DNS启用代理阻止可疑查询 DNS

当尝试在启用代理的 Palo Alto 网络上启用反间谍软件时 firewall DNS ， DNS 如果设置不当，用户可能会在整个网络中遇到被拒绝的请求。 这是因为帕洛阿尔托网络设备如何处理 DNS 请求，以及帕洛阿尔托网络如何阻止可疑 DNS 查询（在反间谍软件配置文件中启用）。 本文档将讨论出现此问题的原因以及如何解决这些问题。

问题是由帕洛阿尔托网络设备试图阻止其唯一的会话 DNS 查询外部 DNS 服务器造成的。 如果设置反间谍软件配置文件来阻止可疑 DNS 查询（包括默认的"严格"对象）， firewall 则会将违规 DNS 会话置于 DISCARD 状态。 这意味着 DNS ，从被阻止的设备的所有流量，从该时间转发，它将被丢弃，直到会话时间过时，或手动清除。 DNS当用户应用配置为 DNS 阻止这些查询从信任（内部）区域到不信任（外部）区域安全 Policy （见图表 1.0） 的防间谍软件配置文件时，通缉查询将被阻止。 以下是如果配置了安全性（类似于上面列出的流）则数据包将需要的流量的示例 Policy [见图表 1.1]。这 将导致 从 DNS Palo Alto 网络 firewall 到服务器的所有查询 DNS 在检测到可疑查询后被拒绝 DNS ;即使是通缉查询也是如此。

配置两个政策如图所示下面 （见图 2.0）。 第一个 policy 将允许这些 DNS 查询从用户到 firewall 互联网。 这将 DISCARD 阻止形成会话，阻止 DNS 整个网络的所有查询。 第二 policy 个将状态执行反间谍软件配置文件的流量从客户端到 firewall 代替。 这将允许阻止 DNS 特定客户端的可疑查询，而不是阻止 DNS 整个网络的查询。