巧用OpenDNS設(shè)置Web過(guò)濾抵御安全風(fēng)險(xiǎn)(5)

在多網(wǎng)絡(luò)中運(yùn)行

如果用戶要在多個(gè)位置管理網(wǎng)絡(luò),那請(qǐng)記住這一點(diǎn):你可以將多個(gè)網(wǎng)絡(luò)添加到一個(gè)OpenDNS賬戶中。管理網(wǎng)絡(luò)更為輕松，即使內(nèi)容過(guò)濾和其它的設(shè)置在網(wǎng)絡(luò)之間有什么不同也在話下。例如，用戶可幫助自己的親戚在互聯(lián)網(wǎng)上更安全的使用，也可以管理企業(yè)世界中所有辦公網(wǎng)絡(luò)的內(nèi)容過(guò)濾。

要將多個(gè)位置加入到OpenDNS的賬戶中，用戶必須先添加一個(gè)網(wǎng)絡(luò)（在面板中的“Networks”選項(xiàng)卡上），參考前圖4。如果用戶的網(wǎng)絡(luò)使用動(dòng)態(tài)的IP地址，就需要在連接到網(wǎng)絡(luò)的一臺(tái)計(jì)算機(jī)上安裝更新客戶端或使用路由器的內(nèi)置客戶端，如前文所述。用戶還可以將DNS-O-Matic用于多個(gè)OpenDNS網(wǎng)絡(luò)。正如直接將IP更新到OpenDNS一樣，用戶需要輸入每一個(gè)網(wǎng)絡(luò)的名稱(chēng)，作為每一個(gè)網(wǎng)絡(luò)更新客戶端的“Host Name”參數(shù)。

如果用戶正使用加載有固件替換DD-WRT的路由器，用戶會(huì)發(fā)現(xiàn)，即使在將網(wǎng)絡(luò)名作為主機(jī)名傳輸時(shí)，仍能更新DNS-O-Matic中所有網(wǎng)絡(luò)的IP。如果用戶正試圖管理多個(gè)網(wǎng)絡(luò)，這就不太好。其實(shí)有一個(gè)解決方法：不要使用圖形用戶界面來(lái)配置動(dòng)態(tài)的DNS設(shè)置（Dynamic DNS），用戶可以將代碼輸入到啟動(dòng)命令中，這樣就能正確地更新。在DD-WRT 的Web界面上，單擊“Administration”/“Commands”，將下面的代碼粘貼到命令框中，單擊“Save Startup”按鈕：
#!/bin/sh
mount ramfs /mmc -t ramfs
mkdir /mmc/etc
mkdir /mmc/etc/config
echo "#!/bin/sh
inadyn --background --username ??? --password ??? --alias ??? --dyndns_server_name updates.dnsomatic.com --dyndns_server_url /nic/update?
sleep 3
killall -9 -w inadyn
" > /mmc/etc/config/ppp0.wanup
chmod 700 /mmc/etc/config/ppp0.wanup
當(dāng)然，用戶需要將第六行的“？”用DNS-O-Matic用戶名和口令替換之，這與OpenDNS中的配置應(yīng)當(dāng)是相同的。其后是別名，用需要更新的網(wǎng)絡(luò)名稱(chēng)來(lái)替換問(wèn)號(hào)即可。

用戶如何繞過(guò)OpenDNS

作為管理員需要知道，就如同在其它的內(nèi)容過(guò)濾方案中一樣,有些用戶總是要想方設(shè)法繞過(guò)OpenDNS的過(guò)濾,去訪問(wèn)那結(jié)被阻止的網(wǎng)站。這些用戶會(huì)試著為其計(jì)算機(jī)設(shè)置其它的DNS服務(wù)器，這就會(huì)繞過(guò)任何內(nèi)容過(guò)濾設(shè)置。如下圖所示，這在Windows中是很容易配置的。如下圖9所示：
 

圖9

用戶可能采用的另外一種方法是使用代理服務(wù)器等手段，這也會(huì)繞過(guò)網(wǎng)絡(luò)的DNS服務(wù)器。這些類(lèi)型的站點(diǎn)或程序并不總具有惡意目的。VPN連接提供了在本地網(wǎng)絡(luò)上繞過(guò)DNS設(shè)置的功能。下面我們將討論如何防止用戶使用這些方法繞過(guò)OpenDNS。

強(qiáng)迫用戶使用OpenDNS服務(wù)器

在解決如何鎖定計(jì)算機(jī)的DNS設(shè)置之前，你應(yīng)當(dāng)保證用戶僅擁有受控制計(jì)算機(jī)上的有限特權(quán)，這對(duì)于防止計(jì)算機(jī)上的其它問(wèn)題也是有益的，如用戶隨意安裝軟件、更改設(shè)置及其它的可能影響系統(tǒng)安全的問(wèn)題。如果用戶無(wú)法編輯網(wǎng)絡(luò)屬性，特別是TCP/IP的設(shè)置，那么，也就不能使計(jì)算機(jī)使用不同的DNS 服務(wù)器。你可以通過(guò)編輯每臺(tái)計(jì)算機(jī)的本地安全策略來(lái)管理這些用戶限制類(lèi)型，在域環(huán)境中管理組安全策略，也可以簡(jiǎn)單地將用戶指定為受限的賬戶類(lèi)型。

如果某些或全部用戶并不受控制，你可以設(shè)法配置路由器阻止轉(zhuǎn)出的DNS通信，當(dāng)然要排除OpenDNS服務(wù)器。用這種方法就可以阻止非法通信，即使用戶設(shè)置其計(jì)算機(jī)使用另外的DNS服務(wù)器也無(wú)法得逞。它將僅準(zhǔn)許使用OpenDNS服務(wù)的Web瀏覽。

為阻止非OpenDNS通信，你需要研究一下你的路由器用以控制用戶服務(wù)的一些特性�，F(xiàn)在有許多路由器都擁有阻止服務(wù)、訪問(wèn)控制、端口過(guò)濾等特性，這準(zhǔn)許你阻止訪問(wèn)某些IP地址特定端口的發(fā)出通信。你的根本目標(biāo)是阻止用戶能夠訪問(wèn)任何IP地址的53號(hào)端口，除了OpenDNS的IP地址，即 208.67.222.222 和 208.67.220.220。具體的方法隨路由器而有很大不同。如下圖10:
 

圖10

iptables -t nat -A PREROUTING -p udp -i br0 --dport 53 -j DNAT --to $(nvram get lan_ipaddr)
iptables -t nat -A PREROUTING -p tcp -i br0 --dport 53 -j DNAT --to $(nvram get lan_ipaddr)

防止代理服務(wù)器/匿名工具（anonymizer）

現(xiàn)在你需要解決用戶通過(guò)代理/匿名工具繞過(guò)OpenDNS的內(nèi)容過(guò)濾的問(wèn)題。在設(shè)置內(nèi)容過(guò)濾時(shí)，一定要保證選擇“Contend Filtering”類(lèi)，而不管是選擇了預(yù)定義的級(jí)別或定制路由。

記住，沒(méi)有什么內(nèi)容過(guò)濾方案是固若金湯的。因?yàn)槊刻於加性S多站點(diǎn)聯(lián)機(jī)，包括新的代理服務(wù)器/匿名工具站點(diǎn)，用戶們?nèi)杂锌赡苷业經(jīng)]有被阻止的站點(diǎn)來(lái)幫助其繞過(guò)OpenDNS。如果你看到用戶們正試圖訪問(wèn)這些類(lèi)型的網(wǎng)站，你可以進(jìn)一步調(diào)查對(duì)付這種問(wèn)題的更多方法。

總結(jié)
 

好了，到此為止，可以說(shuō)基本大功告成。OpenDNS是一種可幫助我們保障網(wǎng)絡(luò)安全并免受不恰當(dāng)內(nèi)容危害的服務(wù)，而且其快捷的域名解析也使得它可靠使用。我們探討了如何設(shè)置各個(gè)方面來(lái)與OpenDNS服務(wù)協(xié)同工作。我們還討論了如何在多個(gè)網(wǎng)絡(luò)中運(yùn)行及如何添補(bǔ)一些漏洞。祝您用得順心！【51CTO.COM 獨(dú)家特稿，轉(zhuǎn)載請(qǐng)注明出處及作者！】

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]