DNS ポリシーの構成要素
ライセンス:任意
DNS ポリシーを使用すると、ドメイン名ベースの接続をブロック(またはブロックから除外)できます。以下のリストでは、DNS ポリシーの作成後に変更できる設定を説明しています。
名前と説明
各 DNS ポリシーには一意の名前が必要です。説明は任意です。
ルール
ルールは、ドメイン名に基づいてネットワーク トラフィックを処理するための詳細な方法を提供します。DNS ポリシーのルールには 1 から始まる番号が付いています。ASA FirePOWER モジュールは、ルール番号の昇順で、DNS ルールを上から順にトラフィックと照合します。
DNS ポリシーを作成すると、ASA FirePOWER モジュールはそのポリシーをデフォルトのグローバル DNS ブロックなしリストのルールとデフォルトのグローバル DNS ブロックリストのルールに入力します。各ルールは、それぞれのカテゴリで先頭の位置に固定されます。ルールは変更できませんが、無効にすることはできます。モジュールはルールを、以下の順序で評価します。
-
グローバル DNS ブロックなしリストのルール(有効になっている場合)
-
ブロックなしのルール
-
Global DNS ブロックのルール(有効になっている場合)
-
ブロックとモニタのルール
通常、モジュールはドメイン名ベースのネットワーク トラフィックを、すべてのルールの条件がトラフィックと一致する最初の DNS ルールに従って処理します。トラフィックと一致する DNS ルールがない場合、モジュールは、関連するアクセス コントロール ポリシーのルールに基づいてトラフィックの評価を続行します。DNS ルールの条件は、単純なものにも複雑なものにもできます。
DNS ポリシーの編集
ライセンス:Protection
DNS ポリシーを同時に編集できるのは 1 ユーザのみであり、使用できるのは単一のブラウザ ウィンドウのみです。複数のユーザが同じポリシーを保存しようとすると、最初に保存された変更のセットのみが保持されます。
セッションのプライバシーを保護するために、ポリシー エディタで活動が行われずに 30 分が経過すると、警告が表示されます。60 分経過すると、モジュールは変更内容を破棄します。
DNS ポリシーを編集する方法:
手順
ステップ 1 |
[Configuration] > [ASA FirePOWER Configuration] > [Policies] > [DNS Policy] の順に選択します。 |
ステップ 2 |
DNS ポリシーを次のように編集します。
|
ステップ 3 |
[Store ASA FirePOWER Changes] をクリックします。 |
次のタスク
-
設定変更を展開します。設定変更の導入を参照してください。