USG6370配置DNS透明代理上网不通

发布时间:  2015-12-30 浏览次数:  655 下载次数:  0
问题描述

客户的安全策略配置:

 //按照当前的配置,设备做DNS透明代理,发现内网PC的DNS地址写成USG的内网网关地址,电脑不能上网,打不开网页,但是ping公网IP地址是可以通的。

security-policy
 default policy logging
 default session logging
 rule name alltime        //配置了local到untrust的策略放行
  disable
  source-zone local
  destination-zone untrust
  source-address address-set office
  action permit           


 rule name server_in
  source-zone untrust        //配置了untrust到内网服务器区域的策略放行
  destination-zone server
  destination-address address-set server
  action permit


 rule name server_out
  source-zone server          //配置了内网服务器区域到untrust区域的策略放行
  destination-zone untrust   
  source-address address-set server
  action permit


 rule name office       
  source-zone trust            //配置了trust区域到untrust区域的策略放行
  destination-zone untrust
  action permit


dns resolve           

 //透明DNS代理,需要配置内网trust区域到设备local区域,设备local区域到untrust区域的策略

//内网电脑的DNS解析请求首先发到防火墙,涉及trust到local的放行;其次是防火墙将DNS请求转发到公网的DNS服务器去解析,涉及local到untrust的策略放行


dns server unnumbered interface GigabitEthernet1/0/1
dns server unnumbered interface GigabitEthernet1/0/4
dns server unnumbered interface Dialer0
dns server unnumbered interface Dialer2
dns server unnumbered interface Dialer1
dns transparent-proxy enable
dns server bind interface GigabitEthernet1/0/3 preferred 202.96.209.6 alternate 202.96.209.133
dns transparent-proxy server 202.96.209.6
dns transparent-proxy server 202.96.209.133

 dns proxy enable 

告警信息

处理过程

添加明细安全策略,单独放行透明DNS代理需要的策略:配置trust到local,local到untrust的策略,放行dns报文。


根因

1. DNS透明代理,内网电脑配置的DNS地址是USG的网关地址,需要USG来代理解析。单独配置了trust到local,local到untrust的策略,放行dns报文。问题得到解决。

2. 为避免安全问题,关闭default的全允许策略。

解决方案
排查属于配置问题,单独配置了trust到local,local到untrust的策略,放行dns报文。关闭default的全允许策略,问题解决。
建议与总结
DNS透明代理,内网电脑配置的DNS地址是USG的网关地址,需要USG来代理解析。这种场景下需要单独配置trust到local,local到untrust的策略,放行DNS报文。

END