Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
如何配置 DNS 的天坑 - Knowledge Base - Palo Alto Networks

如何配置 DNS 的天坑

65018
Created On 09/26/18 13:44 PM - Last Modified 05/15/20 22:33 PM


Resolution


 

dns 陷坑是欺骗 DNS 服务器以防止解析可疑恶意 url 的主机名的一种方法。这是通过配置 DNS 转发器将错误的 IP 地址返回到特定的 URL 来实现的。DNS sinkholing 可用于防止企业级中恶意 url 的访问。然后, 通过添加安全策略拒绝对错误 IP 地址的访问, 可以阻止对这些恶意 url 的访问。请观看下面的视频, 了解如何在帕洛阿尔托网络防火墙上配置 DNS 污水池。

 

 

视频字幕: 如何配置 DNS 坑 

 

您好, 这是来自帕洛阿尔托网络社区团队的乔罗西。

 

在本视频教程中, 我将介绍如何配置 DNS 陷坑.

 

我将向您展示如何在帕洛阿尔托网络防火墙上配置 DNS 污水池。

有关 dns 污水池的详细信息以及如何在文章中配置这一点, 请参阅如何在 https://live.paloaltonetworks.com/docs/DOC-6220 配置 dns 陷坑.

 

此外, 如果您需要知道如何验证您的 dns 天坑配置, 请参阅本文: 如何验证 dns 污水池: https://live.paloaltonetworks.com/docs/DOC-7783和我将覆盖在一个不同的教程视频.

 

从 PAN OS 6.0 开始, DNS 陷坑是一个可以在反间谍软件配置文件中启用的新操作。

 

步骤︰

  1. 请确保在帕洛阿尔托网络设备上安装了最新的防病毒更新。
  2. 在反间谍软件配置文件中配置 DNS 池保护。
  3. 将反间谍软件配置文件放在出站 internet 规则中。
  4. 配置安全策略规则以阻止对步骤2中所选 IP 地址的访问。

 

第 1 步。 请确保在帕洛阿尔托网络设备上安装了最新的防病毒更新。

让我们先登录到 WebGUI, 然后进入设备, 然后在左侧动态更新。

单击左下方的 "立即检查", 然后请确保防病毒更新是最新的。

如果他们现在,请在继续之前做的。如果未设置自动更新, 则始终可以配置它们。

 

重要!您需要有一个付费的反病毒订阅 DNS 污水处理功能, 以正常工作.

 

第 2 步。 在反间谍软件配置文件中配置 DNS 防坑保护

接下来, 让我们配置反间谍软件配置文件。

选择对象, 然后在左侧的安全配置文件下反间谍软件。

您必须使用现有的配置文件或创建新的配置文件。为了简单起见, 我将重用我已经拥有的配置文件, "所有警报"。

 

单击配置文件的名称, 全部通知, 然后选择 DNS 签名。

您需要做的第一件事是将 "DNS 查询的操作" 从警报更改为 "陷坑"。

然后在 "坑 IPv4" 字段中单击, 然后键入假 IP。我使用1.1.1.1 简单, 但只要 IP 没有在您的网络中使用, 那么您应该是好的。

 

注意: 选择这个 "假 IP" 时, 非常重要的东西。此 ip 地址需要是虚拟 ip 地址, 不能存在于网络中的任何位置. DNS 和 HTTP 通信必须经过防火墙才能检测到恶意 URL, 然后停止对假 IP 的访问。如果假 IP 被路由到不同的位置, 而不是通过防火墙, 那么这将无法正常工作。

 

接下来, 选择 IPv6, 输入一个假的 IPv6 IP。即使你还没有使用 IPv6, 你仍然需要输入一些东西。如果您不知道使用什么,:: 1 应该是 OK 使用。单击"确定".

注意:如果您没有为 "IPv6" 字段键入任何内容, 则您将无法单击 "确定".

 

注意所有规则名称、严重性和操作都已经完成了吗?这就是为什么我决定选择一个已经存在的反间谍软件配置文件。

 

第 3 步。 将反间谍软件配置文件放在出站 internet 规则中

完成后, 我们需要确保出站通信的安全规则 (对于 DNS 请求) 使用的是反间谍软件配置文件。

 

选择策略, 然后在左侧进行安全保护。

在规则内, 找到允许 DNS 通信出站的规则, 单击该名称, 转到 "操作" 选项卡, 并确保选中了正确的反间谍软件配置文件。单击"确定".

 

步骤4。 配置安全策略规则以阻止对步骤2中所选 IP 地址的访问

最后一件事-你需要有一个安全规则, 阻止所有访问假 IP 1.1.1.1 和:: 1, 如果你使用 IPv6. 不需要应用程序, 因为您希望在确定应用程序之前停止所有访问。如果需要粒状, 则可以添加服务 HTTP (80) 和 HTTPS (443), 但不需要这样做。然后确保操作是阻止。

 

提交更改后, 就完成了。

 

在本视频的后续操作中,如何验证 DNS 池是否工作正常, 我们将测试并验证您是否已设置并正常工作. Ify 希望有一篇文章, 请使用下面的文本中的链接。

 

文档链接, 了解如何验证 DNS 污水处理功能是否工作正常.

https://live.paloaltonetworks.com/docs/DOC-7783

 

有关 dns 污水池的详细信息以及如何在文章中配置这一点, 请参阅如何在 https://live.paloaltonetworks.com/docs/DOC-6220 配置 dns 陷坑.

 

此外, 如果您需要知道如何验证您的 dns 天坑配置, 请参阅本文: 如何验证 dns 污水池: https://live.paloaltonetworks.com/docs/DOC-7783和我将覆盖在一个不同的教程视频.

 

感谢您的收看。

 

保持安全。

 

请参见

视频教程: 如何验证 DNS 天坑
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 239,659
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClmKCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language