您的內容過濾服務可能失效的原因是什麼？

Zyxel_Kenny

內容過濾服務(Content Filter)用於保護企業免受不良的網站內容影響。它提供了幾個好處，因此，大多數IT人員會在網路基礎設施中部署此服務以達到以下目的：

1. 封鎖對不良網路內容的訪問：
   使用 Zyxel 的網站過濾服務(Web Filtering)進行精確的封鎖和過濾，該服務通過雲端資料庫不斷更新，以防範有害內容。
   
   
2. 防範惡意和釣魚網站：
   透過阻止對已知惡意網站的訪問，保護您的網路不受如釣魚、惡意軟體、攻擊工具包和命令和控制等網路威脅。
   
   
3. 基於規則的控制(Policy-based control)：
   實施基於規則的控制來進行更細緻的封鎖和過濾。這一點可以說是相當重要，因為有許多惡意網站可以感染系統並植入病毒或間諜軟體。Zyxel 網站過濾服務提供了一個綜合解決方案，通過整合安全訂閱服務來防範來自不良網站的惡意攻擊，並使管理員能夠有效地管理用戶訪問。

然而，DNS over HTTPS（DoH）是一種新的協議，它加密了經過 DNS 查詢的域名系統流量。其主要功能是通訊加密有助於隱藏用戶的線上活動。

現代操作系統和瀏覽器通常預設啟用 DNS over HTTPS（DoH）或 DNS over TLS（DoT）。例如，在 Windows 11 中，它預設偏好加密連接，但仍允許非加密連接。您可以通過打開命令提示符並使用命令 'netsh dns show encryption' 來查看加密 DNS 服務器的列表。

面對這樣的矛盾可以如何處理呢？大多數情況下，您將不得不執行企業的安全和控制政策。這意味著您需要一個解決方案來繞過 DoH / DoT，同時保持您的內容過濾服務正常運作。使用 USG FLEX / ATP 防火牆，您可以簡單地阻止使用 DoH / DoT 並獲得以下好處：

• 防止用戶繞過公司的網路過濾服務。
  
• 保留對您網路上所有 DNS 流量的能見度和安全性。
  
• 有效地路由 DNS 查詢並保持整體網路健康。

在 SCR 50AXE 或 USG LITE 系列中，沒有直接封鎖 DoH/DoT 的選項。但是，您可以確保無線或有線客戶端指向 SCR 50AXE 上配置的 DNS 伺服器。這可以防止它們在 Windows 作業系統上使用外部的 DoH 伺服器。

要做到這一點，請進入 Nebula Control Center 並編輯 SCR 50AXE 的 LAN 介面設置。將 DNS 伺服器配置設置為「此路由器」(This Router)。