爱华网正确设置OpenDNS的方法
WS的读者和其他OpenDNS的用户所报告的问题主要是由于未能完整设置或者错误设置了这种服务引起的。许多推荐使用OpenDNS的文章也仅仅指出,只要在你的电脑或者路由器中把DNS服务器替换成由OpenDNS所拥有的IP地址就万事大吉了:208.67.222.222和208.67.220.220。这些文章的本意是想要帮助用户,但却未能把“故事”讲完。简单的IP地址替换自然是所有OpenDNS用户都需要做的。不过,要想完全控制你在使用OpenDNS时的体验,则需要在OpenDNS.com上创建一个帐户。如果没有帐户,那么你会一直使用默认的参数设置,而默认的参数设置不会对你的设置起作用。比如,如果你不更改帐户里的参数,那么你可能无法访问一个VPN(virtualprivate network)或者Windows Home Server。类似的,不建立帐户,你就不可能利用OpenDNS那强大的过滤选项。默认的,OpenDNS使用了一个所谓的“PhishTank”列表来阻止“钓鱼”网站,这个列表由OpenDNS自己来维护。但是,如果你是父(母)亲或者老板,想要屏蔽某些网站,比如色情、非法下载、社会网络或者视频分享网站等等,那么你就需要配置帐户里的参数来达到此目的。为了创建一个免费的帐户,只须到OpenDNS.com进行注册即可。你也必须在路由器中把DNS服务器的IP地址变为上面提到过的那两个IP地址。相关的操作说明可以在“使用OpenDNS”页面找到,且适用于绝大多数的路由器。一旦你的帐户确认完成了,登录到OpenDNS网站并打开Dashboard就可以设置你的帐户的参数了(图1)。
图1.通过OpenDNS的Dashboard进行设置
对于典型的家庭用户来说,在设置OpenDNS时,你首先要通过“网络项(Networkstab)”把你的家庭网络添加进来。这样,通过在你的路由器中进行配置和添加你的家庭网络,使用同一个帐户,你就能够保护你的全部电脑和网络设备——包括使用Wi-Fi连接到网络的智能手机。如果你使用了多个网络,还可以把这些网络都添加到这同一个帐户中。当你出门在外时,你可以针对你的笔记本的Wi-Fi和网卡来更改DNS的设置,从而能够直接连接到OpenDNS而不是依赖于你的家庭网络连接到OpenDNS。关于针对各个不同系统如何进行此项设置,可以在OpenDNS的“更改DNS设置”页面查看(同时在电脑和路由器上使用OpenDNS是很不错的)。接下来,点击“设置项(Settingstab)”进行选择并配置你的网页过滤参数。我自己的设置是第二个级别,即“低(Low)”,可以阻止钓鱼网站和色情站点。父母们可能会选择更高级别的保护。同时,无论你选择的是哪种级别的保护,你都还可以另外创建个性化的允许和阻止列表。但是,对于典型用户而言,要找到如何访问真正的OpenDNS(?motherlode)的方法可能会更困难一些。点击“设置(Settings)”、“高级设置(AdvancedSettings)”(见图2)。在这儿,可以添加VPN或者网页服务器,启用SmartCache(智能缓存)功能,使用动态IP地址更新功能(这个功能对出门在外移动办公的人特别有用)。
图2.OpenDNS的高级设置选项可以让你设置代理服务器的使用
为了通过一个VPN或者到达公司内网,或者是访问类似的资源比如网络打印机和网络共享,你有两种选择。对于家庭网络,只要在你的VPN服务器或者网络域名中添加一个“Domaintypoexception”即可,比如,vpn.mycompany.com。再加上使用动态IP地址更新功能,这就可以解决远程访问和WindowsHome Server所带来的问题。如果你已经在运行着一个本地DNS服务器,比如带有活动目录(Active Directory)的Windows Server2008,那么你的第二个选择是,只向OpenDNS服务器转发外部的DNS请求,而继续在本地解析本地域名。在这种情况下,你须要在服务器上更新指向OpenDNS的外部DNS设置,但不要在路由器和客户端电脑上再这样设置了。那些依赖于ISP提供动态IP地址或者经常外出的人可以在OpenDNS的支持页面下载OpenDNS更新器(OpenDNSUpdater)。
对OpenDNS进行的一些速度测试
在正确设置了OpenDNS之后,就可以看它“是骡子是马”了。首先,你可以使用一个简单易用的DNS性能测试(来自于Silverwolf'sAuditorium)来确认OpenDNS是否能够达到其所宣称的速度。可以在你的ISP提供商的DNS服务器和OpenDNS的服务器上进行测试。我住在北加州,从测试结果来看,有人抱怨OpenDNS比其它服务商的速度慢看来的确是一个事实。我使用标准的DSL线路访问AT&T的DNS服务器,其解析速度是OpenDNS的两倍:89毫秒对187毫秒。虽然187毫秒已经是一个相当不错的平均值了,但OpenDNS的用户们指出,我的测试结果并非典型的,尤其是OpenDNS在我家附近还有一个服务器。于是,我向分布于世界范围内其他的WindowsSecrets编辑们求助,请他们从各自的位置也运行这个测试。结果,差别很大。比如,在新罕布什尔州(New Hampshire),FredLanga的测试结果是:他的ISP提供商FairPoint的速度是132毫秒,OpenDNS是146毫秒。在科罗拉多州(Colorado),ScottSpanbauer的ISP提供商Comcast的速度是119毫秒,OpenDNS则是116毫秒。在泰国的Phuket,WoodyLeonhard的ISP提供商TT&TMaxNet的速度是547毫秒,OpenDNS的是414毫秒。结果几乎都相差无几。底线是看你的侧重点究竟如何了。我建议,在你使用OpenDNS之前,也按上述那样测试一下。即使你发现OpenDNS在性能上有一些缺陷,也应当在这种微不足道的缺陷和OpenDNS所能带来的安全性、稳定性之间进行权衡比较(别轻易放弃)。如果你发现区别甚大,那可能是你所在的地方不适合使用OpenDNS。在这种情况下,你可以试着用一下DNSAdvantage,它是一个类似的服务,来自于NeuStar。DNSAdvantage现在仍旧处于开发中,但正在很快的增加“网站阻止”和“拼写纠正(typo-correction)”服务,类似于OpenDNS所提供的那些服务。NeuStar已经为其付费的、具有公司性质的UltraDNS服务建立了一个大型的DNS服务器网络。因此,DNSAdvantage可能会成为一个“大角色”。
说说读者报告的OpenDNS小缺陷
正如我上面所提及的那样,有一些WS的读者报告说,在看了Susan的TopStory专栏上的那篇文章之后,他们在使用OpenDNS时碰到了困难。David Cagle抱怨说,他的ISP阻止了(OpenDNS的)这项服务:“我在佛罗里达,用的是Comcast。我几乎无法打开OpenDNS的网页。数天之后,我变得疑问重重,然后就在网上搜索。众多愤怒的Comcast用户们都说,OpenDNS要么被彻底阻止了,要么被(Comcast)控制得毫无用处”。虽然有些Comcast用户在使用OpenDNS时遇到了麻烦,但同样是Comcast的用户,ScottSpanbauer在测试OpenDNS时并没有碰到这样的麻烦。而且,OpenDNS的CEO DavidUlevitch向我保证说,“我们在美国有几百万的用户,其中有许多就是Comcast的用户。我们没有听到他们抱怨过。我们对Comcast的DNS工程师们相当的熟悉,我们知道他们没有(对OpenDNS)进行任何阻拦。”可能David的问题是由于他的个人设置造成的。(OpenDNS联系了David,试着帮他解决问题,但直到本月早些时候,David还没有回复。) 读者ErnieMandoky提醒,在使用OpenDNS时可能会发生另外一个问题: “使用WindowsHome Server的Windows Secrets用户们注意了,OpenDNS不能正确的翻译此服务器(HomeServer)的IP地址,因此,客户端电脑无法通过“故障恢复控制台”([Recovery] Console)和“远程桌面”(RemoteDesktop)来连接到此服务器。备份还会自动继续进行,你也可以直接在浏览器中输入此服务器的IP地址来访问服务器,但是控制台(Console)会连接不上。”正如我前面所述,为了保护一个家庭网络,只要简单的在你的VPN服务器或者网络域名中增加一个“Domain typoexception”即可,比如,vpn.mycompany.com。再加上使用动态IP地址更新功能,就应当可以消除连接WindowsHome Server和远程访问所碰到的问题。 RickMcLeod发现,在安装了OpenDNS之后,系统性能慢得如同在爬一般。他认为他的电脑已经被感染了:“由于听从了你们关于OpenDNS的建议,当我输入了一个无效地址(URL)的时候,我的浏览器被劫持了,被劫持到了一个搜索网页。我要的结果不是它。我一直在试着清除此网页,但麻烦很大。”OpenDNS没有任何劫持或漏洞可以利用。OpenDNS的一个特性就是,当输入一个不存在的域名的时候,它会显示一个搜索对话框。如果只是一个普通的错误,比如,输入了“google.cmo”,那么OpenDNS会把你引导到正确的网页(也即google.com)。然而,如果不能找到能够轻松匹配出的网址,OpenDNS会把你引导到一个搜索页面。此搜索页面中包含有广告,以支撑OpenDNS的运营。
对于这样一个免费的好东西,我觉得此处的广告不是问题,算不了什么。尤其是,我犯的大多数输入错误都会被OpenDNS自动的更正至正确的域名,使我得以避免重新输入。很少有类似于OpenDNS这样有用的网络服务是真正免费的。只要广告不碍事,我愿意接受这种折衷。
16:54 2009-7-23译后:本文的实际内容已经超出了标题中的“安全”范围,更为广泛。当然,只要内容还是事关安全。
