DNS ポリシーの概要
DNS ベースのセキュリティ インテリジェンスにより、セキュリティ インテリジェンス ブロックリストを使用して、クライアントが要求したドメイン名に基づいてトラフィックをブロックできるようになります。シスコが提供するドメイン名のインテリジェンスを使用して、トラフィックをフィルタリングできます。また、環境に合わせて、ドメイン名のカスタム リストやフィードを設定することも可能です。
DNS ポリシーのブロックリストに登録されたトラフィックは即座にブロックされるため、他のさらなるインスペクションの対象にはなりません(侵入、エクスプロイト、マルウェアなどについてだけでなくネットワーク検出についても)。セキュリティ インテリジェンス ブロックしないリストを使用してブロックリストより優先させて、アクセスコントロールルールによる評価を強制することができます。また、セキュリティ インテリジェンス フィルタリングに「モニター専用」設定を使用でき、パッシブ展開環境ではこの設定が推奨されます。この設定では、ブロックリストによってブロックされたであろう接続をシステムが分析できるだけでなく、ブロックリストに一致する接続がログに記録され、接続終了セキュリティ インテリジェンス イベントが生成されます。
(注) |
期限切れのため、またはクライアントの DNS キャッシュやローカル DNS サーバーのキャッシュがクリアされているか、期限切れであるために、DNS サーバーでドメイン キャッシュが削除されない場合に、DNS ベースのセキュリティ インテリジェンスが意図したとおりに機能しないことがあります。 |
DNS ポリシーおよび関連付けられた DNS ルールを使用して DNS ベースのセキュリティ インテリジェンスを設定します。デバイスにこれを展開するには、アクセス コントロール ポリシーに DNS ポリシーを関連付けてから管理対象デバイスに設定を展開する必要があります。