本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
DNS 防火墙高级保护
DNS Firewall Advanced 根据 DNS 查询中的已知威胁签名检测可疑 DNS 查询。您可以在与 DNS 视图关联的 DNS 防火墙规则中使用的规则中指定威胁类型。
DNS Firewall Advanced 的工作原理是通过检查 DNS 有效载荷中的一系列关键标识符来识别可疑的 DNS 威胁特征,包括请求的时间戳、请求和响应的频率、DNS 查询字符串以及出站和入站 DNS 查询的长度、类型或大小。根据威胁签名的类型,您可以配置要阻止的策略,或者直接对查询进行记录和提醒。通过使用一组扩展的威胁标识符,您可以防范来自域来源的 DNS 威胁,这些域来源可能尚未被更广泛的安全社区维护的威胁情报源分类。
目前,DNS Firewall Advanced 提供以下保护:
-
域生成算法 (DGAs)
DGAs 被攻击者用来生成大量域来发起恶意软件攻击。
-
DNS 隧道
DNS 隧道技术是指攻击者利用 DNS 隧道从客户端窃取数据,而无需与客户端建立网络连接。
要了解如何创建规则,请参阅配置和管理 DNS 防火墙规则。
减少误报情况
如果您在使用 DNS Firewall Advanced 保护阻止查询的规则中遇到误报情况,请执行以下步骤:
-
在全局解析器日志中,确定导致误报的规则和 DNS 防火墙高级保护。您可以通过查找 DNS Firewall 阻止但您希望允许通过的查询日志来执行此操作。日志记录列出了 DNS 视图、规则、规则操作和 DNS 防火墙高级保护。
-
在 DNS 视图中创建一条新规则,明确允许被屏蔽的查询通过。创建规则时,您可以使用您希望允许的域规范定义自己的域列表。请遵循规则管理指南,网址为配置和管理 DNS 防火墙规则。
-
在规则中优先考虑新规则,使其在使用托管列表的规则之前运行。若要执行此操作,请为新规则提供较低的数字优先级设置。
更新规则后,新规则将在屏蔽规则运行之前明确允许您想要允许的域名。
