F1000-AI-90恶意域名解析问题

配置DNS过滤功能

1. 功能简介

通过在DNS代理上开启DNS过滤功能，可以实现对用户通过域名进行的业务访问进行控制。开启DNS过滤功能后，DNS代理将会提取DNS客户端发送的DNS请求报文中的域名与本功能配置的白名单或黑名单进行匹配，根据匹配结果对DNS请求报文执行放行或丢弃动作。

DNS过滤功能的机制如下：

·              如果DNS代理收到的DNS请求报文中的域名命中白名单，则DNS代理放行该DNS请求报文，并在收到DNS响应报文后记录域名解析的结果，然后将DNS响应报文转发给DNS客户端。如果DNS代理收到的DNS请求报文中的域名未命中白名单，则DNS代理丢弃该DNS请求报文。

·              如果DNS代理收到的DNS请求报文中的域名未命中黑名单，则DNS代理放行该DNS请求报文，并在收到DNS响应报文后记录域名解析的结果，然后将DNS响应报文转发给DNS客户端。如果DNS代理收到的DNS请求报文中的域名命中黑名单，则DNS代理丢弃该DNS请求报文。

如果希望实现严格的访问控制，建议使用白名单进行DNS过滤。如果希望实现宽松的访问控制，建议使用黑名单进行DNS过滤。

3. 配置限制和指导

可以配置多个白名单或多个黑名单，但不允许同时配置白名单和黑名单。

4. 配置步骤

(1)      进入系统视图。

system-view

(2)      开启DNS过滤功能，并配置黑/白名单。

dns filter { allowlist | denylist } hostname

缺省情况下，DNS过滤功能处于关闭状态。

搭建一个内部的DNS服务器就行了，然后还可以再内部dns服务器上设置黑名单，做局域网的DNS污染，非常好玩，推荐dnsmasq