启用DNS安全时,防火墙会丢弃随机DNS响应(反间谍软件配置文件)
3826
Created On 06/09/23 22:03 PM - Last Modified 06/02/25 20:03 PM
Symptom
- 当在相关安全策略中应用防间谍软件配置配置文件上启用的DNS安全性时,防火墙会丢弃随机DNS响应。
- 可能发生在之前未解析的新 URL 上。
- 全局计数器表示带有“ ctd_dns”的计数器会递增。与此最相关的是:
- ctd_dns_req_lookup_miss
- ctd_dns_req_lookup_noaction
- ctd_dns_reply_wait
- ctd_dns_wait_pkt_drop
- ctd_dns_pkt_retransmit
- 在防火墙上捕获流量时,当以下任何一个计数器增加时,都会看到丢弃:
- ctd_dns_reply_wait
- ctd_dns_wait_pkt_drop
Environment
- Palo Alto防火墙
- PAN-OS 9.1 及以上版本
- 防间谍软件配置文件中启用了DNS安全
Cause
- 如果在云 DNS超时时仍未收到云响应/判决,防火墙将丢弃DNS响应。
- 但是,初始DNS查询(被丢弃的DNS响应的一部分)将被重新传输到DNS服务器以进行另一次DNS解析尝试。
Resolution
- 根据用例和要求,可以通过导航至设备 > 设置 > 内容 ID > 实时签名查找来修改DNS签名查找超时(毫秒),如下所示:
- 该值将指定防火墙查询DNS安全服务的时间长度(以毫秒为单位)。
- 如果云端在指定时间段结束之前没有响应,防火墙将向请求的客户端发布相关的DNS响应。
- 该值可设置在 0 至 60,000 之间,默认值为 100。
- 正如本文所提到的,较高的值会增加延迟的可能性。
- 降低此值将减少延迟。但这需要成本安全代价:
- 如果在收到判决答复之前发布恶意请求,防间谍软件配置文件可能最初会允许其通过。
- 防间谍软件只有在收到判决并缓存FQDN后才能对后续恶意请求采取行动。
- 该值必须根据组织要求进行调整。