DNS 交通被公认为索福斯现场保护

DNS 交通被公认为索福斯现场保护

9972
Created On 02/09/21 16:35 PM - Last Modified 07/03/24 04:19 AM


Symptom


Firewall 配置为仅允许 udp 端口 53 上的 dns
Firewall 流量在 udp 端口 53 上丢弃其他流量,应用 sophos 实时保护
数据包捕获 dns 流量分类 FW 为 sophos 实时流量显示 DNS 对 sophosxl.net 的查询
用户添加的图像

Environment


FW 8.1.x 继续

Cause


这是合法的下降和设计行为,因为数据包捕获表明,这确实是索福斯 SXL 流量。


 

Resolution


此问题的解决方法将是列出的三个选项之一:
  1. DNS如果公司打算不使用此应用程序的端点并确保卸载完成,则从所有主机(本例中的内部服务器)禁用 Sophos 应用程序。
  2. 在允许 dns 规则中包括 sophos-live 保护。
  3. 如果使用内部 DNS 服务器和服务器配置为重复使用同一源端口,请更改服务器,以便每个查询使用不同的源端口,以便 firewall 不会错误地匹配非 sophos 流量作为 sophos 实时保护。

Additional Information


https://docs.sophos.com/msg/pmx/help/en-us/msg/pmx/glossentries/sxl.html
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCp7CAG&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language