如何 I 获得 DNS "沉井"的响应页面?
13379
Created On 06/17/21 19:09 PM - Last Modified 05/03/22 01:11 AM
Question
I如果我们正在浏览正在下沉的域,如何获得一个舒适响应页面 DNS ?
Environment
- 帕洛阿尔托网络 firewall
- PAN-OS >= 7.1
Answer
DNS沉井操作可能导致在连接开始之前阻止对恶意网站的 Web 浏览 TCP 。 如果允许连接进行,则可能会通过 URL 筛选(该连接将能够显示一个舒适块页(响应页面)来阻止它。 鉴于执行 HTTP 沉孔时不允许开始会话 DNS ,用于在筛选中注入响应页面的当前解决方案 URL 不能用于 DNS 沉孔案例
- 这是一个不受支持的功能。 要请求添加此功能 PAN-OS ,请联系您的 Palo Alto 网络 SE ,并在功能请求上投票 FR ID : 6752
- 主机在网络中的 Web 服务器中托管自定义响应页面,并将"沉井"设置 IP 为指向该 Web 服务器。
- 为了确保沉井页面响应任何 URI ",添加一个指令来提供软-404响应。
错误文档 404 "/索引.html"
- 请确保仅允许 App - ID "Web 浏览"到端口 tcp/80 和"ssl"移植 tcp/443 到 Web 服务器,以防止任何恶意软件可能对 Web 服务器执行任何漏洞。
- 创建"沉井区",并确保您的安全 Policy 仅允许从信任连接到沉孔区域。
- 通过定义专用于 Web 服务器的"第 2 层 VLAN "创建隔离。 这将减少任何潜在的横向移动,以防恶意软件能够利用 Web 服务器中的漏洞。
- 使用 PKI 或受信任的根 CA 签名证书,允许 HTTP 向 S 用户提供 () 响应页面,而无需向用户提供未知的发卡器警告。