如何 I 向 DNS Security 类别域添加例外?

如何 I 向 DNS Security 类别域添加例外?

26535
Created On 02/02/21 22:37 PM - Last Modified 09/27/24 05:29 AM


Question


如何 I 向 DNS Security 类别域添加例外?

Environment


  • 帕洛阿尔托网络 Firewall
  • 帕洛阿尔托网络 Panorama
  • PAN-OS >= 10.0

Answer


NOTE

如果您不同意当前 DNS 类别,请通过 https://urlfiltering.paloaltonetworks.com 提交更改请求。 PAN-DB URL过滤分类的更改将传播类别更改到 DNS Security 数据库。

如果您确实同意当前 DNS 类别,但需要添加一个例外,请阅读如下。

DNS Security 将检测相同的不同域 UTID 名。 这意味着,为该类别添加一 UTID 个例外将创建整个类别的例外 DNS Security ,这不是需要的。

不同的 UTID DNS Security 类别地图如下:
 

109000001 DGA

109001001 DNS 隧道

109001002 DNS 隧道

109010001 网络钓鱼

109010002 灰软件

109010003 停车

109010004 代理回避和匿名器

109010005 灰软件

109010006 灰软件

109020002 动态 DNS

109020001 新注册域名

在 UTID FQDN DNS "域/允许列表"面板下放置例外,而不是使用"例外"选项卡,并将其配置为 DNS FQDN :
DNS Security FQDN 例外

等效 CLI 配置命令是:
 

> configure
# set profiles spyware Anti-Spyware botnet-domains whitelist freedns.afraid.org description "afraid dns updates"
 


如果还有基于内容的威胁 ID ,例如在我们的示例中,您可以通过添加基于内容的内容加倍 UTID 。 在我们的情况下 UTID ,58392213也映射到 freedns.afraid.org。 这将确保除域外,如果它存在于内容包提供的签名 ID 。

如果子域也需要被排除,创建一个通配符条目。 在我们的示例中,即:
 

> configure
# set profiles spyware Anti-Spyware botnet-domains whitelist *.afraid.org description "except afraid.org and all subdomains"
 


在此示例中,通配符条目将匹配 afraid.org 和所有子域(无需添加两个单独的条目,就像使用 URL 筛选一样)。

Additional Information


有关 DNS Security 在早期 PAN-OS 版本(9.0 和 9.1) 中放置例外,请参阅文章"如何在阻止类别时仅添加一个 DGA 域的例外 DGA DNS Security "[]
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCjYCAW&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language