Варианты установки Gatewall DNS Filter
Сравнение функциональности GateWall DNS Filter и OpenDNS
В корпоративных сетях можно использовать два варианта развертывания сервера GateWall DNS Filter.
Установка перед корпоративным DNS сервером
В первом варианте сервер GateWall DNS Filter располагается перед корпоративным DNS сервером. Предполагается, что на корпоративном DNS сервере разрешено перенаправление DNS запросов на DNS сервер(а) Интернет-провайдера. В консоли DNS Filter Administrator создаются пользователи локальной сети, с авторизацией по IP адресу. Доменное имя организации помещается в параметр exclude_domains секции <brightcloud /> файла настроек сервера.
В настройках DNS указывается, что DNS запросы требуется направлять на внутренний DNS сервер компании. Машина с GateWall DNS Filter должна иметь доступ в сеть Интернет по протоколам HTTPS и BCAP (BrightCloud Control Application Protocol, TCP порт 2316). В этом варианте в GateWall DNS Filter будет доступна детальная статистика по всем пользователям (машинам) в локальной сети.
Установка за корпоративным DNS сервером
Во втором варианте сервер GateWall DNS Filter устанавливается непосредственно за корпоративным DNS сервером. Предполагается, что в настройках корпоративного DNS сервера указан адрес GateWall DNS Filter в качестве сервера для пересылки запросов (Forwarder). В настройках DNS Filter создается единственный пользователь с IP адресом, соответствующим корпоративному DNS серверу. В качестве DNS серверов для пересылки запросов в настройках DNS Filter указывается DNS сервер(а) Интернет-провайдера. В этом варианте возможно увеличение производительности работы GateWall DNS Filter, за счет обработки запросов от единственного пользователя. Однако детализации запросов по пользователям локальной сети будет недоступна.
Поскольку GateWall DNS Filter не является шлюзовым решением, в обоих вариантах необходимо запретить прохождение DNS запросов в сеть Интернет непосредственно с машин пользователей.
Настройка различных прав доступа для пользователей с одним внешним IP-адресом
В некоторых случаях необходимо применить разные политики к пользователям, находящихся в пределах одной сети и имеющим один внешний IP-адрес. В этом случае можно настроить несколько DNS relay серверов с внешними IP-адресами, по одному для каждой группы пользователей.
Функция этих серверов будет просто сводиться к переадресации DNS-запросов. Всем пользователям группы следует прописать адрес соответствующего DNS-сервера, а на GateWall DNS Server применять разные политики к запросам, идущим с разных relay server.
