تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
حول هذه الترجمة
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يصف هذا المستند تكوين خدمة اسم المجال (DNS) وكيفية أستكشاف الأخطاء وإصلاحها في جهاز ويب الآمن (SWA) المعروف سابقا باسم WSA.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
Physical أو Virtual Secure Web Appliance (SWA) مثبت
تم تنشيط الترخيص أو تثبيته
عميل Secure Shell (SSH)
اكتمل معالج الإعداد
الوصول الإداري إلى جمعية المرأة
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
مفهوم DNS
DNS هو النظام الموجود في الإنترنت الذي يقوم بتعيين أسماء الكائنات (عادة أسماء المضيف) في عنوان بروتوكول الإنترنت (IP) أو قيم سجلات الموارد الأخرى.
يتم تقسيم مساحة الاسم الخاصة بالإنترنت إلى مجالات، ويتم تفويض مسؤولية إدارة الأسماء داخل كل مجال، عادة إلى الأنظمة داخل كل مجال.
يتم تقسيم مساحة اسم المجال إلى مناطق تسمى مناطق تمثل نقاط تفويض في شجرة DNS.
تحتوي المنطقة على جميع المجالات من نقطة معينة إلى أسفل، باستثناء تلك التي تكون فيها المناطق الأخرى مخولة.
تحتوي المنطقة عادة على خادم أسماء موثوق به، غالبا أكثر من واحد.
في المؤسسة، يمكن أن يكون لديك العديد من خوادم الأسماء، ولكن يمكن لعملاء الإنترنت الاستعلام فقط عن تلك التي تعرفها خوادم أسماء الجذر.
تقوم خوادم الأسماء الأخرى بالإجابة على الاستعلامات الداخلية فقط.
يعتمد DNS على نموذج عميل/خادم. في هذا النموذج، تقوم خوادم الأسماء بتخزين البيانات حول جزء من قاعدة بيانات DNS وتوفيرها للعملاء الذين يستفسرون عن خادم الاسم عبر الشبكة.
خوادم الأسماء هي برامج تعمل على مضيف فعلي وبيانات منطقة تخزين. كمسؤول عن مجال، قم بإعداد خادم أسماء باستخدام قاعدة بيانات كافة سجلات الموارد (RRs) التي تصف البيئات المضيفة في منطقتك أو مناطقك
خدمة DNS في عمليات نشر الوكيل
في النشر الصريح: يقوم الوكيل بتشغيل استعلامات DNS
في النشر الشفاف: تعمل استعلامات DNS على العميل.
تكوين إعدادات DNS
أنت يستطيع شكلت DNS من على حد سواء graphical مستعمل قارن (gui) والأمر خط قارن (CLI).
يمكن ل AsyncOS ل Web إستخدام خوادم DNS الجذر للإنترنت أو خوادم DNS الخاصة بك. إذا كانت SWA تستخدم خوادم الإنترنت الجذرية، فيمكنك تحديد خوادم بديلة لاستخدامها لمجالات معينة.
بما أن أحد خوادم DNS البديلة ينطبق على مجال واحد، يجب أن يكون مخولا (توفير سجلات DNS نهائية) لهذا المجال.
يدعم AsyncOS تقسيم DNS حيث يتم تكوين الخوادم الداخلية لمجالات محددة ويتم تكوين خوادم DNS الخارجية أو الجذر للمجالات الأخرى.
إذا كانت SWA تستخدم على خادم DNS الافتراضي، يمكننا أيضا تحديد مجالات الاستثناء وخادم DNS المقترن.
أفضل الممارسات
تقترح أفضل ممارسات الأمان أن تستضيف كل شبكة محللي DNS: أحدهما للسجلات المخولة من داخل مجال محلي والآخر للحل المتكرر لمجالات الإنترنت.
ولاستيعاب هذا الأمر، تسمح SWA بتكوين خوادم DNS لمجالات محددة.
في حالة توفر خادم DNS واحد لكل من الاستعلامات المحلية والاستعلامات المتكررة، ضع في الاعتبار الحمل الإضافي الذي سيضيفه هذا عند إستخدامه لجميع استعلامات SWA.
يمكن أن يكون الخيار الأفضل هو إستخدام المحلل الداخلي للمجالات المحلية ومحولات إنترنت الجذر للمجالات الخارجية. وهذا يتوقف على مقدار المخاطر التي يتعرض لها المسؤول ومدى تسامحه.
يجب تكوين خوادم DNS الثانوية في حالة عدم توفر الأساسي. إذا تم تكوين جميع الخوادم بنفس الأولوية، فسيتم إختيار IP للخادم بشكل عشوائي.
بناء على عدد الخوادم التي تم تكوينها، تختلف مهلة أحد الخوادم المحددة. يتم إعطاء مهلة الاستعلام في هذا الجدول، لما يصل إلى ستة خوادم DNS:
لتكوين DNS من واجهة المستخدم الرسومية، أستخدم الخطوات التالية:
الخطوة 1. أختر شبكة من القائمة العليا
الخطوة 2. إختيار DNS
Image-GUI - تكوين إعدادات DNS
الخطوة 3. حدد تحرير الإعدادات. الخطوة 4. قم بتكوين إعدادات DNS كما هو مطلوب.
الصورة - تكوين DNS
إستخدام خوادم DNS التالية: خادم (خوادم) DNS المحلية التي يمكن أن يستخدمها الجهاز لحل أسماء المضيف تخطيات خوادم DNS البديلة (إختياري): خوادم DNS المخولة للمجالات
ملاحظة: لا يحترم AsyncOS تفضيل الإصدار لطلبات FTP الشفافة.
ملاحظة: في وضع موصل السحابة، يدعم جهاز أمان الويب من Cisco الإصدار الرابع من بروتوكول الإنترنت (IP) فقط
إستخدام خوادم DNS الجذر للإنترنت. أختر إستخدام خوادم DNS الجذر للإنترنت لعمليات البحث في خدمة اسم المجال عندما لا يكون لدى الجهاز حق الوصول إلى خوادم DNS على شبكتك.
لا تقوم خوادم DNS الجذر على الإنترنت بحل أسماء المضيف المحلية.
ملاحظة: إذا كنت بحاجة إلى الجهاز الخاص بك لحل أسماء المضيف المحلية، أستخدم خادم DNS محلي أو قم بإضافة الإدخالات الثابتة المناسبة إلى DNS المحلي من واجهة سطر الأوامر (CLI).
قائمة البحث عن المجال: قائمة بحث عن مجال DNS تستخدم عند إرسال طلب إلى اسم مضيف عاري (بدون نقطة " . ").
يتم محاولة المجالات المحددة كل على حدة، بالترتيب الذي تم إدخاله ( من اليسار إلى اليمين)، لمعرفة ما إذا كان يمكن العثور على تطابق DNS للمجال hostname plus.
جدول التوجيه لحركة مرور DNS: يحدد الواجهة التي توجه خدمة DNS حركة المرور من خلالها.
الانتظار قبل جدولة عمليات البحث العكسية عن DNS: وقت الانتظار في ثوان قبل عمليات البحث العكسية عن DNS غير المستجيبة.
تتلقى خوادم DNS الثانوية استعلامات اسم المضيف عندما ترجع خوادم DNS الأساسية هذه الأخطاء:
· لا يوجد خطأ، لم يتم تلقي قسم إجابات · فشل الخادم في إكمال الطلب، لا يوجد قسم إجابات · خطأ في الاسم، لم يتم تلقي قسم إجابات · لم يتم تنفيذ الوظيفة · رفض الخادم الإجابة على الاستعلام
ملاحظة: يقوم AsyncOS بتقييم المعاملات استنادا إلى السياسات قبل تقييم التبعيات الخارجية لتجنب الاتصالات الخارجية غير الضرورية من الجهاز. على سبيل المثال، إذا تم حظر معاملة استنادا إلى سياسة تمنع عناوين URL غير المصنفة، فلن تفشل المعاملة استنادا إلى خطأ DNS.
الأولوية: القيمة 0 لها الأولوية العليا. يتم تحديد عنوان IP عشوائي إذا كان لكل منهما نفس الأولوية.
تكوين DNS من CLI
يمكنك إستخدام dnsconfig من CLI لتكوين إعدادات DNS.
الخطوة 1. اكتب dnsconfig في CLI:
SWA_CLI> dnsconfig
Currently using the local DNS cache servers:
1. Priority: 0 10.1.1.1
2. Priority: 1 10.2.2.2
3. Priority: 2 10.3.3.3
Currently using the following Secondary DNS cache servers :
1. Priority: 0 10.10.10.10
Choose the operation you want to perform:
- NEW - Add a new server.
- EDIT - Edit a server.
- DELETE - Remove a server.
- SETUP - Configure general settings.
- SEARCH - Configure DNS domain search list.
[]>
الخطوة 2. لإضافة خادم DNS جديد إلى القائمة، اكتب NEW واضغط مفتاح الإدخال.
الخطوة 3. أختر بين خوادم أسماء DNS الأساسية أو خوادم أسماء DNS الثانوية، التي تريد إضافة خادم أسماء جديد إليها.
[]> NEW
Do you want to make changes in the Primary DNS nameserver list or secondary DNS nameserver list?
1. Make changes to the primary DNS nameserver
2. Make changes to the secondary DNS nameserver
[]> 1
الخطوة 4. أختر إضافة خادم اسم جديد أو خادم مجال بديل (اسم مجال إعادة التوجيه المشروط)
Do you want to add a new local DNS cache server or an alternate domain server?
1. Add a new local DNS cache server.
2. Add a new alternate domain server.
[]> 1
الخطوة 5. توفير عنوان IP الخاص بخادم الاسم الجديد
الخطوة 6. قم بتوفير الأولوية لخادم الاسم الذي تمت إضافته حديثا.
Please enter the IP address of your DNS server.
Separate multiple IPs with commas.
[]> 10.4.4.4
Please enter the priority for 10.4.4.4.
A value of 0 has the highest priority.
The IP will be chosen at random if they have the same priority.
[0]> 4
Currently using the local DNS cache servers:
1. Priority: 0 10.1.1.1
2. Priority: 1 10.2.2.2
3. Priority: 2 10.3.3.3
4. Priority: 4 10.4.4.4
Currently using the following Secondary DNS cache servers :
1. Priority: 0 10.10.10.10
الخطوة 7. اضغط على Enter للخروج من المعالج.
الخطوة 8. اكتب الالتزام لحفظ التغييرات.
ملاحظة: لتحرير أو حذف أي خوادم أسماء يمكنك إختيار تحرير وحذف من dnsconfig.
من خيار الإعداد، يمكنك تكوين وقت ذاكرة التخزين المؤقت ل DNS وإعدادات اكتشاف DNS غير المتصلة:
SWA_CLI> dnsconfig
....
[]> setup
Do you want the Gateway to use the Internet's root DNS servers or would you like it to use your own DNS servers?
1. Use Internet root DNS servers
2. Use own DNS cache servers
[2]> 2
Enter the number of seconds to wait before timing out reverse DNS lookups.
[20]>
Enter the minimum TTL in seconds for DNS cache.
[1800]>
Do you want to enable Secure DNS? [N]> N
Warning: Ensure that you configure the DNS server with DNSSec because there is no backward compatibility.
Failing to do so can result in invalid response with an unresolved hostname.
You must use FQDN with the hostname for the local and private domains.
Enter the number of failed attempts before considering a local DNS server offline.
[100]>
Enter the interval in seconds for polling an offline local DNS server.
[5]>
الحد الأدنى ل TTL بالثواني لذاكرة التخزين المؤقت ل DNS: يتمثل هذا الخيار في تكوين الحد الأدنى للثواني التي تم فيها تخزين SWA مؤقتا لسجل ما. لمزيد من المعلومات، قم بزيارة قسم ذاكرة التخزين المؤقت ل DNS في هذا المستند.
أدخل عدد المحاولات الفاشلة قبل مراعاة خادم DNS المحلي دون اتصال: إذا لم يكن خادم DNS يستجيب لأي استعلامات DNS، يبدأ العداد.
عندما يصل إلى هذه القيمة المحددة، يتم إعتبار خادم الاسم هذا كخادم DNS غير متصل ويتجنب SWA إرسال استعلام DNS إلى خادم الأسماء هذا لمدة زمنية محددة مسبقا (الخيار التالي).
عندما يتم وضع علامة على DNS على OS غير متصل، يمكنك مشاهدة رسالة الخطأ هذه:
30 Jun 2023 07:37:03 +0200 Reached maximum failures querying DNS server 10.1.1.1
أدخل الفاصل الزمني بالثواني لاستقصاء خادم DNS المحلي غير المتصل: عندما يتم وضع علامة على خادم DNS على أنه غير متصل، بعد هذه الفترة الزمنية (بالثواني)، تبدأ SWA في إرسال استعلام DNS إلى خادم الأسماء هذا، ويفشل العداد الخاص بخادم DNS في الرد على إعادة الإرسال إلى صفر.
أوامر CLI DNS
إنشاء سجل يدوي
لإنشاء سجل يدوي"، لا يمكنك إستخدام أو تحرير ملف "المضيفين". أنت يستطيع استعملت localhost مخفي أمر من dnsconfig في CLI.
ملاحظة: يجب عليك الالتزام بالتغييرات بعد تغيير هذه التكوينات.
dnsconfig
Currently using the local DNS cache servers:
1. Priority: 0 10.1.1.1
2. Priority: 0 10.2.2.2
Choose the operation you want to perform:
- NEW - Add a new server.
- EDIT - Edit a server.
- DELETE - Remove a server.
- SETUP - Configure general settings.
- SEARCH - Configure DNS domain search list.
[]> localhosts
Local IP to Host mappings:
Choose the operation you want to perform:
- NEW - Add new local IP to host mapping.
- DELETE - Delete an existing mapping.
[]> new
Enter the IP address of the host you are adding.
[]> 10.20.30.40
Enter the canonical host name and any additional aliases (separate values
with spaces)
[]> ManualHostEntry.cisco.com
دنسفلاش
يزيل DNSFLUSH كافة سجلات DNS المخزنة مؤقتا من جدول ذاكرة التخزين المؤقت ل DNS:
SWA_CLI> dnsflush
Are you sure you want to clear out the DNS cache? [N]> Y
بروكسي بروسبيكت config
advancedproxyconfig
Choose a parameter group:
- AUTHENTICATION - Authentication related parameters
- CACHING - Proxy Caching related parameters
- DNS - DNS related parameters
- EUN - EUN related parameters
- NATIVEFTP - Native FTP related parameters
- FTPOVERHTTP - FTP Over HTTP related parameters
- HTTPS - HTTPS related parameters
- SCANNING - Scanning related parameters
- PROXYCONN - Proxy connection header related parameters
- CUSTOMHEADERS - Manage custom request headers for specific domains
- MISCELLANEOUS - Miscellaneous proxy related parameters
- SOCKS - SOCKS Proxy parameters
- CONTENT-ENCODING - Block content-encoding types
- SCANNERS - Scanner related parameters
[]> DNS
Enter values for the DNS options:
Enter the URL format for the HTTP 307 redirection on DNS lookup failure.
[%P://www.%H.com/%u]>
Would you like the proxy to issue a HTTP 307 redirection on DNS lookup failure?
[Y]>
Would you like proxy not to automatically failover to DNS results when upstream
proxy (peer) is unresponsive?
[N]>
Select one of the following options:
0 = Always use DNS answers in order
1 = Use client-supplied address then DNS
2 = Limited DNS usage
3 = Very limited DNS usage
For options 1 and 2, DNS will be used if Web Reputation is enabled.
For options 2 and 3, DNS will be used for explicit proxy requests, if there is
no upstream proxy or in the event the configured upstream proxy fails.
For all options, DNS will be used when Destination IP Addresses are used in
policy membership.
Find web server by:
[0]>
يشير رمز حالة HTTP 307 (إعادة التوجيه المؤقت) إلى أن المورد الهدف يقيم مؤقتا تحت معرف موارد موحد (URI) مختلف ويجب ألا يقوم عميل المستخدم بتغيير طريقة الطلب إذا قام بإجراء إعادة توجيه تلقائي إلى معرف الموارد (URI) هذا. بما أن إعادة التوجيه يمكن أن تتغير مع مرور الوقت، يجب على العميل الاستمرار في إستخدام URI الخاص بالطلب الفعلي الأصلي.
تتحكم هذه الخيارات في كيفية تقرير SWA لعنوان IP للاتصال به، عند تقييم طلب عميل في نشر وكيل شفاف. عند تلقي طلب، راجع WSA عنوان IP للوجهة واسم المضيف. يجب أن تقرر SWA ما إذا كانت تثق في عنوان IP للوجهة الأصلية لاتصال TCP، أو أن تقوم بحل DNS الخاص بها وتستخدم العنوان الذي تم حله. الإعداد الافتراضي هو 0 = إستخدام إجابات DNS دائما بالترتيب،" مما يعني أن SWA لا تثق في العميل في توفير عنوان IP.
يحاول الخيار 1: SWA عنوان IP الذي يقدمه العميل للاتصال، ولكنه يرجع إلى العنوان الذي تم حله في حالة فشل ذلك. يتم إستخدام العنوان الذي تم تحليله لتقييم النهج (فئة ويب وسمعة الويب وما إلى ذلك).
لا يستخدم الخيار 2:SWA إلا العنوان الذي يقدمه العميل للاتصال ولا يتراجع. يتم إستخدام العنوان الذي تم تحليله لتقييم النهج (فئة ويب وسمعة الويب وما إلى ذلك).
لا يستخدم الخيار 3: SWA إلا العنوان الذي يقدمه العميل للاتصال ولا يتراجع. يتم إستخدام عنوان IP الذي يقدمه العميل لتقييم السياسة (فئة الويب وسمعة الويب وما إلى ذلك).
يعتمد الخيار المحدد على مقدار الثقة التي يجب أن يضعها المسؤول في العميل عند تحديد العنوان الذي تم تحليله لاسم المضيف المحدد. إذا كان العميل وكيل تدفق، أختر الخيار 3 لتجنب زمن الوصول الإضافي لعمليات بحث DNS غير الضرورية.
ذاكرة التخزين المؤقت ل DNS
لزيادة الكفاءة والأداء، تخزن Cisco SWA إدخالات DNS للمجالات التي قمت بالاتصال بها مؤخرا. تسمح ذاكرة التخزين المؤقت ل DNS ل SWA بتجنب عمليات بحث DNS الزائدة للمجالات نفسها. تنتهي صلاحية إدخالات ذاكرة التخزين المؤقت ل DNS بسبب مدة البقاء (TTL) للسجل.
عندما تكون مدة البقاء (TTL) للسجل في خادم DNS أكبر من وقت TTL لذاكرة التخزين المؤقت ل SWA DNSCONFIG، عندئذ تستخدم ذاكرة التخزين المؤقت ل DNS مدة البقاء (TTL) من خادم DNS.
عندما يكون مدة البقاء (TTL) للسجل في خادم DNS أقل من وقت TTL لذاكرة التخزين المؤقت ل SWA dnsconfig، عندئذ تستخدم ذاكرة التخزين المؤقت ل DNS مدة البقاء (TTL) من إعداد WSA dnsconfig.
تحذير: تحتوي SWA على ذاكرة تخزين مؤقت DNS، تم تصميم أحدها لعملية الوكيل ويتم إستخدام الآخر للعملية الداخلية.
بشكل افتراضي، يتم تخزين DNS في ذاكرة التخزين المؤقت ل SWA لمدة 30 دقيقة كحد أدنى، بغض النظر عن مدة البقاء (TTL) للسجل. قد تحتوي مواقع الويب الحديثة التي تستخدم شبكات توصيل المحتوى (CDN) بشكل كبير على سجلات TTL منخفضة نظرا لتغير عناوين IP الخاصة بها بشكل متكرر.
قد يؤدي هذا إلى تخزين العميل المؤقت لعنوان IP واحد لخادم معين وتخزين SWA لعنوان مختلف مؤقتا لنفس الخادم. ولمواجهة هذا، يمكن تقليل مدة البقاء (TTL) الافتراضية ل SWA إلى خمس دقائق من قسم الإعداد في أمر واجهة سطر الأوامر (CLI) dsnconfig.
على سبيل المثال، إذا تم تعيين الحد الأدنى ل TTL في الثواني لذاكرة التخزين المؤقت ل DNS" في تكوين DNS إلى 10 دقائق وكان السجل يحتوي على TTL لمدة 5 دقائق، فإن مدة البقاء للسجل المخزن مؤقتا تزداد إلى 10 دقائق.
من جهة أخرى، إذا تم تعيين مدة البقاء (TTL) للسجل على 15 دقيقة، تقوم SWA بتخزين السجل لمدة 15 دقيقة في ذاكرة التخزين المؤقت الخاصة بها.
ومع ذلك، من الضروري في بعض الأحيان مسح ذاكرة التخزين المؤقت ل DNS من الإدخالات. يمكن أن تتسبب إدخالات ذاكرة التخزين المؤقت ل DNS التالفة أو منتهية الصلاحية أحيانا في حدوث مشاكل عند التسليم إلى مضيف بعيد أو مضيف بعيد.
تحدث هذه المشكلة عادة بعد أن يكون الجهاز غير متصل لنقل الشبكة أو بعض الظروف الأخرى.
مسح ذاكرة التخزين المؤقت ل DNS من واجهة المستخدم الرسومية
الخطوة 1. أختر شبكة من القائمة العليا
الخطوة 2. إختيار DNS
الخطوة 3. أختر مسح ذاكرة التخزين المؤقت ل DNS
تحذير: يمكن أن يتسبب هذا الأمر في حدوث انخفاض مؤقت في الأداء أثناء إعادة نشر ذاكرة التخزين المؤقت
مسح ذاكرة التخزين المؤقت ل DNS من CLI
يمكن مسح ذاكرة التخزين المؤقت ل DNS في Cisco WSA بواسطة دنسفلاشأمر من ال CLI.
عرض ذاكرة التخزين المؤقت ل DNS
لا يوجد خيار لعرض سجل DNS المخزن مؤقتا في SWA من CLI أو GUI.
ملاحظة: لا يمكنك الاستعلام عن ذاكرة التخزين المؤقت ل DNS عبر NSLOOKUP.
أستكشاف أخطاء DNS وإصلاحها
عرض سجلات DNS
لم يتم تمكين بعض أنواع السجلات المرتبطة بمكون وكيل ويب. يتم تمكين نوع سجل وكيل الويب الرئيسي، المسمى "سجلات الوكيل الافتراضية" بشكل افتراضي، ويلتقط المعلومات الأساسية على جميع وحدات وكيل الويب.
كل وحدة وكيل ويب لها أيضا نوع السجل الخاص بها الذي يمكنك تمكينه يدويا كما هو مطلوب.
سجلات النظام و DNS للسجلات و Error و Commit Activity. والذي يتم تمكينه بشكل افتراضي
تلميح: إذا قمت بتغيير مستوى السجل لسجلات النظام إلى تصحيح الأخطاء، فيمكنك مشاهدة استعلامات DNS واستجابات.يمكنك تغيير مستوى السجل من واجهة المستخدم الرسومية (GUI) وواجهة سطر الأوامر (CLI).
تغيير مستوى سجل سجلات النظام من واجهة المستخدم الرسومية
الخطوة 1. أختر إدارات النظام من القائمة العليا
الخطوة 2. إختيار اشتراكات السجل
الخطوة 3. إختيار سجلات النظام
الخطوة 4. أختر تصحيح الأخطاء في قسم مستوى السجل
الخطوة 5. إرسال
الخطوة 6.تنفيذ التغييرات
الصورة - تغيير سجلات النظام ومستوى السجل
تغيير مستوى سجل سجلات النظام من CLI
الخطوة 1. تسجيل الدخول إلى CLI
الخطوة 2. اكتب logconfig
الخطوة 3. أختر تحرير
الخطوة 4. أدخل الرقم المقترن ب System_Log
الخطوة 5.اضغط مفتاح الإدخال Enter حتى تصل إلى مستوى السجل
الخطوة 6. أختر الرقم 4 الخاص بتصحيح الأخطاء
الخطوة 7. اضغط مفتاح الإدخال Enter حتى تقوم بإنهاء المعالج
الخطوة 8. لحفظ التغييرات، اكتب تأكيد.
SWA_CLI> logconfig
Currently configured logs:
...
42. "system_logs" Type: "System Logs" Retrieval: FTP Poll
...
Choose the operation you want to perform:
- NEW - Create a new log.
- EDIT - Modify a log subscription.
- DELETE - Remove a log subscription.
- HOSTKEYCONFIG - Configure SSH host keys.
- AUDITLOGCONFIG - Adjust settings for audit logging.
[]> EDIT
Enter the number of the log you wish to edit:
[]> 42 <--- in this example the System_logs is number 42
Please enter the name for the log:
[system_logs]>
Log level:
1. Critical
2. Warning
3. Information
4. Debug
5. Trace
[3]> 4
....
SWA_CLI> commit
تلميح: بمجرد أن تنتهي من حدوث أية مشكلات، تأكد من تغيير مستوى السجل مرة أخرى إلى المعلومات، وإلا سيكون هناك حمل كبير على إدخال/إخراج القرص (I/O) وسيتم ملء ملف السجل بسرعة.
nslookup
أستخدم الأمر nslookup لعرض إستجابة تحليل الاسم في SWA لشبكات FQDN مختلفة.
في هذا المثال، في المحاولة الأولى لحل الاسم، يتم تعيين مدة البقاء (TTL) على 30 دقيقة.
وفي المحاولة الثانية، يمكننا أن نرى مدة البقاء (TTL) أقل من 30 دقيقة مما يشير إلى أنه تم حل هذا السجل من ذاكرة التخزين المؤقت.
SWA_CLI> nslookup
Please enter the host or IP address to resolve.
[]> cisco.com
Choose the query type:
1. A the host's IP address
2. AAAA the host's IPv6 address
3. CNAME the canonical name for an alias
4. MX the mail exchanger
5. NS the name server for the named zone
6. PTR the hostname if the query is an Internet address,
otherwise the pointer to other information
7. SOA the domain's "start-of-authority" information
8. TXT the text information
[1]> 1
A=10.20.3.15 TTL=30m
TSWA_CLI> nslookup
Please enter the host or IP address to resolve.
[]> cisco.com
Choose the query type:
1. A the host's IP address
2. AAAA the host's IPv6 address
3. CNAME the canonical name for an alias
4. MX the mail exchanger
5. NS the name server for the named zone
6. PTR the hostname if the query is an Internet address,
otherwise the pointer to other information
7. SOA the domain's "start-of-authority" information
8. TXT the text information
[1]> 1
A=10.20.3.15 TTL=28m 49s
نقش
الحفر هو أمر مفيد آخر للاستعلام عن سجلات DNS. يمكنك تحديد واجهة المصدر أو خادم DNS الذي نريد الاستعلام فيه مع عملية الإنشاء:
في هذا المثال، فيما يلي الاستعلام عن سجل A من الخادم 10.1.1.1
dig @10.1.1.1 www.cisco.com A
; <<>> DiG 9.16.8 <<>> @10.1.1.1 www.cisco.com A
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58012
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
; COOKIE: 2cbc212c0877096701000000623db99b050bda7f896790e3 (good)
;; QUESTION SECTION:
;www.cisco.com. IN A
;; ANSWER SECTION:
www.cisco.com. 3600 IN CNAME origin-www.cisco.com.
www.cisco.com. 5 IN A 10.20.3.15
;; Query time: 115 msec
;; SERVER: 10.1.1.1#53(10.1.1.1)
;; WHEN: Fri Mar 25 12:46:19 GMT 2022
;; MSG SIZE rcvd: 111
إستخدام الحفر:
dig [-s ] [-t] [-x
] [@
] hostname [qtype] Query a DNS server. @
- Query the DNS server at this IP address hostname - Record that you want to look up. qtype - Query type: A, PTR, CNAME, MX, SOA, NS, TXT options: -s IP Address Specify the source IP address. -t Make query over tcp. -x IP Address Do a reverse lookup on this IP address.
تلميح: يمكنك إختيار IP المصدر لاختيار الواجهة التي تريد الاستعلام عن تحليل الاسم منها.
إستجابة DNS بطيئة
إذا استغرق تحميل كل عناوين URL أو بعضها وقتا أطول (مقارنة بالوقت الذي تقوم فيه بتحديث نفس الصفحة)، فمن الأفضل التحقق من وقت إستجابة DNS. هناك خياران في SWA للتحقق من وقت إستجابة DNS:
تكوين الملف المخصص ل AccessLog.
سجلات Trackstat.
تعديل سجلات الوصول لعرض إحصائيات DNS
يمكنك تعديل AccessLog لعرض وقت DNS لكل طلب ويب.
الخطوة 1. سجل الدخول إلى واجهة المستخدم الرسومية (GUI).
الخطوة 2. من قائمة إدارة النظام، أختر تسجيل الاشتراكات.
الخطوة 3. من عمود اسم السجل، انقر فوق ملحقات، أو اسم الملف الذي تم إنشاؤه حديثا. في هذا المثال، TAC_ACCESS_LOG.
الخطوة 4. في قسم "الحقول المخصصة"، الصق هذه السلسلة:
[DNS response = %:
d]
الخطوة 5.إرسال و نرتكب التغييرات.
اسم الحقل المخصص
حقل مخصص
سجلات W3C
الوصف
إستجابة DNS
٪:<d
x-p2p-dns-wait-time
الوقت المستغرق من قبل وكيل ويب لإرسال طلب اسم المجال (DNS) إلى عملية DNS الخاصة بوكيل الويب.
إجمالي DNS
٪:>d
x-p2p-dns-svc-time
الوقت المستغرق من قبل عملية DNS الخاصة بوكيل الويب لإعادة نتيجة DNS إلى وكيل الويب.
يمكنك عرض إحصائيات خدمة DNS والخدمات الداخلية الأخرى في سجلات Trackstat. يمكنك الوصول إلى سجلات شبكات التعقب من خلال الاتصال عبر FTP ب SWA لديك.
في هذا المثال، يمكنك رؤية إحصائيات ذاكرة التخزين المؤقت، وعدد استجابات DNS، التي تم تصنيفها حسب الوقت المنقضي من خادم DNS منذ آخر إعادة تمهيد ل SWA.
...
INFO: DNS Cache Stats: Entries 662, Expire 1697, Hits 88739, Misses 664, Reclaims 0
...
DNS Time 1.0 ms 349
DNS Time 1.6 ms 550
DNS Time 2.5 ms 374
DNS Time 4.0 ms 32
DNS Time 6.3 ms 35
DNS Time 10.0 ms 37
DNS Time 15.8 ms 301
DNS Time 25.1 ms 80
DNS Time 39.8 ms 136
DNS Time 63.1 ms 91
DNS Time 100.0 ms 12
DNS Time 158.5 ms 33
DNS Time 251.2 ms 14
DNS Time 398.1 ms 12
DNS Time 631.0 ms 45
DNS Time 1000.0 ms 120
DNS Time 1584.9 ms 73
DNS Time 2511.9 ms 296
DNS Time 3981.1 ms 265
DNS Time 6309.6 ms 190
على سبيل المثال، في السطر الأخير، يشير إلى أن استعلامات DNS التي استغرقت أكثر من 6309 مللي ثانية (حوالي 6 ثوان) للانتهاء منذ إعادة تمهيد SWA آخر مرة.
لمعرفة الرقم الصحيح في فترة زمنية، اطرح هذه القيم لوقت البدء ووقت الانتهاء.
على سبيل المثال، لتحديد وقت إستجابة DNS من الساعة 10:00 صباحا إلى الساعة 11:00 صباحا، قم بجمع إحصائيات الساعة 11:00 صباحا وطرحها من الإحصائيات من الساعة 10:00 صباحا.
والنتيجة هي وقت إستجابة DNS من الساعة 10:00 صباحا إلى الساعة 11:00 صباحا للتاريخ المرغوب.
ملاحظة: يتم تجميع سجلات حالة التعقب لكل 5 دقائق.
التقاط الحزمة
يمكنك التقاط الحزم لعرض طلبات DNS واستجاباته، للتصفية فقط ل DNS يمكنك إستخدامه: المنفذ 53 .
لبدء التقاط الحزمة من واجهة المستخدم الرسومية:
الخطوة 1. أختر الدعم والتعليمات من أعلى اليمين
الخطوة 2. أختر التقاط الحزمة
الخطوة 3. (إختياري) أختر تحرير الإعدادات لإضافة مرشح
الخطوة 4. (إختياري) أختر الواجهة (الواجهات) والنوع المنفذ 53 في قسم المرشح المخصص
الخطوة 5. (إختياري) أختر إرسال
الصورة- إضافة مرشح لالتقاط حزم DNS
تلميح: تتوفر إعدادات التقاط الحزمة لاستخدامها على الفور عند إرسالها. قم بإلزام التغييرات لحفظ هذه الإعدادات بشكل دائم للاستخدام في المستقبل.
الخطوة 6. أختر بدء الالتقاط.
الخطوة 7. (إختياري) قم بإنشاء حركة مرور البيانات، إذا كنت بحاجة إلى مشاكل في إطلاق النار على موقع معين أو الوصول إلى URL.
الخطوة 8. إيقاف الالتقاط
الخطوة 9. انتظر حتى يتم تحديث الصفحة، ثم أختر أول التقاط حزمة من قائمة إدارة ملفات التقاط الحزم
الخطوة 10. أختر تنزيل الملف
L4TM
تستمع شاشة حركة مرور الطبقة الرابعة إلى حركة مرور الشبكة التي تأتي عبر جميع المنافذ على كل جهاز ويب آمن وتطابق أسماء المجالات وعناوين IP مقابل الإدخالات في جداول قواعد البيانات الخاصة بها لتحديد ما إذا كانت تسمح بحركة المرور الواردة والصادرة أم لا.
عندما يصاب العملاء الداخليون بالبرامج الضارة ويحاولون الاتصال بالمنزل عبر المنافذ والبروتوكولات غير القياسية، تمنع مراقبة حركة مرور البيانات في المستوى الرابع نشاط الهاتف المنزلي للخروج من شبكة الشركة.
بشكل افتراضي، يتم تمكين مراقبة حركة مرور L4 وتعيينها على مراقبة حركة مرور البيانات على كل المنافذ، وهذا يتضمن DNS والخدمات الأخرى.
لمزيد من المعلومات حول شاشة حركة مرور الطبقة 4، الرجاء الرجوع إلى دليل المستخدم.
الأخطاء
صفحة الإشعارات
بشكل افتراضي، تعرض SWA صفحة إعلام لإبلاغ المستخدمين بأنهم قد تم حظرهم وسبب الحظر
اسم الملف وعنوان الإعلام: ERR_DNS_FAILED (فشل DNS)
الوصف: صفحة الخطأ التي يتم عرضها عندما يحتوي عنوان URL المطلوب على اسم مجال غير صالح.
نص الإعلام: فشل تحليل اسم المضيف (البحث عن DNS) لاسم المضيف <hostname >.
يمكن أن يكون عنوان الإنترنت غير صحيح إملائيا أو قديما، أو أن يكون <hostname>المضيف غير متوفر مؤقتا، أو قد يكون خادم DNS غير مستجيب.
الرجاء التحقق من كتابة عنوان إنترنت الذي تم إدخاله. إذا كان صحيحا، فجرب هذا الطلب لاحقا.
الصورة - خطأ فشل DNS
رمز نتيجة سجل الوصول بلا
تصف أكواد نتائج المعاملات الموجودة في ملف سجل الوصول كيفية حل الجهاز لطلبات العميل. إذا كان رمز النتيجة في سجل الوصول هو none فهذا يعني وجود خطأ في الحركة. على سبيل المثال، فشل DNS أو مهلة العبارة.
1688292974.527 20 10.61.66.65 NONE/503 0 GET http://invalidurl.cisco.com/ - NONE/invalidurl.cisco.com - OTHER-NONE-DefaultGroup-NONE-NONE-NONE-DefaultGroup-NONE <"IW_comp",9.3,0,"-",0,0,0,-,"-",-,-,-,"-",-,-,"-","-",-,-,"IW_comp",-,"-","Computers and Internet","-","Unknown","Unknown","-","-",0.00,0,-,"Unknown","-",-,"-",-,-,"-","-",-,-,"-",-,-> - - - -
فشل تمهيد ذاكرة التخزين المؤقت ل DNS
إذا تم إنشاء تنبيه بالرسالة "فشل في تمهيد ذاكرة التخزين المؤقت ل DNS" عند إعادة تشغيل جهاز ما، فهذا يعني أن النظام لم يتمكن من الاتصال بخوادم DNS الأساسية الخاصة به.
ويمكن أن يحدث ذلك في وقت التمهيد إذا دخل النظام الفرعي DNS على الإنترنت قبل تأسيس اتصال الشبكة. إذا ظهرت هذه الرسالة في أوقات أخرى، فقد تشير إلى مشاكل في الشبكة أو أن تكوين DNS غير معين إلى خادم صالح
تم الوصول إلى الحد الأقصى للفشل في الاستعلام عن خادم DNS
إذا لم يرد خادم أو بعض خوادم DNS التي تم تكوينها في SWA على استعلامات DNS، فإن SWA تعتبرها غير متصلة ولن ترسل استعلامات DNS إليها لمقدار الوقت المحدد مسبقا. لمزيد من المعلومات، اقرأ تكوين DNS من CLI" في هذه المقالة.
DNS_FAILED
عندما تتلقى SWA طلب HTTP وتفشل في حل اسم المضيف، تقوم SWA بشكل افتراضي بإرجاع رد مثل:
GET http://cisco HTTP/1.1
User-Agent: curl/7.19.7 (universal-apple-darwin10.0) libcurl/7.19.7 OpenSSL/0.9.8l zlib/1.2.3
Host: hostname
Accept: */*
Proxy-Connection: Keep-Alive
HTTP/1.1 307 Temporarily Moved for Domain Name Expansion
Mime-Version: 1.0
Date: Wed, 15 Sep 2022 13:05:02 EST
Proxy-Connection: keep-alive
Location: http://www.cisco.com/
Content-Length: 2068
تسمى هذه الميزة توسيع اسم الخادم". يقوم WSA بذلك في محاولات تقوم فيها إعادة توجيه اسم المضيف بحل الصفحة المتوقعة للعميل.
يمكنك تغيير "تنسيق عنوان URL لإعادة توجيه HTTP 307 على فشل البحث عن DNS"، لمزيد من المعلومات راجع قسم advancedProxyConfig في هذه المقالة.
تتعامل WSA مع طلب DNS الذي يرجع ServFail كفشل. على سبيل المثال، سيقوم NXDOMAIN بإرجاع "DNS_FAIL" بدلا من "server_name_expansion"
Image-GUI - تكوين إعدادات DNS
الصورة - تكوين DNS
الصورة - تغيير سجلات النظام ومستوى السجل
الصورة- إضافة مرشح لالتقاط حزم DNS
الصورة - خطأ فشل DNS
التعليقات