DNS选项-- Ironport Web安全设备

Question

我在透明模式下运行一个Ironport WSA。

在高级代理配置- DNS选项中，我发现以下内容：

Find web server by:
Specify how the appliance should find the location of the requested web server.
0 = use DNS answers in order
1 = use client supplied address then DNS
2 = use ONLY client supplied address
3 = use client supplied address for next hop connection and Web Reputation (Warning: Destination IP based policies will still use DNS).
Default Value: 1  

有人能解释为什么使用1作为缺省值是有意义的吗？

使用1.用户可以编辑他的主机文件并将www.google.com指向123.45.67.89。请求转到代理，它为www.google.com进行dns查找，但仍然将请求转发到123.45.67.89。

如果代理不使用答案，为什么要执行dns查找？

有人能看到不使用0的好理由吗？

这对我来说很有意义，因为代理无论如何都会执行DNS请求，这将使代理日志更加可信。

Answer 1

如果出于某种原因，客户端可以访问比代理更多或不同的名称解析数据，那么这首先是必要的。您自己给出了一个简单的例子:客户端主机文件中的一个条目不存在于代理中。或者客户端可能正在与另一台DNS服务器对话。

这也可能是一件很有效率的事情，因为在选项0中，所有DNS请求将执行两次，一次由客户端执行，一次由代理执行。在选项1中，只有当客户端提供的地址不工作时，代理才会执行DNS查找。

还要注意的是，当域使用循环的DNS时，客户端和代理可能会得到不同的查询答案。这将导致连接到另一个服务器，而不是客户机希望连接到的服务器。这可能会导致协议的问题，这些协议在某种程度上依赖于连接到DNS返回的实例。这种协议适用于备选案文1，但并不总是适用于备选案文0。