Blockieren verdächtiger DNS Abfragen mit DNS aktiviertem Proxy

Wenn Sie versuchen, Anti-Spyware in den Palo Alto-Netzwerken mit aktiviertem Proxy zu firewall DNS aktivieren, werden dem Benutzer möglicherweise DNS Anforderungen im gesamten Netzwerk verweigert, wenn sie nicht ordnungsgemäß eingerichtet sind. Dies liegt daran, wie Palo Alto Networks-Geräte Anfragen verarbeiten DNS und wie Palo Alto Networks verdächtige Abfragen blockiert DNS (aktiviert in Anti-Spyware-Profilen). In diesem Dokument wird erläutert, warum dieses Problem auftritt und wie sie behoben werden können.

Das Problem wird dadurch verursacht, dass das Palo Alto Network-Gerät versucht, seine einzige Sitzung für DNS Abfragen an den externen Server zu DNS blockieren. Wenn Sie ein Anti-Spyware-Profil einrichten, um verdächtige Abfragen zu blockieren DNS (einschließlich des standardmäßigen "strengen" Objekts), firewall wird die beleidigende DNS Sitzung in einen DISCARD Zustand versetzt. Dies bedeutet, dass der gesamte DNS Datenverkehr vom blockierten Gerät ab diesem Zeitpunkt gelöscht wird, bis das Sitzungsmal abgelaufen ist, oder manuell gelöscht wird. Gesuchte DNS Abfragen werden blockiert, wenn die Benutzer ein Anti-Spyware-Profil anwenden, das konfiguriert ist, um diese DNS Abfragen aus einer vertrauensvollen (internen) Zone auf nicht vertrauenswürdige (externe) Zone Security zu blockieren Policy [siehe Diagramm 1.0]. Im Folgenden wird der Ablauf veranschaulicht, den ein Paket annehmen würde, wenn es mit einer Sicherheit konfiguriert Policy wäre, ähnlich der oben aufgeführten [Siehe Diagramm 1.1].Dies führt dazu, dass alle DNS Abfragen, die von den Palo Alto-Netzwerken zum Server gehen, firewall abgelehnt DNS werden, nachdem eine verdächtige DNS Abfrage erkannt wurde; sogar die gewünschten.

Konfigurieren Sie zwei Richtlinien wie gezeigt unten (siehe Abbildung 2.0). Die erste policy erlaubt diese Abfragen vom Benutzer DNS firewall ins Internet. Dadurch wird DISCARD verhindert, dass eine Sitzung gebildet wird, die alle DNS Abfragen für das gesamte Netzwerk blockiert. Der zweite policy gibt an, das Anti-Spyware-Profil für den Datenverkehr auszuführen, der von den Clients an den firewall stattdessen geht. Dadurch können verdächtige Abfragen für bestimmte Clients blockiert DNS werden, und keine DNS Abfragen für das gesamte Netzwerk.