DNS Security Sinkhole-Aktion wird beim Upgrade auf PAN-OS 10.0.0 überschrieben
12057
Created On 05/11/20 22:55 PM - Last Modified 09/08/21 00:11 AM
Symptom
Sinkhole-Aktion auf DNS Security funktioniert nach dem Upgrade auf PAN-OS 10.0.0 nicht mehr.
Environment
Upgrade von Firewalls von PAN-OS 9.1.x auf PAN-OS 10.0.0, die mit der Installation von DNS Security Sinkhole-Aktionen lizenziert und konfiguriert sind.
Cause
Beim Upgrade auf PAN-OS 10.0.0 wird die DNS Security in 9.1.x definierte Aktion mit einer neuen Standardaktion (Block) für jede schädliche Kategorie überschrieben (nicht DNS Security transformiert).
Resolution
So stellen Sie die Sinkhole-Aktion DNS Security auf:
- Greifen Sie auf das entsprechende Anti-Spyware-Profil unter [Objekte > Sicherheitsprofile > Anti-Spyware-> (Open Anti-Spyware-Profil) > DNS Richtlinien (Registerkarte) > DNS Security (Abschnitt)] zu.
- Ändern Sie die Aktionen für die neuen DNS Kategorien von "default(block)" in sinkhole wie gewünscht. (d. h. neue DNS Security Kategorien, die alten 9.1-Erkennungen zugeordnet sind, sind "Befehls- und Steuerungsdomänen", "Malware-Domänen", "Phishing-Domains" und "Kürzlich registrierte Domänen".
- Klicken Sie auf OK .
- Ihre Änderungen zu übertragen.
Additional Information
Die DNS Security Aktion beim Upgrade auf PAN-OS 10.0.0 kann mit dem Config Audit-Tool überwacht werden.
Weitere Informationen finden Sie unter:
https://docs.paloaltonetworks.com/ pan-os /10-0/ pan-os -new-features/content-inspection-features/dns-security-signature-categories.html