応答ポリシーを使用して DNS リゾルバを設定し、特定のゾーンまたはホストへの DNS クエリに対して、ユーザが設定した応答を返します。
応答ポリシーは、ユーザが悪意のあるコンテンツ、違法コンテンツ、または好ましくないコンテンツに対してクエリを行う場合に特に有用です。リクエストをブロックまたはリダイレクトするように DNS
サーバを構成すると、感染を防いだり、悪用を止めたりすることができます。応答ポリシーを使用すると、保護レイヤの追加や好ましくないアクセスの防止のために DNS
サービスを活用することができます。例:
- 自社の従業員が有害な Web サイトにアクセスするのを防止したい企業ユーザの場合は、応答ポリシーを設定して、それらの Web サイトがクエリ応答を返さないようにしたり、従業員のアクセスを適切な Web サイトに単純にリダイレクトしたりするようにして、有害な Web サイトをブロックできます。
- 特定の DNS ブロッキングを義務付ける政府規制に従う必要がある場合は、応答ポリシーを使用すると、この要件を実装することができます。
ユーザの要件に応じて、4 種類の応答ポリシーを設定することができます。
- ブロックリスト: ネットワークでブロックされたドメインのリスト。ブロックリストは、リストに明示的に含まれていないオブジェクトを介する場合のみ許可します。ブロックリストに一致するオブジェクトは、NXDOMAIN (ドメインが存在しない) 応答を返します。
- ブラックホール: 送信元に通知せずに、ブラックホール リストのドメインへの送受信トラフィックを廃棄します。ブラックホール リストに一致するオブジェクトは、回答なしで NOERROR 応答を返します。
- リダイレクト: ユーザが存在しないドメイン (NXDomain) へ接続しようとすると、指定されたポータル ページへ誘導します。
- 許可リスト:
ブロックから除外された信頼されているドメインのリスト。許可リストに一致するオブジェクトは、さらなる処理から除外されます。注: 許可リスト応答ポリシーは、オブジェクトの一致に対して何もアクションを実行しません。ブロックリストに一致するドメインが見つかった場合のみ記録します。
上記の種類の応答ポリシーは、DNS 構成レベルで設定できます。ただし、応答ポリシーを最大限に有効にするには、ユーザの名前解決を DNS サーバに制限する必要があります。ユーザが DNS サーバをバイパスするのを防止するには、ファイアウォールで DNS アクセスを社内の DNS サーバに限定します。これにより、ユーザはインターネット上の DNS サーバに直接アクセスすることができなくなります。