【高级篇 / DNS】(7.0) ❀ 01. DNS 菜单的作用 ❀ FortiGate 防火墙

　　【简介】FortiGate防火墙上有一个DNS菜单，很多人为了能上网而修改它，其实大家都误解了它作用。这里就详细的给大家解释一下。

  DNS菜单的作用

　　防火墙的DNS菜单，并不是给我们上网用的。

　　① 选择菜单【网络】-【DNS】，我们可以看到有关于防火墙DNS的设置，默认情况下，DNS服务器为【使用FortiGuard服务器】，下面会有两个IP地址，而且我们看到响应时间也比较慢。

　　FortiGuard是一组针对Fortinet产品使用的服务器，它很重要，它可以提供反病毒、入侵防御、网页过滤、反垃圾邮件、应用控制等等高级功能的更新和评级。当我们需要用到网页过滤或反垃圾邮件功能时，还需要从FortiGuard服务器上获取到访问网站的分类等信息，即使不使用这些高级功能，我们的注册信息、服务器信息、固件升级等等，都需要防火墙和FortiGuard服务器频繁联系。

　　默认情况下，FortiGuard使用位于世界各地的公共FortiGuard服务器。你也可以将FortiGuard配置为使用仅位于美国的公共FortiGuard服务器。

　　默认情况下，FortiGate使用FortiGuard的DNS服务器：

　　● Primary：96.45.45.45

　　● Secondary：96.45.46.46

　　它们的作用，就是用来解析并找到离我们最近的FortiGuard服务器。

　　因此，请保持DNS服务器为默认设置【使用FortiGuard服务器】。不要做修改，这样我们才能使防火墙保持自动更新状态。

  电脑上网要怎么配置DNS

　　既然防火墙上的DNS选项是为了解析FortiGuard服务器地址，那么我们上网的DNS在哪里设置呢？

　　① 如果防火墙下面接入的是二层设备，那么我们可以直接在接口上启用DHCP。在DHCP服务器中设置中有个DNS服务器设置，这里建议选择【指定】。如果有多条不同运营商宽带，则输入通用DNS服务器地址，如果只有一条电信宽带，则可以输入当地电信宽带专用DNS地址，这样解析的速度会更快一些。

　　② 如果是固定IP宽带，运营商会提供DNS服务器IP地址。拨号宽带的话，在防火墙的DNS菜单中可以动态获得。象本例中，有两条宽带，电信和移动更有自己的DNS服务器，如果DNS设置为电信，走移动的时候很多IP解析不出来，同样，如果DNS设置为移动，走电信里又会有很多IP解析不出来，因此在接口的DHCP服务器设置DNS服务器时，我们手动设置为8.8.8.8和114.114.114.114，这是通用DNS服务器。虽然解析速度慢一点，但是走每条线路都能正确解析。 

　　③ 接口下的DHCP服务器，DNS服务器默认选项是【与系统DNS相同】。在多条宽带的情况下，不建议用这个选项，因为得到的DNS服务器IP在其它运营商并不适用。

　　④ 但如果只是一条拨号宽带，将得到拨号宽带的DNS服务器IP。这样是可行的。但是，如果不是拨号宽带，而是固定宽带，那么得到的将是96.45.45.45和96.45.46.46。而这个很显然，并不适用我们上网。

  电脑DNS为内网地址

　　我们以前在用路由器的时候，发现DNS指定路由器地址，一样是可以上网的，那么在防火墙上适用吗？

　　① 如果将接口的DHCP服务器设置下的DNS服务器设置为【与接口IP地址相同】，那么会出现什么情况？

　　② DNS指向防火墙内网接口IP。

　　③ Ping百度网址，解析不出IP地址来，说明DNS无效。

　　④ 选择菜单【系统管理】-【可见功能】，启用【DNS数据库】，这个功能默认是不在菜单显示的。因为很少用到。

　　⑤ 选择菜单【网络】-【DNS服务器】，在接口上的DNS服务栏点击【新建】。

　　⑥ 选择内网接口，模式默认为递归模式，当无法满足请求时，查询外部DNS服务器。

　　● 递归：对FortiGate DNS数据库中条目的查询进行应答，并将所有其他查询转发到单独的DNS服务器进行解析。

　　● 非递归：对FortiGate DNS数据库中条目的查询进行应答，不转发不可解析的查询。

　　● 转发至系统DNS：将所有查询转发到一个单独的DNS服务器(你已经在网络> DNS中配置)；即充当DNS中继而不是DNS服务器。

　　⑦ 接口上的DNS服务配置完成，当电脑DNS指定防火墙内网接口时，先在防火墙内的DNS服务器查找，当没有满足条件时，再通过DNS外部服务器查找。

　　⑧ DNS现在可以正常解析了。

　　⑨ FortiGate作为DNS服务器可以提高FortiMail设备或其他频繁使用DNS查询的设备的性能。如果你的FortiGate设备向你的本地网络提供DHCP，你可以使用DHCP将这些主机配置为使用FortiGate作为网关和DNS服务器。

　　但是如果电脑上网则不建议将FortiGate作为DNS服务器，因为负载太大会影响防火墙的性能，特别是现在防火墙大部分不带硬盘，DNS缓存会消耗防火墙宝贵的内存。

　　如果电脑少，可以直接指定公网DNS，如果电脑多，则建议用Windows Server建立专用的DNS服务器。由于在Windows Server DNS服务器有缓存，因此比电脑直接指定DNS公网地址来说效率更高。