屏蔽恶意域名的DNS查询

因为有一些恶意域名, 已经在防火墙上做了封禁了, 但是如果收到中毒主机的请求, 还是要去做一次DNS查询, 因此被上级单位通告, 因此想把恶意域名的DNS查询封禁做到防火墙下联的AC上面, 一方面因为防火墙的策略优先级DNS代理比较靠后, 另一方面也是为了减小防火墙压力, 简化配置:

AC设备从上网行为管理12.0.41及全网行为管理13.0.7版本开始支持使用DNS代理功能,具体配置如下:

1、【流量管理】-【DNS代理】点击新增

2、适用用户选着对应需要匹配的用户,访问域名为需要解析的域名,目标DNS地址为当前用户配置的DNS服务器地址

3、对应的代理策略可以选择为

①、重定向至DNS服务器:指定到某个DNS服务器解析

②、解析为IP:指定解析为某个IP

③、丢弃:直接丢弃该数据包

④、重定向至指定线路:重定向到指定线路去解析

这里我们把用户设置为中毒主机, 来源IP添加进去, 然后在策略中选择"丢弃"

然后把自己的IP加进去, 测试了一下, 果然DNS被拦截了, 策略有效!

* 注意:

1、策略优先级为:VPN路由>直连路由>静态路由>动态路由>DNS代理重定向至指定线路>优先负载策略>默认负载策略>默认路由>系统默认路由

2、开启代理模式下,不能做DNS代理。DNS请求是由本机做了代理发起,DNS代理的功能无法对本机发包再做代理

相关推荐
阿米亚波27 分钟前
【EVE-NG 实战】防火墙基础(VLAN · VRRP · NAT · ACL · 静态路由)
运维·网络·笔记·网络协议·计算机网络·网络安全·运维开发
零意@31 分钟前
海光平台debian11的系统,打开pstore功能和验证功能
网络
SizeTheMoment33 分钟前
Spring Cloud 微服务认证体系深度解析:从架构设计到安全实践
安全·spring cloud·微服务
学究天人1 小时前
数学公理体系大全:Comprehensive Collection of Mathematical Axiom Systems(卷6)
网络·算法·数学建模·动态规划·几何学·图论·拓扑学
tiantianuser1 小时前
NVME-oF IP 设计2 :设计之前的调研!
网络·网络协议·rdma·roce v2·nvme of
星恒讯工业路由器2 小时前
工业无线通信选型常见问题解答
网络·信息与通信·无线ap·设备选型·工业无线通信·防爆无线设备·4g/5g路由器
小刘数字化2 小时前
告别爬塔危险:AR眼镜如何重构电力高空巡检安全标准
安全·重构·ar
智慧光迅AINOPOL2 小时前
校园全光网建设成本对比:全光网取代传统校园网建设成本分析
网络·全光网解决方案·全光网·校园全光网·校园全光网解决方案
txg6662 小时前
网络安全领域简报(2026年7月3日—10日)
安全·web安全·网络安全
2401_873479402 小时前
如何识别代理IP和伪装流量?用IP情报工具三步穿透住宅代理伪装
网络·数据库·网络协议·tcp/ip·ip