OpenDNS Umbrella Branch 上网安全服务

安装 OpenDNS Umbrella | 检查 OpenDNS Umbrella 状态


opendns2.png

OpenDNS Umbrella 上网安全服务,在不需对终端设备做任何更动的情况下,从DNS的角度轻易的防范了大量常见威胁,例如钓鱼网站、包含恶意程序的网站、木马程序回传机密信息、DNS劫持等,同时从DNS查询,也能够轻易的限制与管理企业员工的上网行为,从而提高工作效率。


安装前的准备工作

  • 升级 IOS XE 至 16.3 以上。

注意:升级IOS前,可能要先升级 ROMMON 到 15.4(3r)S5 以上。查看 ROMMON 版本可用 show platform 命令。升级 ROMMON 的方法,可以参考:连结

  • 确认使用的 IOS XE image 为 K9 版本,并具备 SEC License
  • 前往 OpenDNS 网站,申请试用或直接订阅 OpenDNS Umbrella。

注意:进入申请试用画面可能需要翻墙。连结,点选 “START A FREE TRIAL” 后,填写相关信息,即会收到欢迎试用14天邮件。

Screen%20Shot%202016-08-10%20at%2022.35.42.png
  • 官方英文安装手册:连结

OpenDNS Umbrella 网站基本配置

  • 从欢迎邮件中提供的链接进入 OpenDNS Umbrella Dashboard。
  • 取得配置路由器所需的 Token:右上方CONFIGURATION > 左方Identities > Network Devices > 右方 GET MY API TOKEN,下方即会出现一串 Token码,请把此 Token 复制下来。
Screen%20Shot%202016-08-10%20at%2020.35.06.png
  • 配置黑名单:右上方CONFIGURATION > 左方Policies > Default Policy > 2. Select Policy Settings > Global Block List,加入欲阻挡链接的正常表达式。
Screen%20Shot%202016-08-10%20at%2021.24.27.png
Screen%20Shot%202016-08-10%20at%2021.20.47.png

配置路由器上的 OpenDNS Connector 功能

  • 使用 crypto pki trustpool import terminal 命令,配置 CA 证书如下。(那一串乱码是要贴进去的)
ISR4321(config)#crypto pki trustpool import terminal                 
% Enter PEM-formatted CA certificate.
% End with a blank line or "quit" on a line by itself.
MIIElDCCA3ygAwIBAgIQAf2j627KdciIQ4tyS8+8kTANBgkqhkiG9w0BAQsFADBhMQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3d3cuZGlnaWNlcnQuY29tMSAwHgYDVQQDExdEaWdpQ2VydCBHbG9iYWwgUm9vdCBDQTAeFw0xMzAzMDgxMjAwMDBaFw0yMzAzMDgxMjAwMDBaME0xCzAJBgNVBAYTAl
VTMRUwEwYDVQQKEwxEaWdpQ2VydCBJbmMxJzAlBgNVBAMTHkRpZ2lDZXJ0IFNIQTIgU2VjdXJlIFNlcnZlciBDQTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBANyuWJBNwcQwFZA1W248ghX1LFy949v/cUP6ZCWA1O4Yok3wZtAKc24RmDYXZK83nf36QYSvx6+M/hpzTc8zl5CilodTgyu5pnVILR1WN3vaMTIa16yrBvSqXUu3
R0bdKpPDkC55gIDvEwRqFDu1m5K+wgdlTvza/P96rtxcflUxDOg5B6TXvi/TC2rSsd9f/ld0Uzs1gN2ujkSYs58O09rg1/RrKatEp0tYhG2SS4HD2nOLEpdIkARFdRrdNzGXkujNVA075ME/OV4uuPNcfhCOhkEAjUVmR7ChZc6gqikJTvOX6+guqw9ypzAO+sf0/RR3w6RbKFfCs/mC/bdFWJsCAwEAAaOCAVowggFWMBIGA1UdEwEB/wQIMA
YBAf8CAQAwDgYDVR0PAQH/BAQDAgGGMDQGCCsGAQUFBwEBBCgwJjAkBggrBgEFBQcwAYYYaHR0cDovL29jc3AuZGlnaWNlcnQuY29tMHsGA1UdHwR0MHIwN6A1oDOGMWh0dHA6Ly9jcmwzLmRpZ2ljZXJ0LmNvbS9EaWdpQ2VydEdsb2JhbFJvb3RDQS5jcmwwN6A1oDOGMWh0dHA6Ly9jcmw0LmRpZ2ljZXJ0LmNvbS9EaWdpQ2VydEdsb2Jh
bFJvb3RDQS5jcmwwPQYDVR0gBDYwNDAyBgRVHSAAMCowKAYIKwYBBQUHAgEWHGh0dHBzOi8vd3d3LmRpZ2ljZXJ0LmNvbS9DUFMwHQYDVR0OBBYEFA+AYRyCMWHVLyjnjUY4tCzhxtniMB8GA1UdIwQYMBaAFAPeUDVW0Uy7ZvCj4hsbw5eyPdFVMA0GCSqGSIb3DQEBCwUAA4IBAQAjPt9L0jFCpbZ+QlwaRMxp0Wi0XUvgBCFsS+JtzLHgl4
+mUwnNqipl5TlPHoOlblyYoiQm5vuh7ZPHLgLGTUq/sELfeNqzqPlt/yGFUzZgTHbO7Djc1lGA8MXW5dRNJ2Srm8c+cftIl7gzbckTB+6WohsYFfZcTEDts8Ls/3HB40f/1LkAtDdC2iDJ6m6K7hQGrn2iWZiIqBtvLfTyyRRfJs8sjX7tN8Cp1Tm5gr8ZDOo0rwAhaPitc+LJMto4JQtV05od8GiG7S5BNO98pVAdvzr508EIDObtHopYJeS4
d60tbvVS3bR0j6tJLp07kzQoH3jOlOrHvdPJbRzeXDLz
quit
% PEM files import succeeded.
!

注意:某些 telnet/ssh 客户端程序有每行最大字数限制,可能要分几次贴。

  • 使用 regular expressions正常表示法,配置内部不受 OpenDNS 管理的域名。
  • 配置连上 OpenDNS Umbrella 所需的 DNS name server、Token 等相关资讯。
  • 在 WAN 口配置 opendns out,在 LAN 口配置 opendns in 加上自定名称,每个 LAN 端口都可以有不同的自定名称,每个自定名称可以有不同的 OpenDNS Umbrella 规则(Policy)。
ip name-server 8.8.8.8
ip domain-lookup
!
parameter-map type regex dns_bypass
 pattern .*iwanlab.com
!
parameter-map type opendns global
 token C3F2CC74A57915A5A073A41D5838BB24001ECxxx
 local-domain dns_bypass
 dnscrypt
!
interface GigabitEthernet0/0/0
 description LAN
 opendns in My4321
!
interface GigabitEthernet0/0/1
 description WAN
 opendns out
!
  • 最后确认 DNS 查询流量会经过路由器,即可开始使用 OpenDNS Umbrella 安全防护。
  • 如果用户试图连上被阻挡的网站,缺省会看到以下画面 (可自定)
Screen%20Shot%202016-08-10%20at%2021.23.12.png
除非特别注明,本页内容采用以下授权方式: Creative Commons Attribution-ShareAlike 3.0 License