UniFi 网关提供内容过滤功能,可以阻止全网对恶意、露骨和不适当网站的访问。这是基于 DNS 级别的功能,可灵活应用于特定 VLAN 或客户端设备。

  • 如需了解 UniFi 流量和策略管理 能力的完整介绍,请点击此处
  • 如需了解 UniFi 网络与网络安全 能力的完整介绍,请点击此处

内容过滤配置方法

  1. 进入内容过滤设置:设置 > CyberSecure > 内容过滤。
  2. 创建名称:为策略分配一个名称。
  3. 选择来源:将策略应用到特定 网络 和/或 客户端设备
  4. (可选)启用广告拦截:使用 UniFi 内部数据库,拦截与广告相关的已知域名。
  5. (可选)启用安全搜索:利用与 Google、Bing 及/或 YouTube 集成的安全搜索功能,阻止露骨内容。
  6. 选择过滤策略
    • 关闭
    • 基础:用于阻止与恶意、露骨或成人内容相关域名的预设配置。
    • 增强:由 Cloudflare 提供支持的高级过滤解决方案,涵盖 100 多个基于类别的过滤,由行业领先的安全团队管理。适用于需要严格策略或合规要求的专业及企业环境。详情见 UniFi Cyber​​Secure 基于 Proofpoint
  7. (可选)配置允许名单与阻止名单:
    • 允许名单:将某个原本会被过滤策略拦截的域名放行。
    • 阻止名单:拦截额外的未被上述策略拦截的域名。
  8. (可选)设置生效时间表:按需设定策略的启用时段。

工作原理说明

内容过滤通过将 DNS 流量重定向到 UniFi 网关进行检测来起作用。请求会和内部阻止名单(或增强类别过滤)对比,在浏览器连接站点前就会阻止访问。该机制无需客户端额外配置,并会自动更新。

注意:运行 4.2 或更早版本的 UniFi 网关上,DNS Shield 无法与内容过滤同时使用。

本地 DNS 解析支持

由于内容过滤依赖 DNS 重定向,若未正确路由,内部或手动配置的 DNS 服务器请求(如 AD 域控)可能会失败。

下表总结了不同拓扑下对 DNS 转发和 SNAT 的需求:

场景 是否需 DNS 转发 是否需 SNAT
本地 VLAN 上的域控
通过 Site Magic SD-WAN 的域控
通过基于路由的 IPsec VPN(有 VTI 地址)
通过基于路由的 IPsec VPN(无 VTI 地址)
通过基于策略的 IPsec VPN

如需恢复内部 DNS 区域的正常解析,请按以下步骤操作:

创建 DNS 转发规则

  1. 进入 DNS 转发规则页面。
    • Network 9.3:设置 > 策略引擎 > DNS。
    • Network 9.4:设置 > 策略表。
  2. 点击:
    • 在 Network 9.3:点击“创建 DNS”。
    • 在 Network 9.4:点击“新建策略”> 选择“DNS”。
  3. 添加一个新的域条目:
    • 域名:您的内部域名(例如:corp.local)
    • 目标 IP:您的域控制器的 IP 地址

创建源地址转换(SNAT)规则

仅当使用策略型 IPsec VPN 或 无 VTI 地址的路由型 VPN 时才需要。

  1. 进入 NAT 配置页面。
    • Network 9.3:设置 > 策略引擎 > NAT。
    • Network 9.4:设置 > 策略表。
  2. 点击:
    • 在 Network 9.3:点击“新建” > 源地址转换(Src. NAT)
    • 在 Network 9.4:点击“新建策略” > 选择“NAT” > 源地址转换(Src. NAT)
  3. 配置该规则:
    • 规则类型:源地址转换(Source NAT)
    • 描述:例如,用于 DNS 到远程域控的 SNAT
    • 协议:UDP 和 TCP
    • 源 IP:留空
    • 目标 IP:填写域控制器的 IP 地址
    • 转换后 IP:填写网关 LAN 口的 IP 地址
    • 接口选择:
      • 如果是基于 策略 的 VPN —— 选择配置了 IPsec 的 WAN 口
      • 如果是基于 路由 的 VPN —— 选择站点间 VPN 接口

这样可以确保 DNS 服务器返回的数据包能够正常到达网关。