Iシンクホールの応答ページを取得するにはどうすればよい DNS ですか?
14727
Created On 06/17/21 19:09 PM - Last Modified 09/16/24 21:18 PM
Question
Iシンクホールされているドメインを参照している場合、快適な応答ページを取得するにはどうすればよいです DNS か?
Environment
- パロ ・ アルトのネットワーク firewall
- PAN-OS >= 7.1
Answer
DNSシンクホールアクションは、接続を開始する前に、悪意のあるWebサイトへのWebブラウジングがブロックされる可能性 TCP があります。 接続が進行することを許可された場合は、 URL フィルタリング(快適なブロックページ(応答ページ)を提示することができる)によってブロックされる可能性があります。 HTTPシンクホールの実行時にセッションを開始できない場合 DNS 、フィルタリングで応答ページを挿入するために使用される現在のソリューション URL は DNS 、シンクホールケースには使用できません。
- これはサポートされていない機能です。 にこの機能を追加することを要求するには PAN-OS 、パロアルトネットワークス SE に連絡し、機能要求 FR ID に投票: 6752
- ネットワーク内の Web サーバーでホストされているカスタム応答ページをホストし、その Web IP サーバーを指すシンクホールを設定します。
- シンクホールページが任意の'sに応答することを確認するには URI 、ソフト404応答を提供するディレクティブを追加します。
エラードキュメント 404 "/インデックス.html"
- 許可するように - App ID ポート tcp/80 に 'web-ブラウジング' と 'ssl' をポート tcp/443 を Web サーバーにポートに許可して、マルウェアが Web サーバーに対して悪用を実行するのを防ぎます。
- 「シンクホールゾーン」を作成し、セキュリティが Policy 信頼からシンクホールゾーンへの接続のみを許可していることを確認します。
- Web サーバー専用を定義して、レイヤ 2 で分離 VLAN を作成します。 これにより、マルウェアが Web サーバーの脆弱性を悪用する可能性がある場合の横移動の可能性が軽減されます。
- PKI信頼されたルート署名証明書または信頼されたルート CA 署名証明書を使用して HTTP 、 S ユーザーに対して不明な発行者の警告を表示せずに応答ページをユーザーに提供できるようにします。