DNS SecIntel検出を有効にする
DNSsecintel検出を有効にするには:
-
DNSプロファイルを設定します。この例では、プロファイル名は
dns-profileです。許可リストに載っているフィードdns-feed-1の場合、DNSリクエストが記録され、アクセスが許可されます。カスタムDNSフィードcustom-dns-feed-1の場合、DNSリクエストはシンクホールに設定されます。set security-intelligence profile dns-profile category DNS set security-intelligence profile dns-profile rule dns-rule-1 match feed-name dns-feed-1 set security-intelligence profile dns-profile rule dns-rule-1 match threat-level 1 set security-intelligence profile dns-profile rule dns-rule-1 match threat-level 2 set security-intelligence profile dns-profile rule dns-rule-1 match threat-level 3 set security-intelligence profile dns-profile rule dns-rule-1 match threat-level 4 set security-intelligence profile dns-profile rule dns-rule-1 match threat-level 5 set security-intelligence profile dns-profile rule dns-rule-1 match threat-level 6 set security-intelligence profile dns-profile rule dns-rule-1 match threat-level 7 set security-intelligence profile dns-profile rule dns-rule-1 then action permit set security-intelligence profile dns-profile rule dns-rule-1 then log set security-intelligence profile dns-profile rule dns-rule-2 match feed-name custom-dns-feed-1 set security-intelligence profile dns-profile rule dns-rule-2 match threat-level 8 set security-intelligence profile dns-profile rule dns-rule-2 match threat-level 9 set security-intelligence profile dns-profile rule dns-rule-2 match threat-level 10 set security-intelligence profile dns-profile rule dns-rule-2 then action sinkhole set security-intelligence profile dns-profile rule dns-rule-2 then log
アクションがシンクホールに設定されている場合は、DNSシンクホールを設定します。 DNSシンクホールの設定を参照してください。
-
DNSポリシーを設定します。
set security-intelligence policy dns-policy category DNS security-intelligence-profile dns-profile
-
セキュリティポリシーを設定し、DNSポリシーをセキュリティポリシーに割り当てます。
set policies from-zone trust to-zone untrust policy security-policy match source-address any set policies from-zone trust to-zone untrust policy security-policy match destination-address any set policies from-zone trust to-zone untrust policy security-policy> match application any set policies from-zone trust to-zone untrust policy security-policy then permit application-services security-intelligence-policy dns-policy
論理システムとテナントシステムのDNS統計情報を表示するには、以下のコマンドを使用します。
show services security-intelligence dns-statistics logical-system logical-system-name
show services security-intelligence dns-statistics tenant tenant-name
論理システムとテナントシステムのDNSプロファイル統計情報を表示するには、以下のコマンドを使用します。
show services security-intelligence dns-statistics profile p1 logical-system logical-system-name
show services security-intelligence dns-statistics profile p1 tenant tenant-name
論理システムとテナントシステムのすべてのDNS統計情報を表示するには、以下のコマンドを使用します。
show services security-intelligence dns-statistics logical-system all
show services security-intelligence dns-statistics tenant all
show services security-intelligence dns-statistics
DNSフィルタリングの統計情報をクリアするには、以下のコマンドを使用します。
clear services security-intelligence dns-statistics logical-system logical-system-name
clear services security-intelligence dns-statistics logical-system all
clear services security-intelligence dns-statistics
注:
ドメインネームシステムセキュリティ拡張(DNSSEC)およびDNS拡張メカニズム(EDNS)クエリはサポートされていません。デフォルトでは、これらのクエリは破棄されます。