DNS ポリシーの編集は、1 つのブラウザ ウィンドウを使用して、一度に 1 人のみで行う必要があります。複数のユーザが同じポリシーを保存を試みた場合、最初に保存された一連の変更だけが保持されます。

セッションのプライバシーを保護するために、ポリシー エディタで 30 分間操作が行われないと警告が表示されます。60 分後には、システムにより変更が破棄されます。

[DNS ポリシー（DNS Policy）] ページ（[ポリシー（Policies）] > [アクセス コントロール（Access Control）] > [DNS]）を使用して、DNS のカスタム ポリシーを管理します。自分で作成したカスタム ポリシーに加えて、システムにはデフォルトの DNS ポリシーが用意されています。このポリシーは、デフォルトのブラックリストとホワイトリストを使用します。このシステム付属のカスタム ポリシーは編集して使用できます。マルチドメイン展開では、このデフォルト ポリシーはデフォルトのグローバル DNS ブラックリスト、グローバル DNS ホワイトリスト、子孫 DNS ブラックリスト、および子孫 DNS ホワイトリストを使用します。また、このポリシーはグローバル ドメインでのみ編集できます。

マルチドメイン展開では、編集できる現在のドメインで作成されたポリシーが表示されます。また、編集できない先祖ドメインで作成されたポリシーも表示されます。下位のドメインで作成されたポリシーを表示および編集するには、そのドメインに切り替えます。

DNS ポリシーでは、ホワイトリスト ルールおよびブラックリスト ルールに合計 32767 個まで DNS リストを追加できます。つまり、DNS ポリシーのリストの数が 32767 を超えることはできません。

DNS ポリシーのルールには 1 から始まる番号が付いています。システムは、ルール番号の昇順で、DNS ルールを上から順にトラフィックと照合します。ほとんどの場合、システムによるネットワーク トラフィックの処理は、すべてのルールの条件がトラフィックに一致する最初の DNS ルールに従って行われます。

• モニタ ルールでは、システムはまずトラフィックを記録し、その後、優先順位の低い DNS ブラックリスト ルールに対してトラフィックの評価を続行します。

• モニタ ルール以外では、トラフィックがルールに一致した後、システムは優先順位の低い追加の DNS ルールに対してトラフィックの評価は続行しません。

ルールの順序については、以下の点い注意してください。

• グローバル ホワイトリストは常に先頭で、他のすべてのルールよりも優先されます。

• 子孫 DNS ホワイトリスト ルールは、マルチドメイン展開の非リーフ ドメインでのみ表示されます。これは常に 2 番目であり、グローバル ホワイトリストを除き、他のすべてルールよりも優先されます。

• ホワイトリスト セクションはブラックリスト セクションよりも優先され、ホワイトリスト ルールは常に他のルールよりも優先されます。

• グローバル ブラックリストは常にブラックリスト セクションの先頭で、他のモニタ ルールおよびとブラックリスト ルールよりも優先されます。

• 子孫 DNS ブラックリスト ルールは、マルチドメイン展開の非リーフ ドメインでのみ表示されます。これは常にブラックリスト セクションの 2 番目であり、グローバル ブラックリストを除き、他のすべてのモニタ ルールおよびブラックリスト ルールよりも優先されます。

• ブラックリスト セクションには、モニタ ルールおよびブラックリスト ルールが含まれます。

• 初めて DNS ルールを作成したときは、ホワイトリスト アクションを割り当てるとそれはシステムによりホワイトリスト セクションの最後に配置され、他のアクションを割り当てるとブラックリスト セクションの最後に配置されます。

ルールをドラッグ アンド ドロップして、これらの順序を変更できます。

[ホワイトリスト（Whitelist）] アクション

[ホワイトリスト（Whitelist）] アクションにより、一致するトラフィックの通過が許可されます。トラフィックをホワイトリスト登録すると、そのトラフィックは、照合するアクセス コントロール ルール、またはアクセス コントロール ポリシーのデフォルト アクションによるさらなるインスペクションの対象になります。

システムは、ホワイトリストの一致はロギングしません。ただし、ホワイトリストに登録された接続のロギングは、接続の最終的な傾向によって異なります。

[モニタ（Monitor）] アクション

[モニタ（Monitor）] アクションはトラフィック フローに影響を与えません。つまり、一致するトラフィックがただちにホワイトリスト登録されたりブラックリスト登録されることはありません。その代わり、追加のルールに照らしてトラフィックが照合され、許可/拒否が決定されます。モニタ ルール以外の一致する最初の DNS ルールが、システムがトラフィックをブラックリスト登録するかどうかを決定します。一致する追加のルールがなければ、トラフィックはアクセス コントロール評価の対象となります。

DNS ポリシーによってモニタされる接続については、システムは、接続終了セキュリティ インテリジェンスと接続イベントを Firepower Management Center データベースにロギングします。

[ブラックリスト（Blacklist）] アクション

[ブラックリスト（Blacklist）] アクションは、いかなる種類のインスペクションなしで、トラフィックをブラックリスト登録します。

• [ドロップ（Drop）] アクションはトラフィックをドロップします。

• [検出されないドメイン（Domain Not Found）] アクションは、存在しないインターネット ドメインの応答を DNS クエリに返し、これによりクライアントが DNS 要求を解決することを防ぎます。

• [シンクホール（Sinkhole）] アクションは、応答内のシンクホール オブジェクトの IPv4 または IPv6 アドレスを DNS クエリに返します。シンクホール サーバは、IP アドレスへの後続の接続をロギングするか、またはロギングしてブロックすることができます。[シンクホール（Sinkhole）] アクションを設定する場合、シンクホール オブジェクトも設定する必要があります。

[ドロップ（Drop）] または [検出されないドメイン（Domain Not Found）] アクションに基づいてブラックリスト登録された接続については、システムは接続開始セキュリティ インテリジェンス イベントと接続イベントをロギングします。ブラックリスト登録されたトラフィックは追加のインスペクションなしですぐに拒否されるため、ログに記録できる固有の接続の終了イベントはありません。

[シンクホール（Sinkhole）] アクションに基づいてブラックリスト登録された接続については、ロギングはシンクホール オブジェクト設定によって異なります。シンクホール オブジェクトを、シンクホール接続をロギングのみするよう設定している場合、システムは、後続の接続の接続終了イベントをロギングします。シンクホール オブジェクトを、シンクホール接続をロギングしてブロックするよう設定している場合、システムは、後続の接続の接続開始イベントをロギングし、その後、その接続をブロックします。

（注）

ASA FirePOWER デバイスでシンクホール アクションを使用して DNS ルールを設定し、トラフィックがルールに一致する場合、デフォルトでは ASA によって、後続のシンクホール接続がブロックされます。回避策として、ASA コマンド ラインから次のコマンドを実行します。 asa(config)# policy-map global_policy asa(config-pmap)# class inspection_default asa(config-pmap-c)# no inspect dns preset_dns_map ASA が引き続き接続をブロックする場合は、サポートにお問い合わせください。