DNSプロキシが有効な疑わしいクエリのブロック DNS

プロキシを有効にした Palo Alto Networks でスパイウェア対策を有効にしようとすると firewall DNS 、 DNS 正しく設定されていない場合、ユーザーはネットワーク全体でリクエストが拒否される可能性があります。 これは、パロアルトネットワークスデバイスがリクエストを処理 DNS する方法と、Palo Alto Networksが不審なクエリをブロックする方法 DNS (スパイウェア対策プロファイルで有効)が原因です。 このドキュメントでは、この問題が発生する理由と解決方法について説明します。

この問題は、Palo Alto Network デバイスが外部サーバーへのクエリに対する唯一のセッションをブロックしようとした場合 DNS に発生 DNS します。 不審な DNS クエリ(デフォルトの「strict」オブジェクトを含む)をブロックするようにスパイウェア対策プロファイルを設定すると、問題 firewall のあるセッションが DNS 状態に移行します DISCARD 。 つまり DNS 、ブロックされたデバイスからのすべてのトラフィックが、その時間経過後にセッションがタイムアウトするまでドロップされるか、手動でクリアされます。 DNSユーザーが DNS 信頼 (内部) ゾーンから信頼されていない (外部) ゾーンのセキュリティにこれらのクエリをブロックするように構成されたスパイウェア対策プロファイルを適用すると、必要なクエリ Policy はブロックされます[ 図 1.0] を参照してください。 次に示すのは、セキュリティを使用して構成された場合にパケットが使用するフローの図です Policy 。.上記の[図 1.1]を参照してください)。これにより DNS 、Palo Alto Networks から firewall サーバーに送信されるすべての DNS クエリは、疑わしい DNS クエリが検出された後に拒否されます。

2 つ以下の方針として示されている (図 2.0 参照) を構成します。 最初の policy 方法では、 DNS ユーザーから firewall インターネットへのクエリが許可されます。 これにより、 DISCARD ネットワーク全体のすべてのクエリをブロックするセッションが形成されなくなります DNS 。 2 つ目 policy は、クライアントから代わりにトラフィックに対してスパイウェア対策プロファイルを実行すると表示されます firewall 。 これにより、 DNS 特定のクライアントに対する疑わしいクエリをブロックすることができ、 DNS ネットワーク全体のクエリをブロックすることはできません。