您的內容過濾服務可能失效的原因是什麼?

Zyxel_Kenny
Zyxel_Kenny 文章數: 78  Zyxel Employee
First Comment Friend Collector Third Anniversary
已編輯 4月 11 日 防火牆 常見問題

內容過濾服務(Content Filter)用於保護企業免受不良的網站內容影響。它提供了幾個好處,因此,大多數IT人員會在網路基礎設施中部署此服務以達到以下目的:

  1. 封鎖對不良網路內容的訪問:
    使用 Zyxel 的網站過濾服務(Web Filtering)進行精確的封鎖和過濾,該服務通過雲端資料庫不斷更新,以防範有害內容。

  2. 防範惡意和釣魚網站:
    透過阻止對已知惡意網站的訪問,保護您的網路不受如釣魚、惡意軟體、攻擊工具包和命令和控制等網路威脅。

  3. 基於規則的控制(Policy-based control):
    實施基於規則的控制來進行更細緻的封鎖和過濾。這一點可以說是相當重要,因為有許多惡意網站可以感染系統並植入病毒或間諜軟體。Zyxel 網站過濾服務提供了一個綜合解決方案,通過整合安全訂閱服務來防範來自不良網站的惡意攻擊,並使管理員能夠有效地管理用戶訪問。

然而,DNS over HTTPS(DoH)是一種新的協議,它加密了經過 DNS 查詢的域名系統流量。其主要功能是通訊加密有助於隱藏用戶的線上活動。

現代操作系統和瀏覽器通常預設啟用 DNS over HTTPS(DoH)或 DNS over TLS(DoT)。例如,在 Windows 11 中,它預設偏好加密連接,但仍允許非加密連接。您可以通過打開命令提示符並使用命令 'netsh dns show encryption' 來查看加密 DNS 服務器的列表。

面對這樣的矛盾可以如何處理呢?大多數情況下,您將不得不執行企業的安全和控制政策。這意味著您需要一個解決方案來繞過 DoH / DoT,同時保持您的內容過濾服務正常運作。使用 USG FLEX / ATP 防火牆,您可以簡單地阻止使用 DoH / DoT 並獲得以下好處:

  • 防止用戶繞過公司的網路過濾服務。
  • 保留對您網路上所有 DNS 流量的能見度和安全性。
  • 有效地路由 DNS 查詢並保持整體網路健康。

在 SCR 50AXE 或 USG LITE 系列中,沒有直接封鎖 DoH/DoT 的選項。但是,您可以確保無線或有線客戶端指向 SCR 50AXE 上配置的 DNS 伺服器。這可以防止它們在 Windows 作業系統上使用外部的 DoH 伺服器。

要做到這一點,請進入 Nebula Control Center 並編輯 SCR 50AXE 的 LAN 介面設置。將 DNS 伺服器配置設置為「此路由器」(This Router)。