为什么有可疑 DNS 的查询来自管理 IP 或 Firewall Panorama ？

• 帕洛阿尔托网络 Firewall
• 帕洛阿尔托网络 Panorama
• 所有 PAN-OS 版本

观察 DNS 来自管理层的恶意或可疑查询 IP Firewall Panorama 可能相当令人震惊。 直接的假设是， Firewall 或 Panorama 可能受到损害，但是，有其他往往被忽视和良性的原因，观察到的活动。 其中一些原因可能是：

1. 在筛选日志中对恶意域进行了观察 URL 。 Firewall Panorama 默认情况下启用的和已预定义的报告。 通常，恶意域会出现在僵尸网络或"阻止网站"报告中。 报告引擎将尝试解决 IP 域的地址以在报告中填写该域名，或者，
2. 有一个 FQDN 地址对象配置与违规域，它当前被应用为源或目的地地址 Policy 的。 firewall该将定期尝试解决 FQDN 在 IP 会话匹配或安全查找期间使用的地址对象 Policy 。

1. firewall可能会将域解析为一个 IP ，但由于 DNS 负载平衡技术，解析可能导致不同的解析 IP ，因此主机将独立于该 DNS 域解 firewall 析，并可能将域解析为不同的域 IP ，从而绕过 Policy 配置为阻止域的"安全"。
2. 如果 DNS 来自 firewall 自有反间谍软件的流量检查数据路径或其他路径 firewall ，它将观察自己的 DNS 查询作为恶意 DNS 检测。