Управление политиками

Вы можете управлять политиками фильтрации DNS-трафика на вкладке Политики окна веб-интерфейса BI.ZONE Secure DNS.

Если вы хотите посмотреть статистику по применениям этих политик, перейдите на вкладку Статистика веб-интерфейса решения, найдите виджет Политики и нажмите на интересующую вас политику. Подробнее о страницах с детальной статистикой по каждой политике см. в разделе виджет "Политики".

Политики сгруппированы по этапам, на которых они применяются: DNS-запрос и DNS-ответ.

На этапе DNS-запроса BI.ZONE Secure DNS использует следующие политики фильтрации трафика:

  • Anti DDoS Servfail. Политика защищает от атак с отправкой множества DNS-запросов (DDoS), которые увеличивают нагрузку на инфраструктуру. Политика оптимизирует обработку DNS-запросов за счет перенаправления или подмены DNS-ответов с кодом ошибки SERVFAIL на DNS-ответы с кодом NOERROR. Если вам необходимо отслеживать такие DNS-ответы самостоятельно, не используйте эту политику.

  • Списки доменов. Политика позволяет формировать белый и черный списки, а также списки мониторинга и перенаправлений для FQDN, в том числе при помощи регулярных выражений (regex). Каждый DNS-запрос сначала проверяется по спискам FQDN, а затем, если нет совпадений, по спискам регулярных выражений.

  • TI для FQDN. Политика использует индикаторы компрометации (IoC) из базы TI для FQDN, чтобы отслеживать DNS-запросы к вредоносным доменам и блокировать или перенаправлять такие запросы на изолированные IP-адреса.

  • Web Category. Политика позволяет настроить обработку DNS-запросов в зависимости от веб-категории FQDN. Вы можете выбрать запрещенные веб-категории, а также настроить действия для DNS-запросов к FQDN, которые не относятся ни к одной из веб-категорий. В случае блокировки дальнейшая обработка DNS-запроса будет прекращена, будет сформирован ответ с кодом ошибки NXDOMAIN.

  • Anti DNS Tunnel. Политика позволяет отслеживать DNS-туннели, а также блокировать или перенаправлять DNS-запросы к вредоносным доменам на изолированные IP-адреса. Домены уровней 2 и 3, участвовавшие в построении DNS-туннелей, будут автоматически добавлены в черный список политики. Вы можете добавить доверенные домены в белый список политики. По умолчанию добавляйте домены 2 уровня. Но если домен 2 уровня есть в списке доменов верхнего уровня (TLD), то добавляйте в белый список домен 3 уровня.

  • Anti DGA. Политика использует пороги вероятности DGA, чтобы отслеживать DNS-запросы к сгенерированным алгоритмом доменам (DGA) и блокировать или перенаправлять такие запросы на изолированные IP-адреса.

На этапе DNS-ответа BI.ZONE Secure DNS использует следующие политики фильтрации трафика:

  • DNSSEC. Политика проверяет подлинность DNS-ответов с помощью цифровых подписей и цепочки доверия DNSSEC. Политика всегда включена, но вы можете задать исключения для отдельных доменов.

  • Anti DNS Rebinding. Политика защищает от атак DNS Rebinding. Политика удаляет из ресурсных записей внутренние IP-адреса и сети (недоступные из интернета), если они были получены от публичных DNS-серверов (из интернета). При включении политики в список внутренних IP-адресов автоматически добавляются сети, указанные в RFC 1918.

  • Черный список IP-адресов. Политика позволяет очищать ресурсные записи от IP-адресов, обнаруженных в черном списке IP-адресов. На этапе приема DNS-ответов от авторитативных DNS-серверов политика выполняет проверку IP-адресов (IPv4 и IPv6) по черному списку IP-адресов. Вы можете настроить действия над IP-адресом при его обнаружении в черном списке IP-адресов.

  • TI для IP. Политика позволяет очищать ресурсные записи от IP-адресов, обнаруженных в базе TI. На этапе приема DNS-ответов от авторитативных DNS-серверов IP-адреса (IPv4 и IPv6) проверяются по базе TI. Вы можете настроить действия над IP-адресом при превышении порога достоверности IoC.

Политики могут иметь один из статусов:

  • Включена.

  • Отключена.

Политики могут выполнять над DNS-трафиком следующие действия:

  • Разрешать.

  • Блокировать.

  • Перенаправлять.