DNS ポリシー

次のトピックでは、DNS ポリシーと DNS ルールについて、および管理対象デバイスに DNS ポリシーを導入する方法について説明します。

DNS ポリシーの概要

DNS ベースのセキュリティ インテリジェンスにより、セキュリティ インテリジェンス ブロックリストを使用して、クライアントが要求したドメイン名に基づいてトラフィックをブロックできるようになります。シスコが提供するドメイン名のインテリジェンスを使用して、トラフィックをフィルタリングできます。また、環境に合わせて、ドメイン名のカスタム リストやフィードを設定することも可能です。

DNS ポリシーのブロックリストに登録されたトラフィックは即座にブロックされるため、他のさらなるインスペクションの対象にはなりません(侵入、エクスプロイト、マルウェアなどについてだけでなくネットワーク検出についても)。セキュリティ インテリジェンス ブロックしないリストを使用してブロックリストより優先させて、アクセスコントロールルールによる評価を強制することができます。また、セキュリティ インテリジェンス フィルタリングに「モニター専用」設定を使用でき、パッシブ展開環境ではこの設定が推奨されます。この設定では、ブロックリストによってブロックされたであろう接続をシステムが分析できるだけでなく、ブロックリストに一致する接続がログに記録され、接続終了セキュリティ インテリジェンス イベントが生成されます。


(注)  

期限切れのため、またはクライアントの DNS キャッシュやローカル DNS サーバーのキャッシュがクリアされているか、期限切れであるために、DNS サーバーでドメイン キャッシュが削除されない場合に、DNS ベースのセキュリティ インテリジェンスが意図したとおりに機能しないことがあります。

DNS ポリシーおよび関連付けられた DNS ルールを使用して DNS ベースのセキュリティ インテリジェンスを設定します。デバイスにこれを展開するには、アクセス コントロール ポリシーに DNS ポリシーを関連付けてから管理対象デバイスに設定を展開する必要があります。

DNS ポリシーの構成要素

DNS ポリシーにより、ブロックリストを使用してドメイン名に基づいて接続をブロックしたり、ブロックしないリストを使用してそのような接続をこのタイプのブロックから除外したりできます。次のリストに、DNS ポリシーの作成後に変更可能な設定を示します。

名前(Name)と説明(Description)

各 DNS ポリシーには固有の名前が必要です。説明は任意です。

マルチドメイン展開では、ポリシー名をドメイン階層内で一意にする必要があります。システムは、現在のドメインでは表示できないポリシーの名前との競合を特定することができます。

ルール(Rule)

ルールは、ドメイン名に基づいてネットワーク トラフィックを処理する詳細な方法を提供します。DNS ポリシーのルールには 1 から始まる番号が付いています。システムは、ルール番号の昇順で、トラフィックを DNS ルールと上から順に照合します。

DNS ポリシーを作成すると、システムはこれを DNS ルールのデフォルトのグローバルホワイトリストおよび DNS ルールのデフォルトのグローバルブロックリストに入力します。両方のルールは、それぞれのカテゴリで先頭の位置に固定されます。これらのルールは変更できませんが無効にすることはできます。

マルチドメイン展開では、子孫 DNS ホワイトリストルールおよび子孫 DNS ブロックリストルールも先祖ドメインの DNS ポリシーに追加されます。これらのルールは、それぞれのカテゴリの 2 番目の位置に固定されます。


(注)  

Firepower Management Center でマルチテナンシーが有効になっている場合、システムは先祖ドメインと子孫ドメインを含むドメインの階層に編成されます。これらのドメインは、DNS 管理で使用されるドメイン名とは別になります。

子孫のリストには、Firepower システムのサブドメインユーザーのブロックリストまたはブロックしないリストに載っているドメインが含まれます。先祖ドメインから、子孫のリストの内容を表示することはできません。サブドメインユーザーがドメインをブロックリストまたはブロックしないリストに追加しないようにするには、次の手順を実行します。

  • 子孫のリストのルールを無効にします。

  • アクセス コントロール ポリシーの継承設定を使用してセキュリティ インテリジェンスを適用します。

ルールはシステムにより次の順序で評価されます。

  • DNS ルールのグローバル ホワイトリスト(有効になっている場合)

  • 子孫 DNS ホワイトリストルール(有効な場合)

  • [ホワイトリスト(Whitelist)] アクションを使用したルール

  • DNS ルールのグローバルブロックリスト(有効になっている場合)

  • 子孫 DNS ブロックリストルール(有効な場合)

  • [ホワイトリスト(Whitelist)] 以外のアクションを使用したルール

通常、システムによる DN ベースのネットワーク トラフィックの処理は、すべてのルールの条件がトラフィックに一致する最初の DNS ルールに従って行われます。トラフィックに一致する DNS ルールがない場合、システムは、関連付けられたアクセス コントロール ポリシー ルールに基づいてトラフィックの評価を続行します。DNS ルール条件は単純または複雑のどちらでも構いません。

DNS ポリシーのライセンス要件

FTD ライセンス

脅威

従来のライセンス

保護

DNS ポリシーの要件と前提条件

モデルのサポート

任意

サポートされるドメイン

任意

ユーザの役割

  • 管理者

  • アクセス管理者

  • ネットワーク管理者

DNS ポリシーの管理

[DNS ポリシー(DNS Policy)] ページ([ポリシー(Policies)] > [アクセス制御(Access Control)] > [DNS])を使用して、DNS のカスタム ポリシーを管理します。自分で作成したカスタムポリシーに加えて、システムにはデフォルトの DNS ポリシーが用意されています。このポリシーは、デフォルトのブロックリストとブロックしないリストを使用します。このシステム付属のカスタム ポリシーは編集して使用できます。マルチドメイン展開では、このデフォルトポリシーはデフォルトのグローバル DNS ブロックリスト、グローバル DNS ブロックしないリスト、子孫 DNS ブロックリスト、および子孫 DNS ブロックしないリストを使用します。また、このポリシーはグローバルドメインでのみ編集できます。

マルチドメイン展開では、編集できる現在のドメインで作成されたポリシーが表示されます。また、編集できない先祖ドメインで作成されたポリシーも表示されます。下位のドメインで作成されたポリシーを表示および編集するには、そのドメインに切り替えます。

手順

ステップ 1

[ポリシー(Policies)] > [アクセス制御(Access Control)] > [DNS]を選択します。

ステップ 2

DNS ポリシーを以下のように管理します。

  • 比較:DNS ポリシーを比較するには、[ポリシーの比較(Compare Policies)] をクリックして、ポリシーの比較で説明する手順を実行します。
  • コピー:DNS ポリシーをコピーするには、をクリックして、DNS ポリシーの編集で説明する手順を実行します。
  • 作成:新しい DNS ポリシーを作成するには、[DNS ポリシーの追加(Add DNS Policy)] をクリックし、基本的な DNS ポリシーの作成で説明する手順を実行します。
  • 削除:DNS ポリシーを削除するには、をクリックし、ポリシーの削除を確認します。
  • 編集:既存の DNS ポリシーを変更するには、をクリックし、DNS ポリシーの編集で説明する手順を実行します。

基本的な DNS ポリシーの作成

手順

ステップ 1

[ポリシー(Policies)] > [アクセス制御(Access Control)] > [DNS]を選択します。

ステップ 2

[DNS ポリシーの追加(Add DNS Policy)] をクリックします。

ステップ 3

[名前(Name)] に一意のポリシー名を入力し、オプションで [説明(Description)] にポリシーの説明を入力します。

ステップ 4

[保存(Save)] をクリックします。

次のタスク

ポリシーを設定します。DNS ポリシーの編集 を参照してください。

DNS ポリシーの編集

DNS ポリシーの編集は、1 つのブラウザ ウィンドウを使用して、一度に 1 人のみで行う必要があります。複数のユーザーが同じポリシーを保存を試みた場合、最初に保存された一連の変更だけが保持されます。

セッションのプライバシーを保護するために、ポリシー エディタで 30 分間操作が行われないと警告が表示されます。60 分後には、システムにより変更が破棄されます。

手順

ステップ 1

[ポリシー(Policies)] > [アクセス制御(Access Control)] > [DNS]を選択します。

ステップ 2

編集する DNS ポリシーの横にあるをクリックします。

代わりに 表示[表示(view)] ボタン が表示される場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。

ステップ 3

DNS ポリシーを編集します。

  • 名前と説明:名前または説明を変更するには、フィールドをクリックして新しい情報を入力します。

  • ルール:DNS ルールを追加、分類、有効化、無効化、または管理する場合は、[ルール(Rules)] をクリックして、DNS ルールの作成と編集の説明に従って続行します。

ステップ 4

[保存(Save)] をクリックします。

次のタスク

DNS ルール

DNS ルールは、ホストが要求するドメイン名に基づいてトラフィックを処理します。セキュリティ インテリジェンスの一部として、この評価は、トラフィックの復号の後、アクセス コントロール評価の前に適用されます。

システムは指定した順序でトラフィックを DNS ルールと照合します。ほとんどの場合、システムによるネットワーク トラフィックの処理は、すべてのルールの条件がトラフィックに一致する最初の DNS ルールに従って行われます。

各 DNS ルールには、一意の名前以外にも、次の基本コンポーネントがあります。

状態(State)

デフォルトでは、ルールは有効になっています。ルールを無効にすると、システムはネットワーク トラフィックの評価にそのルールを使用せず、そのルールに対する警告とエラーの生成を停止します。

位置(Position)

DNS ポリシーのルールには 1 から始まる番号が付いています。システムは、ルール番号の昇順で上から順に、ルールをトラフィックと照合します。Monitor ルールを除き、トラフィックが最初に一致するルールが、当該トラフィックを処理するためのルールになります。

条件

条件は、ルールが処理する特定のトラフィックを指定します。DNS ルールには、DNS フィードまたはリスト条件が含まれている必要があり、セキュリティ ゾーン、ネットワーク、または VLAN によってトラフィックと照合することができます。

操作(Action)

ルールのアクションによって、一致したトラフィックの処理方法が決まります。

  • [ホワイトリスト(Whitelist)] アクションのトラフィックが許可され、さらにアクセス制御インスペクションを受けます。

  • モニターされるトラフィックは、残りの DNS ブロックリストのルールによりさらに評価されます。トラフィックが DNS ブロックリストルールに一致しない場合、アクセスコントロールルールによりインスペクションを受けます。そのトラフィックのセキュリティ インテリジェンス イベントは、システムにより記録されます。

  • ブロックリストのトラフィックは、それ以上のインスペクションは行われずにドロップされます。[Domain Not Found] 応答を返したり、DNS クエリをシンクホール サーバにリダイレクトしたりすることもできます。

DNS ルールの作成と編集

DNS ポリシーでは、ブロックリストルールおよびブロックしないリストルールに合計 32767 個まで DNS リストを追加できます。つまり、DNS ポリシーのリストの数が 32767 を超えることはできません。

手順

ステップ 1

DNS ポリシー エディタには、以下のオプションがあります。

  • 新しいルールを追加するには、[DNS ルールの追加(Add DNS Rule)] をクリックします。
  • 既存のルールを編集するには、 をクリックします。
ステップ 2

名前を入力します。

ステップ 3

以下のルール コンポーネントを設定するか、デフォルトを受け入れます。

  • [アクション(Action)]:ルールの [アクション(Action)] を選択します。DNS ルールのアクションを参照してください。
  • [条件(Conditions)]:ルールの条件を設定します。DNS ルールの条件を参照してください。
  • [有効(Enabled)]:ルールを有効にするかどうかを指定します。
ステップ 4

[保存(Save)] をクリックします。

次のタスク

DNS ルールの管理

DNS ポリシー エディタの [ルール(Rules)] タブでは、ポリシー内の DNS ルールの追加、編集、移動、有効化、無効化、削除、その他の管理が行えます。

各ルールについて、ポリシー エディタでは、その名前、条件のサマリー、およびルール アクションが表示されます。その他のアイコンは、、およびその他の重要[情報(Information)](情報アイコンを表します。無効なルールはグレー表示され、ルール名の下に [無効(disabled)] というマークが付きます。

DNS ルールの有効化と無効化

作成した DNS ルールは、デフォルトで有効になっています。ルールを無効にすると、システムはネットワーク トラフィックの評価にそのルールを使用せず、そのルールに対する警告とエラーの生成を停止します。DNS ポリシーのルール リストを表示すると、無効なルールはグレー表示されますが、変更は可能です。また、DNS ルール エディタを使用して DNS ルールを有効または無効にできることに注意してください。

手順
ステップ 1

DNS ポリシー エディタで、ルールを右クリックしてルール状態を選択します。

ステップ 2

[保存(Save)] をクリックします。

次のタスク

DNS ルールの評価順序

DNS ポリシーのルールには 1 から始まる番号が付いています。システムは、ルール番号の昇順で、トラフィックを DNS ルールと上から順に照合します。ほとんどの場合、システムによるネットワーク トラフィックの処理は、すべてのルールの条件がトラフィックに一致する最初の DNS ルールに従って行われます。

  • モニタールールでは、システムはまずトラフィックを記録し、その後、優先順位の低い DNS ブロックリストルールに対してトラフィックの評価を続行します。

  • モニター ルール以外では、トラフィックがルールに一致した後、システムは優先順位の低い追加の DNS ルールに対してトラフィックの評価は続行しません

ルールの順序については、以下の点い注意してください。

  • DNS のグローバルホワイトリストは常に最初に使用され、他のすべてのルールに優先します。

  • 子孫 DNS ホワイトリストルールは、マルチドメイン展開の非リーフドメインでのみ表示されます。これは常に 2 番目であり、DNS のグローバルホワイトリストを除き、他のすべてのルールよりも優先されます。

  • [ブロックしないリスト(Do-Not-Block List)] セクションは [ブロックリスト(Block List)] セクションに優先します。ブロックしないリストのルールは常に他のルールに優先します。

  • DNS のグローバルブロックリストは [ブロックリスト(Block List)] セクション内で常に最初に使用され、他のすべてのモニターのルールやブロックリストのルールに優先します。

  • 子孫 DNS ブロックリストルールは、マルチドメイン展開の非リーフドメインでのみ表示されます。これは [ブロックリスト(Block List)] セクション内で常に 2 番目であり、グローバルブロックリストを除き、他のすべてのモニターのルールやブロックリストのルールに優先します。

  • [ブロックリスト(Block List)] セクションには、モニターのルールとブロックリストのルールが含まれます。

  • 初めて DNS ルールを作成したときは、[ブロックしない(Do Not Block)] アクションを割り当てるとそれはシステムにより [ブロックしないリスト(Do-Not-Block List)] セクションの最後に配置され、他のアクションを割り当てると [ブロックリスト(Block List)] セクションの最後に配置されます。

ルールをドラッグ アンド ドロップして、これらの順序を変更できます。

DNS ルールのアクション

すべての DNS ルールには、一致するトラフィックについて次のことを決定するアクションがあります。

  • 処理:第一に、ルールアクションは、ブロックリストまたはブロックしないリストに基づいて、システムがルールの条件に一致するトラフィックをブロックするか、ブロックしないか、またはモニターするかを制御します

  • ロギング:ルール アクションによって、一致するトラフィックの詳細をいつ、どのようにログに記録できるかが決まります。

設定されている場合、TID は、アクションの優先順位付けに影響を与えます。詳細については、TID-Firepower Management Center のアクションの優先順位付けを参照してください。

[ホワイトリスト(Whitelist)] アクション

[ホワイトリスト(Whitelist)] アクションでは、トラフィックは検査の次のフェーズであるアクセス制御ルールに渡されます。

システムはホワイトリストの一致をログに記録しません。これらの接続のロギングは、その接続の最終的な傾向によって異なります。

モニタ アクション

[モニター(Monitor)] アクションは接続ロギングを強制するように設計されています。つまり、一致するトラフィックが即時に許可またはブロックされることはありません。その代わり、追加のルールに照らしてトラフィックが照合され、許可/拒否が決定されます。モニタールール以外の一致する最初の DNS ルールが、システムがトラフィックをブロックするかどうかを決定します。一致する追加のルールがなければ、トラフィックはアクセス コントロール評価の対象となります。

DNS ポリシーによってモニターされる接続については、システムは、接続終了セキュリティ インテリジェンスと接続イベントを Firepower Management Center データベースにロギングします。

ブロックアクション

これらのアクションは、どんな種類のインスペクションもなく、トラフィックをブロックします。

  • [ドロップ(Drop)] アクションはトラフィックをドロップします。

  • [検出されないドメイン(Domain Not Found)] アクションは、存在しないインターネット ドメインの応答を DNS クエリに返し、これによりクライアントが DNS 要求を解決することを防ぎます。

  • [シンクホール(Sinkhole)] アクションは、応答内のシンクホールオブジェクトの IPv4 または IPv6 アドレスを DNS クエリに返します(A および AAAA レコードのみ)。シンクホール サーバーは、IP アドレスへの後続の接続をロギングするか、またはロギングしてブロックすることができます。[シンクホール(Sinkhole)] アクションを設定する場合、シンクホール オブジェクトも設定する必要があります。

[ドロップ(Drop)] または [検出されないドメイン(Domain Not Found)] のアクションに基づいてブロックされた接続の場合は、システムが接続開始のセキュリティ インテリジェンス イベントと接続イベントをログに記録します。ブロックされたトラフィックは追加のインスペクションなしですぐに拒否されるため、ログに記録できる固有の接続終了イベントはありません。

[Sinkhole] のアクションに基づいてブロックされる接続の場合、ロギングはシンクホールオブジェクトの設定に応じて決まります。シンクホール オブジェクトを、シンクホール接続をロギングのみするよう設定している場合、システムは、後続の接続の接続終了イベントをロギングします。シンクホール オブジェクトを、シンクホール接続をロギングしてブロックするよう設定している場合、システムは、後続の接続の接続開始イベントをロギングし、その後、その接続をブロックします。


(注)  

ASA FirePOWER デバイスでシンクホール アクションを使用して DNS ルールを設定し、トラフィックがルールに一致する場合、デフォルトでは ASA によって、後続のシンクホール接続がブロックされます。回避策として、ASA コマンド ラインから次のコマンドを実行します。 

asa(config)# policy-map global_policy
asa(config-pmap)# class inspection_default
asa(config-pmap-c)# no inspect dns preset_dns_map

ASA が引き続き接続をブロックする場合は、サポートにお問い合わせください。

DNS ルールの条件

DNS ルールの条件によって、ルールが処理するトラフィックのタイプが識別されます。条件は単純または複雑のどちらでも構いません。DNS ルール内の DNS フィードまたはリスト条件を定義する必要があります。また、必要に応じてセキュリティ ゾーン、ネットワーク、または VLAN によってトラフィックを制御できます。

DNS ルールに条件を追加するときは、以下に留意してください。

  • ルールに対し特定の条件を設定しない場合、システムはその基準に基づいてトラフィックを照合しません。

  • 1 つのルールにつき複数の条件を設定できます。ルールがトラフィックに適用されるには、トラフィックがそのルールのすべての条件に一致する必要があります。たとえば、DNS フィードまたはリスト条件およびネットワーク条件を含み、VLAN タグ条件を含まないルールは、セッション中の VLAN タグに関係なく、ドメイン名と送信元または宛先に基づいてトラフィックを評価します。

  • ルールの条件ごとに、最大 50 の条件を追加できます。条件の基準のいずれかに一致するトラフィックはその条件を満たします。たとえば、最大で 50 DNS のリストとフィードに基づいてトラフィックをブロックする単一のルールを使用できます。

DNS およびセキュリティ ゾーンに基づくトラフィックの制御

DNS ルール内のゾーン条件によって、その送信元セキュリティゾーン別にトラフィックを制御することができます。セキュリティ ゾーンは、複数のデバイス間に配置されている場合がある 1 つ以上のインターフェイスのグループです。

手順
ステップ 1

DNS ルールエディタで、[ゾーン(Zones)] をクリックします。

ステップ 2

[利用可能なゾーン(Available Zones)] から追加するゾーンを見つけて選択します。追加するゾーンを検索するには、[利用可能なゾーン(Available Zones)] リストの上にある [名前で検索(Search by name)] プロンプトをクリックし、ゾーン名を入力します。入力すると、リストが更新されて一致するゾーンが表示されます。

ステップ 3

クリックして 1 つのゾーンを選択するか、右クリックして [すべて選択(Select All)] を選択します。

ステップ 4

[送信元に追加(Add to Source)] をクリックするか、ドラッグ アンド ドロップします。

ステップ 5

ルールを保存するか、編集を続けます。

次のタスク

DNS およびネットワークに基づくトラフィックの制御

DNS ルール内のネットワーク条件によって、その送信元 IP アドレス別にトラフィックを制御することができます。制御するトラフィックに対し、明示的に送信元 IP アドレスを指定できます。

手順
ステップ 1

DNS ルールエディタで、[ネットワーク(Networks)] をクリックします。

ステップ 2

[利用可能なネットワーク(Available Networks)] から、次のように追加するネットワークを見つけて選択します。

  • ネットワークオブジェクト(後で条件に追加可能)をその場で追加するには、[利用可能なネットワーク(Available Networks)] リストの上にあるをクリックし、ネットワーク オブジェクトの作成の説明に従って続行します。

  • 追加するネットワーク オブジェクトを検索するには、[利用可能なネットワーク(Available Networks)] リストの上にある [名前または値で検索(Search by name or value)] プロンプトをクリックし、オブジェクトのいずれかのコンポーネントのオブジェクト名または値を入力します。入力すると、リストが更新されて一致するオブジェクトが表示されます。

ステップ 3

[送信元に追加(Add to Source)] をクリックするか、ドラッグ アンド ドロップします。

ステップ 4

手動で指定する送信元 IP アドレスまたはアドレス ブロックを追加します。[送信元ネットワーク(Source Networks)] リストの下にある [IP アドレスの入力(Enter an IP address)] プロンプトをクリックし、1 つの IP アドレスまたはアドレス ブロックを入力して [追加(Add)] をクリックします。

システムは、各リーフドメインに個別のネットワークマップを作成します。マルチドメイン展開では、実際の IP アドレスを使用してこの設定を抑制すると、予期しない結果になる可能性があります。 上書き対応オブジェクトを使用すると、子孫ドメインの管理者は、グローバル コンフィギュレーションを自分のローカル環境に調整できます。

ステップ 5

ルールを保存するか、編集を続けます。

次のタスク

DNS および VLAN に基づくトラフィックの制御

DNS ルールで VLAN 条件を設定すると、トラフィックの VLAN タグに応じてそのトラフィックを制御できます。システムは、最も内側の VLAN タグを使用して VLAN を基準にパケットを識別します。

VLAN ベースの DNS ルール条件を作成するときは、VLAN タグを手動で指定できます。または、VLAN タグ オブジェクトを使用して VLAN 条件を設定することもできます。VLAN タグ オブジェクトとは、いくつかの VLAN タグに名前を付けて再利用可能にしたものを指します。

手順
ステップ 1

DNS ルールエディタで、[VLANタグ(VLAN Tags)] を選択します。

ステップ 2

[利用可能な VLAN タグ(Available VLAN Tags)] で、追加する VLAN を選択します。

  • VLAN タグオブジェクトをここで追加するには(後で条件に追加できます)、[利用可能なVLANタグ(Available VLAN Tags)] リストの上にあるをクリックし、VLAN タグ オブジェクトの作成の説明に従って進みます。

  • 追加する VLAN タグ オブジェクトおよびグループを検索するには、[利用可能な VLAN タグ(Available VLAN Tags)] リストの上にある [名前または値で検索(Search by name or value)] プロンプトをクリックし、オブジェクト名またはオブジェクトの VLAN タグの値を入力します。入力すると、リストが更新されて一致するオブジェクトが表示されます。

ステップ 3

[ルールに追加(Add to Rule)] をクリックするか、ドラッグ アンド ドロップします。

ステップ 4

手動で指定する VLAN タグを追加します。[選択した VLAN タグ(Selected VLAN Tags)] リストの下にある [VLAN タグの入力(Enter a VLAN Tag)] プロンプトをクリックし、VLAN タグまたはその範囲を入力して、[追加(Add)] をクリックします。1 から 4094 までの任意の VLAN タグを指定できます。VLAN タグの範囲を指定するにはハイフンを使用します。

システムは、各リーフドメインに個別のネットワークマップを作成します。マルチドメイン展開では、実際の VLAN タグを使用してこの設定を抑制すると、予期しない結果になる可能性があります。 上書き対応オブジェクトを使用すると、子孫ドメインの管理者は、グローバル コンフィギュレーションを自分のローカル環境に調整できます。

ステップ 5

ルールを保存するか、編集を続けます。

次のタスク

DNS リスト、フィード、またはカテゴリに基づくトラフィックの制御

DNS リスト、フィード、またはカテゴリがクライアントから要求されたドメイン名を含む場合、DNS ルール内の DNS 条件によりトラフィックを制御することができます。DNS ルール内の DNS 条件を定義する必要があります。

グローバルまたはカスタムのブロックリストまたはブロックしないリストを DNS 条件に追加するかどうかにかかわらず、システムは設定されたルールアクションをトラフィックに適用します。たとえばルールにグローバルブロックしないリストを追加し、[ドロップ(Drop)] アクションを設定すると、システムは検査の次のフェーズに渡すことが許可されている必要があるすべてのトラフィックをブロックします。

手順
ステップ 1

DNS ルールエディタで、[DNS] をクリックします。

ステップ 2

次のように、[DNS リストおよびフィード(DNS Lists and Feeds)] から追加する DNS リストおよびフィードを検索して選択します。

  • DNS リストまたはフィード(後で条件に追加可能)をその場で追加するには、[DNSリストおよびフィード(DNS Lists and Feeds)] リストの上にある をクリックし、セキュリティ インテリジェンス フィードの作成の説明に従って続行します。

  • 追加する DNS リスト、フィード、またはカテゴリを検索するには、[DNS リストおよびフィード(DNS Lists and Feeds)] リストの上にある [名前または値で検索(Search by name or value)] プロンプトをクリックし、オブジェクトのコンポーネントの 1 つのオブジェクト名または値を入力します。入力すると、リストが更新されて一致するオブジェクトが表示されます。

  • システム提供の脅威カテゴリの説明については、セキュリティ インテリジェンス カテゴリを参照してください。

ステップ 3

[ルールに追加(Add to Rule)] をクリックするか、ドラッグ アンド ドロップします。

ステップ 4

ルールを保存するか、編集を続けます。

次のタスク

DNS ポリシーの導入

DNS のポリシー設定の更新を終了した後に、アクセス コントロール設定の一部としてこれを展開する必要があります。