Назад | Перейти на главную страницу

Работа с большими списками блокировки: что лучше: DNS Blackhole или блокировка на уровне брандмауэра

Настраивая новые средства защиты для сетей, я обнаружил, что имею два разных варианта.

Из-за размера списков (легко 2500000+ доменов) лучше настроить DNS-серверы на черную дыру, затем перенаправить на другой локальный DNS-сервер, а затем, наконец, перейти на общедоступный DNS-сервер для общедоступных доменов или просто использовать брандмауэр для блокировки доступа к этим доменам ?

Меня беспокоит то, что, хотя DNS снижает нагрузку на брандмауэр, он может увеличить время ожидания для разрешения действительных записей DNS из-за перехода через 3 DNS-сервера и огромный список доменов.

Визуализация моей установки:

Pi-Hole ==> DNS-серверы AD ==> DNS-серверы Google

Идея состоит в том, чтобы заблокировать отслеживание, рекламу, мошенничество и другие угрозы, которые есть у обычного пользователя в бизнесе, не создавая при этом слишком много накладных расходов для повседневных операций.

Хотя блокировка FB и других социальных сетей может помочь, нельзя запретить пользователю случайный просмотр веб-страниц, несмотря на то, что ему сказали «только для бизнеса».