau Avant de Fireware Web UI et dans l'onglet Panneau Avant de Firebox System Manager.
Lorsque le Firebox reçoit les adresses IP des serveurs DNS DNSWatch, les adresses IP des serveurs DNS DNSWatch s'affichent accompagnées des adresses IP des autres serveurs DNS configurés à différents endroits :
- Sur Fireware Web UI, dans le tableau de bord Interfaces, dans l'onglet Détails
- Dans WatchGuard System Manager, dans l'onglet État du périphérique
- Dans Firebox System Manager, sur le Panneau Avant
- Dans Firebox System Manager, dans le Rapport d'État de la liste Serveurs de Nom de Domaine
Vous pouvez vous connecter à votre compte DNSWatch pour afficher la liste des Fireboxes protégés par DNSWatch. Pour plus d'informations, consultez Afficher les Fireboxes Protégés par DNSWatch.
Vous pouvez également appliquer une stratégie de filtrage du contenu au Firebox. Si vous avez une stratégie de filtrage du contenu par défaut, elle s'applique automatiquement aux nouveaux Firebox. Pour appliquer une stratégie de filtrage du contenu à votre Firebox, consultez Gérer l'Accès des Utilisateurs au Contenu.
Afficher les Serveurs DNS DNSWatch Utilisés par Votre Firebox
Lorsque le Firebox reçoit les adresses IP des serveurs DNS DNSWatch, les adresses IP des serveurs DNS DNSWatch s'affichent accompagnées des adresses IP des autres serveurs DNS configurés à différents endroits :
- Sur Fireware Web UI, dans le tableau de bord Interfaces, dans l'onglet Détails
- Dans WatchGuard System Manager, dans l'onglet État du périphérique
- Dans Firebox System Manager, sur le Panneau Avant
- Dans Firebox System Manager, dans le Rapport d'État de la liste Serveurs de Nom de Domaine
Pour de plus amples informations concernant l'activation et l'affichage de l'état de DNSWatch sur le Firebox, consultez Exemples de configuration de Firebox DNSWatch.