如何解决由于位置firewall不显示日志而导致DNS security的中断

如何解决由于位置firewall不显示日志而导致DNS security的中断

5555
Created On 02/05/21 04:56 AM - Last Modified 06/02/25 14:32 PM


Symptom


  • Firewall 管理员应用严格的反间谍软件 policy 与 DNS security 启用,其操作作为天坑。
  • 应用更改后。 客户端无法再访问互联网,并且名称解析开始失败。流量日志 firewall 显示 DNS 流量已过期且未阻止。
  • 威胁日志不显示任何具有天坑操作或 dns 安全类别的相关日志。

Environment


启用了功能的 DNS security PanOS 9.0.x 或更高版本。
 

Cause


此问题可能是由于无法访问 firewall 后端 DNS security 服务器来下载源并执行查找而导致的。 使用以下方法来标识相同。

1:数据包捕获与 for firewall DNS 流量和检查全局计数器。 请使用以下文档不确定如何继续。
  如何检查特定源地址和目标 IP 地址的全局计数器
ctd_dns_req_lookup_miss                    2        1 info      ctd       pktproc   DNS request signature lookup not found
ctd_dns_res_fwd_unresolved                10        8 info      ctd       pktproc   DNS response forwarded as not resolved
ctd_dns_wait_pkt_drop                     43       36 drop      ctd       pktproc   DNS packet drop when waiting
ctd_dns_modify_ttl                       221      187 info      ctd       pktproc   DNS response packet changed TTL due to timeout
2:上面的计数器表示由于无法访问后端服务器, firewall 数据包已丢弃。
3:检查信息输出 DNS security 。
show dns-proxy dns-signature info 

Cloud URL: dns.service.paloaltonetworks.com:443

Last Result: Timeout was reached ( 0 sec ago ).  <<<

Last Server Address: 130.211.8.196

Parameter Exchange: Interval 300 sec

Whitelist Refresh: Interval 43200 sec 

Request Waiting Transmission: 0

Request Pending Response: 41

Cache Size: 0
4:上面的输出表明 firewall 无法到达它需要 dns.service.paloaltonetworks.com。 
5:在进一步进行故障排除后,用户发现问题是 上的一个 policy 块 firewall。
2021/02/04 20:14:00 paloalto-dns-se trust                           53867             x.x.x.x
Inside Intrazone_default deny            untrust                         443               130.211.8.196

 

Resolution


1:使用相关数据创建允许规则, FQDN dns.service.paloaltonetworks.com 和 app paloalto-dns安全性来解决问题。
2:创建允许规则后,签名信息的 DNS 输出将发生更改。
show dns-proxy dns-signature info

Cloud URL: dns.service.paloaltonetworks.com:443

Last Result: Good ( 1 sec ago )

Last Server Address: 130.211.8.196

Parameter Exchange: Interval 300 sec

Whitelist Refresh: Interval 43200 sec 

Request Waiting Transmission: 0

Request Pending Response: 1

Cache Size: 168
3:现在,威胁日志应开始根据配置显示相关日志。

Additional Information


用于解决问题 DNS security 的有用命令。
show dns-proxy dns-signature info
show dns-proxy dns-signature content
debug dnsproxyd dns-signature info
debug dnsproxyd dns-signature counters
test dns-proxy dns-signature fqdn <value>

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCloCAG&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language