本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
DNS 防火牆進階保護
DNS Firewall Advanced 根據 DNS 查詢中的已知威脅簽章來偵測可疑的 DNS 查詢。您可以在與 DNS 檢視相關聯的 DNS 防火牆規則中使用的規則中指定威脅類型。
DNS Firewall Advanced 透過檢查 DNS 承載中的一系列金鑰識別符來識別可疑 DNS 威脅簽章,包括請求的時間戳記、請求和回應的頻率、DNS 查詢字串,以及傳出和傳入 DNS 查詢的長度、類型或大小。根據威脅簽章的類型,您可以設定要封鎖的政策,或直接在查詢上記錄和提醒。透過使用一組擴充的威脅識別符,您可以防止來自網域來源的 DNS 威脅,這些來源可能尚未由更廣泛的安全社群維護的威脅情報摘要進行分類。
目前,DNS Firewall Advanced 提供以下保護:
-
網域產生演算法 (DGAs)
攻擊者會使用 DGAs 來產生大量網域以啟動惡意軟體攻擊。
-
DNS 通道
攻擊者使用 DNS 通道從用戶端洩漏資料,無需與用戶端建立網路連線。
若要了解如何建立規則,請參閱 設定和管理 DNS 防火牆規則。
減少誤判案例
如果您在使用 DNS Firewall Advanced 保護封鎖查詢的規則中遇到誤判案例,請執行下列步驟:
-
在全域解析程式日誌中,識別導致誤報的規則和 DNS 防火牆進階保護。為此,您可以尋找日下查詢的日誌:其封鎖 DNS 防火牆,但您想要允許通過。日誌記錄會列出 DNS 檢視、規則、規則動作和 DNS Firewall Advanced 保護。
-
在 DNS 檢視中建立新的規則,明確允許封鎖的查詢通過。建立規則時,您可以只使用想要允許的網域規格來定義自己的網域清單。遵循 的規則管理指引設定和管理 DNS 防火牆規則。
-
優先考慮規則內的新規則,使其在使用受管清單的規則之前執行。為此,請將新規則指定為較低的數值優先順序設定。
當您更新規則時,新規則會明確允許您想要在封鎖規則執行之前允許的網域名稱。
