Использование политики DNS для применения фильтров к запросам DNS
С помощью этого раздела вы узнаете, как настроить политику DNS в Windows Server® 2016 для создания фильтров запросов, основанных на заданных критериях.
Фильтры запросов в политике DNS позволяют настроить DNS-сервер для реагирования на настраиваемый способ на основе DNS-запроса и DNS-клиента, отправляющего DNS-запрос.
Например, можно настроить политику DNS с списком блокировок фильтров запросов, который блокирует запросы DNS из известных вредоносных доменов, что предотвращает реагирование DNS на запросы из этих доменов. Так как ответ не отправляется с DNS-сервера, время ожидания запроса DNS-члена вредоносного домена истекает.
Другим примером является создание списка разрешений фильтра запросов, позволяющего разрешать определенные имена только определенным набором клиентов.
Критерии фильтра запросов
Фильтры запросов можно создать с любым логическим сочетанием (AND/OR/NOT) из следующих критериев.
| Имя | Описание |
|---|---|
| Подсеть клиента | Имя предопределенной подсети клиента. Используется для проверки подсети, из которой был отправлен запрос. |
| Транспортный протокол | Транспортный протокол, используемый в запросе. Возможные значения: UDP и TCP. |
| Интернет-протокол | Сетевой протокол, используемый в запросе. Возможные значения: IPv4 и IPv6. |
| IP-адрес интерфейса сервера | IP-адрес сетевого интерфейса DNS-сервера, который получил DNS-запрос. |
| Полное доменное имя | Полное доменное имя записи в запросе с возможностью использования подстановочной карточки. |
| Тип запроса | Тип запрашиваемой записи (A, SRV, TXT и т. д.). |
| Время дня | Время получения запроса. |
В следующих примерах показано, как создавать фильтры для политики DNS, которая блокирует или разрешает запросы разрешения DNS-имен.
Примечание.
В примерах команд в этом разделе используется команда Windows PowerShell Add-DnsServerQueryResolutionPolicy. Дополнительные сведения см. в разделе Add-DnsServerQueryResolutionPolicy.
Блокировать запросы из домена
В некоторых случаях может потребоваться заблокировать разрешение DNS-имен для доменов, которые вы определили как вредоносные или для доменов, которые не соответствуют рекомендациям по использованию вашей организации. Вы можете выполнять блокирующие запросы для доменов с помощью политики DNS.
Политика, настроенная в этом примере, не создается в какой-либо конкретной зоне. Вместо этого вы создаете политику уровня сервера, которая применяется ко всем зонам, настроенным на DNS-сервере. Политики уровня сервера — это первое, что необходимо оценить, и поэтому сначала необходимо сопоставить при получении запроса DNS-сервером.
В следующем примере команда настраивает политику уровня сервера для блокировки любых запросов с помощью суффикса домена contosomalicious.com.
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicy" -Action IGNORE -FQDN "EQ,*.contosomalicious.com" -PassThru
Примечание.
При настройке параметра Action со значением IGNORE DNS-сервер настраивается для удаления запросов без ответа вообще. Это приводит к истечении времени ожидания DNS-клиента в вредоносном домене.
Блокировать запросы из подсети
В этом примере можно заблокировать запросы из подсети, если он обнаружен, что он заражен некоторыми вредоносными программами и пытается связаться с вредоносными сайтами с помощью DNS-сервера.
' Add-DnsServerClientSubnet -Name "MaliciousSubnet06" -IPv4Subnet 172.0.33.0/24 -PassThru
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06" -PassThru '
В следующем примере показано, как использовать критерии подсети в сочетании с условиями полного доменного имени, чтобы блокировать запросы для определенных вредоносных доменов из инфицированных подсетей.
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06" –FQDN “EQ,*.contosomalicious.com” -PassThru
Блокировать тип запроса
Возможно, потребуется заблокировать разрешение имен для определенных типов запросов на серверах. Например, можно заблокировать запрос ANY, который можно использовать злоумышленником для создания атак с расширением.
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyQType" -Action IGNORE -QType "EQ,ANY" -PassThru
Разрешить запросы только из домена
Политику DNS можно использовать не только для блокировки запросов, но и для автоматического утверждения запросов из определенных доменов или подсетей. При настройке списков разрешений DNS-сервер обрабатывает запросы только из разрешенных доменов, блокируя все остальные запросы из других доменов.
В следующем примере команда позволяет запрашивать DNS-сервер только компьютеры и устройства в contoso.com и дочерних доменах.
Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicyDomain" -Action IGNORE -FQDN "NE,*.contoso.com" -PassThru
Разрешить запросы только из подсети
Вы также можете создать списки разрешений для IP-подсетей, чтобы все запросы, не исходящие из этих подсетей, игнорирулись.
Add-DnsServerClientSubnet -Name "AllowedSubnet06" -IPv4Subnet 172.0.33.0/24 -PassThru
Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicySubnet” -Action IGNORE -ClientSubnet "NE, AllowedSubnet06" -PassThru
Разрешить только определенные QTypes
Списки разрешений можно применить к QTYPEs.
Например, если у вас есть внешние клиенты, запрашивающие интерфейс DNS-сервера 164.8.1.1, могут запрашиваться только определенные QTYPEs, в то время как существуют другие записи QTYP, такие как SRV или TXT, которые используются внутренними серверами для разрешения имен или для мониторинга.
Add-DnsServerQueryResolutionPolicy -Name "AllowListQType" -Action IGNORE -QType "NE,A,AAAA,MX,NS,SOA" –ServerInterface “EQ,164.8.1.1” -PassThru
Вы можете создавать тысячи политик DNS в соответствии с требованиями к управлению трафиком, и все новые политики применяются динамически , не перезапуская DNS-сервер в входящих запросах.