在特定情況下,您的網路安全性原則會要求您完全停用端點上的網路威脅防護。這些情況包括:
當裝置使用具備本機安全性堆疊或該裝置必須使用之 Proxy 的企業網路時。
當裝置使用公司 VPN 進行連線時,所有 DNS 請求均須由企業的 DNS 名稱伺服器處理。
Note:若要略過特定網域,以處理腦裂 DNS 狀況,請參閱 略過特定網域 部分。
要配置此規則,請定義應停用網路威脅防護的特定網路狀態規則。此準則可能包括:
Wi-Fi SSID
DNS 名稱伺服器 IP 位址
DNS 搜尋網域相符項目將被指派至裝置
在定義這些準則時,請定義在符合準則時應中斷的連線。
下列範例顯示會對裝置上之網路威脅防護服務執行以下操作的 On Demand rules (隨選規則) 承載樣本 (以此順序評估):
如簽發給裝置的 DNS 搜尋網域與
*.customer.com相符,則停用網路威脅防護。如簽發給裝置的 DNS 名稱伺服器位址為
10.102.46.20或10.102.46.30,則停用網路威脅防護。否則,啟用網路威脅防護。
<array>
<dict>
<key>DNSDomainMatch</key>
<array>
<string>*.customer.com</string>
</array>
<key>Action</key>
<string>Disconnect</string>
</dict>
<dict>
<key>DNSServerAddressMatch</key>
<array>
<string>10.102.46.20</string>
<string>10.102.46.30</string>
</array>
<key>Action</key>
<string>Disconnect</string>
</dict>
<dict>
<key>Action</key>
<string>Connect</string>
</dict>
</array>Note:
您可以使用下列步驟,以探索您要連線之網路所配置的 DNS 搜尋網域和 DNS 名稱服務位址:
在終端機中,當您的 macOS 裝置以您希望停用網路威脅防護的方式連線到網路時,請輸入 scutil --dns 命令。
產生的回應應該包括搜尋網域和 DNS 名稱伺服器 IP 的清單,如下所示:
DNS configuration resolver #1 search domain[0] : cof.ds.customer.com search domain[1] : ds.customer.com search domain[2] : kdc.customer.com search domain[3] : osd.dev.customer.com search domain[4] : dev.customer.com search domain[5] : uk.customer.com search domain[6] : customer.com nameserver[0] : 10.102.46.20 nameserver[1] : 10.102.46.30接著,在裝置「離網」時簽發相同的命令,並確保傳回的值與「連網」時所傳回的值有很大的不同。 然後,您可以使用那些「連網」值來定義應停用網路威脅防護的情況。