本文介绍运行内部域名系统 (DNS) 的公司允许Global Threat Intelligence (GTI) 内部查询的可行机制。
测试连接性
使用 执行手动查找
nslookup 要验证您的计算机能否连接到 GTI 服务器,请:
- 按 Windows+R ,键入Cmd,然后单击确定。
- 类型nslookup 4z9p5tjmcbnblehp4557z1d136.avqs.mcafee.com 并按 Enter 键。
如下所示的响应:
服务器:
地址:10.10.135.201
名字:4z9p5tjmcbnblehp4557z1d136.avqs.mcafee.com
地址:127.0.4.8
如果nslookup 失败,或者出现一个失效错误,请参阅:KB53733 - 确认已安装 GTI 文件信誉且端点可以与 GTI 服务器通信.
使用 版本的产品VSCore 14.4.0.354.17 或更高版本将 GTI 文件信誉查询发送到备用域: avts.mcafee.com
这些产品包括:
- Endpoint Security
- VirusScan Enterprise 8.8 Patch 1 或更高版本
所有其他产品继续将 GTI 文件信誉查询发送到avqs.mcafee.com.
这是否意味着您
您可以在 Internet 上从内部和逻辑上独立于 DNS 基础架构使用 DNS,并使用 ISA 等代理提供Microsoft互联网访问。 该 DNS 基础架构通常称为拆分 DNS以及更不常用的拆分范围。 这两个术语都意味着配置组织的内部用户访问单独的 DNS 基础架构。 例如,请参阅该Microsoft ISA 配置 DNS 服务器文章.
此场景包含一个解决方法,可安全提供对 GTI 查询的访问。 此场景提供访问,但不在内部对每个主机实施完全可路由的 DNS 流量。
安全地启用转发
若要使 GTI 技术运行,它必须执行实时 DNS 查询。 这样做的原因是,内部 DNS 服务器可以看到一DNS 服务器能够解析 GTI 域的域。 例如,DNS 服务器服务器使用的 DMZ 中存储的端口。
GTI 解决方案
通过仅将 GTI 技术使用的域名直接转发给公共解析程序,您可以安全地允许查找,无需路由任何其他域。
两个示例场景:
要安全配置该示例,管理员必须确保内部 DNS 服务器仅将 GTI 技术所使用域的请求转发给公共解析程序。 (公共解析器是DNS 服务器 Internet 上查询的解析器。) 此外,请参阅下一DNS 服务器转发配置的示例。
DNS 链如下所示:
仅内部 DNS 转发avqs.mcafee.com=> DMZ 或 代理服务器 => DNS 将请求转发至 ISPS DNS 服务器
此链还可能会通过隔离网络(内部 DNS 和 ISA 服务器之间没有默认路由器)实现。 McAfee Enterprise 强烈建议您将查询转发至最近的 Internet DNS 解析器,而不要直接转发至 GTI 查询群集。 可以从服务中删除单个群集以进行维护。 McAfee Enterprise 通过重新路由流量到其他群集来维护服务。
示例配置
以下示例配置适用于
Windows DNS 服务和 *
nix/Linux BIND 9.
Windows DNS 管理器
- 启动 Windows DNS 管理器。
- 右键单击相应的服务器并选择性能。
- 单击代理选项卡,然后单击新增功能.
- 添加 DNS 区域。 它转发请求。
- 在所选域的转发IP地址列表下,键入IP解析此区域的服务器地址,然后单击添加。
- 对于所有适用的服务器,重复以下步骤。
- 完成后点击确定。
Windows/Linux BIND
- 如果 BIND 正在 *nix/ Linux使用,则请将以下内容插入到named.conf使用相应的IP地址:
---功能 NB Global Threat Intelligence区域转发: 以下服务器为开放解析程序。
区域"avqs.mcafee.com" 在 { 中
类型转发;
forward first;
forwarders { 10.10.128.135; 10.10.128.136;};
};
// ---
- 重新加载配置。 根据相关产品手册中的说明操作。