DNS Snooping功能适用于基于域名做策略的场景(如安全策略、带宽策略等)。设备使用基于域名的策略过滤用户流量时,需要获取域名对应的IP地址才能真正实现流量过滤。
1. 开启DNS Snooping功能后,设备会监听过路的DNS请求报文和DNS应答报文,如果DNS请求报文中的域名与策略中的域名相同,设备会在收到该域名的响应报文时记录域名解析结果,并上报给策略,使得策略可以基于此域名对应的IP地址实现流量过滤。如果DNS请求报文中的域名与过滤规则中的域名不同,设备不会记录域名解析结果。
2. DNS Snooping设备只有位于DNS客户端与DNS服务器之间,或DNS客户端与DNS代理设备之间时,DNS Snooping功能配置后才能正常工作。
3. 开启DNS Snooping功能对应命令为dns snooping enable,缺省情况下,防火墙上域名解析表项的有效时间为DNS响应报文中的TTL。如果现场dns老化时间过短,可以手工调整老化时间,对应命令为 object-group dns-aging [ time aging-time ]
display system internal dns snooping host命令用来显示DNS Snooping记录的域名解析信息。该命令需要在probe视图下使用。
详细介绍说明可参考V2.0版本:配置dns snooping功能实现防火墙基于域名的安全策略原理分析
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
不需要