如何 DNS 为客户配置代理 GlobalProtect

DNS 代理是 firewall DNS 客户端和服务器之间的中间人角色;它 DNS 通过解决 DNS 代理缓存中的查询作为服务器本身。 如果域名未在 DNS 代理缓存中找到， firewall 则搜索特定代理对象中的条目（ DNS 在查询到达的界面上）中与域名匹配， DNS 并根据匹配结果将查询转发到 DNS 服务器。 如果找不到匹配项， DNS 则使用默认服务器。

1. 识别网关配置中提到的隧道界面 GlobalProtect 。 网络 > 全球保护 > 网关:

2. 导航到 网络>接口>隧道 ，并将 IP 地址添加到从前一步骤中识别的隧道界面中：

注意： 此 IP 地址可能是任何随机 IP 地址。 此外，请确保有适当的路由和安全规则，以便在此 IP 地址和服务器之间进行通信 DNS 。

3. 导航到 网络>全球保护>网关>代理>网络服务。 将此地址配置 IP DNS IP 为全球保护客户端的主要服务器：

4. 导航到 网络>全球保护>网关>代理>环境设置>溢出隧道>包括访问路线。 将此地址配置 IP 在访问路线表中，以便全球保护客户端通过隧道获取此地址 IP 的路线：

5. 导航到 网络> DNS 代理。 配置隧道接口以充当 DNS 代理。 配置 DNS 要使用的主服务器和辅助服务器。 DNS 代理规则可以配置为 DNS 向内部 DNS 服务器发送内部域的查询。 如果域未匹配， DNS 将使用默认服务器。

注意： 如果 DNS 查询到 firewall 隧道界面，比方说，paloalto.panvmlab.com， firewall 将发送 DNS 请求到192.168.243.221。 但是，如果 DNS 请求出现，例如，google.com，由于域名与代理规则中的名称不匹配， firewall 则 DNS 将请求发送到默认服务器 8.8.8.8 或 4.2.2.2。

类似地，静态条目可以在上面创建 firewall ，以便 DNS FQDN 请求使用配置的静态地址进行响应 IP ：

6- 根据 policy NAT 与内部或外部服务器进行通信所需的配置安全和规则 DNS 。 IP请求的来源 DNS 将是隧道接口 IP 地址：

隧道接口是信任-Wifi区、 DNS 信任区的内部服务器和 DNS 不信任区的外部服务器。