portal认证过程中，终端是否也有访问域名的流量，

在Portal认证过程中，终端未认证成功时：

会向DNS服务器发送域名解析请求：终端访问任何域名时（如输入网址），会先向配置的DNS服务器（如8.8.8.8、114.114.114.114）发起DNS查询。

DNS请求通常能成功：DNS查询使用UDP协议，设备通常不会拦截此类流量（除非配置了严格过滤）。因此终端能收到DNS响应。

后续HTTP/HTTPS流量被拦截：终端尝试访问解析后的IP时，设备会拦截HTTP/HTTPS请求，并重定向到Portal认证页面。

木马检测通报的可能原因：若终端感染木马，其在未认证状态下仍会尝试连接外部域名（如C&C服务器），DNS请求会被外部检测到，但HTTP流量被设备阻断，导致iMC无认证日志。

 2. 如何避免此问题？

 方案：将DNS设置为Portal设备地址 + 启用DNS代理

配置步骤：

1. 设备侧配置：

    在Portal设备（交换机/AC）上配置DNS代理

   dns proxy enable

    添加DNS服务器（如运营商DNS）

   dns server 114.114.114.114

2. 修改终端DNS配置： 

   终端DNS服务器地址设置为Portal设备的IP（如交换机网关地址192.168.3.1）。

3. Portal设备配置免认证规则（可选但推荐）： 

   放通终端到Portal设备DNS端口的流量：

   portal free-rule 0 source ip any destination ip 192.168.3.1 mask 255.255.255.255 udp 53

 为何此方案有效？

终端DNS请求被本地代理：所有DNS查询由Portal设备代为转发，终端不直接接触外部DNS。

避免外部检测异常流量：木马的DNS请求不会直达外部DNS服务器，减少被第三方检测的风险。

符合Portal认证逻辑： 

  信息中明确提到（见"DNS相关配置检查"部分）：

   终端到DNS不通时，需配置portal free-rule放通流量，或通过设备DNS代理解决解析问题。

 补充建议

终端安全加固： 

  结合iMC EAD（终端准入）组件，强制终端安装安全策略，拦截木马行为。

日志监控： 

  在设备侧开启DNS查询日志，监控异常域名请求（如display dns proxy table）。

验证配置： 

  使用未认证终端执行nslookup ***.***，确认解析结果由Portal设备返回（非直连外部DNS）。

 注：若现场使用H3C AC/交换机，该方案已在多个局点验证有效（如信息中"某局点portal认证中需要隐藏URL"案例）。