Skip to main content

Взаимодействие SkyDNS и корпоративных систем

В корпоративной системе существуют сервисы, использование которых упрощает администрирование сети, а на некоторые из них возлагают и функцию ограничения доступа пользователей к нежелательным ресурсам интернета, например:

  • DHCP - используется для назначения сетевых реквизитов пользовательским системам.
  • Контроллер домена - нужен для централизованного управления ресурсами домена компании, например, доменными именами пользовательских и иных систем компании.
  • Сервер DNS - на него возлагается разрешение доменных имён систем компании в их IP адреса для сетевого взаимодействия. Кроме этого, DNS-сервер отвечает за обработку запросов, касающихся интернет доменов.
  • Прокси-сервер - его основная функция - транзит веб-трафика (и трафика некоторых других протоколов) из интернета в локальную сеть компании. Для выполнения запросов пользователей прокси-сервер выполняет разрешение имён, используя сервис DNS.
  • Интернет-шлюз - маршрутизирует трафик между сетью компании и интернетом. Часто он защищает локальную сеть и блокирует нежелательные виды трафика в сторону интернета.

Рассмотрим варианты взаимодействия сервиса SkyDNS с каждым из вышеприведённых компонентов корпоративной системы.

DNS сервер компании: как правило, такие серверы настроены на передачу запросов соответствующим серверам провайдера и самостоятельным разрешением имён занимаются только в рамках корпоративного домена. Если для такого сервера в качестве сервиса, реализующего фактическое разрешение имён для интернет, указать SkyDNS, в ответ на запросы, содержащиеся в заблокированных категориях, будет выдаваться один из адресов SkyDNS. Если при этом целью запроса к DNS-серверу компании было получение IP-адреса веб-страницы, в браузере появится страница блокировки сервисом SkyDNS обращения к сайту. В данной конфигурации взаимодействия корпоративных систем со SkyDNS пользователи, использующие DNS сервер компании, будут вынуждены подчиняться тем или иным правилам политики безопасности или контроля использования интернет. А отражение правил будет установлено в личном кабинете SkyDNS.

При этом, при правильной настройке разрешение имён корпоративного домена будет только на стороне DNS-сервера компании.

Далее рассмотрим конфигурирование DHCP таким образом, чтобы пользователям в качестве DNS сервера для компании выдавался адрес SkyDNS. При этом запросы тех пользователей, чьи системы используют DHCP для получения сетевых реквизитов, будут получать ответы напрямую от SkyDNS. Это ограничивает возможности использования корпоративного домена. Лучше такая конфигурация подходит, когда он не используется в локальной сети компании. При возможности гибкой настройки DHCP-сервера можно назначать пользователям DNS без фильтрации или с ней.

Если используется прокси-сервер, настроив разрешение имён в нём через сервис SkyDNS можно получить аналогичный по своему эффекту взаимодействия DNS сервера компании со SkyDNS результат.

Лучший контроль над DNS запросами пользователей и соответствующую политике безопасности или ограничений реализацию взаимодействия с сервисом SkyDNS можно получить комплексным подходом, включающим и настройку интернет-шлюза компании или филиала. При этом, в брандмауэре надо задать перенаправление DNS запросов на сервис SkyDNS. При желании можно исключить те машины в сети, которые не должны проходить фильтрацию запросов.

В качестве заключения можно привести вариант сценария взаимодействия с сервисом SkyDNS:

Среди сетевых реквизитов, получаемых по DHCP в качестве адреса DNS-сервера, пользовательская система получает адрес корпоративного DNS сервера.

На корпоративном DNS-сервере запросы, касающиеся доменов интернет, передаются сервису SkyDNS. Ответы отфильтрованы в соответствии с настройками сервиса.

Преобразование адресов на прокси-сервере настроено на корпоративный DNS сервер. Запросы к веб-серверам в сети проходят без изменений, а к интернет-сайтам фильтруются на уровне DNS.

Дополнительно, или как вариант, на Интернет-шлюзе запросы, направляющиеся по протоколу DNS, перенаправляются в сторону сервиса SkyDNS.

Для успешного применения некоторых политик безопасности обязательно закрытие доступа пользователей к другим DNS на Интернет-шлюзе. При этом, если у компании есть несколько белых IP-адресов (например, для NAT), можно разделить профили фильтрации.