WinSrv2019使用DNS策略實現DNS查詢上的應用篩選

以前介紹了使用DNS策略實現感知等場景的智能DNS服務，那麼這裏將給你們分享基於DNS策略的篩選參數有哪些可使用，讓DNS策略更適應複雜的場景，好比下面的這個表能夠看出能夠根據不少條件來進行篩選：

參考https://docs.microsoft.com/en-us/powershell/module/dnsserver/add-dnsserverqueryresolutionpolicy?view=win10-ps

下面我就羅列一些場景來介紹：

• 阻止具備域名後綴abc.com的任何查詢請求

Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicy" -Action IGNORE -FQDN "EQ,*.abc.com" -PassThru

備註：Action配置的參數爲ignore時，DNS服務器配置爲刪除徹底沒有響應的查詢，這會致使DNS客戶端解析該域名超時。

• 阻止某段子網的查詢請求

Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyChengduSubnet" -Action IGNORE -ClientSubnet "EQ,ChengduSubnet" -PassThru

• 阻止某子網對qq.com域名的解析，訪問其餘域名不受影響

Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyChengduSubnet" -Action IGNORE -ClientSubnet "EQ,ChengduSubnet" -FQDN "EQ,*.qq.com"-PassThru

• 僅容許對*.basehome.com.cn的查詢請求，其餘域的查詢所有阻止（配置容許列表時，DNS服務器僅處理來自容許域的查詢，同時阻止來自其餘域的全部其餘查詢）

Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicyDomain" -Action IGNORE -FQDN "NE,*.basehome.com.cn" -PassThru

• 僅容許來自子網的查詢

還能夠爲IP子網建立容許列表，以便忽略不是源自這些子網的全部查詢

Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicySubnet」 -Action IGNORE -ClientSubnet "NE, BeijingSubnet" -PassThru

• 僅容許某些Qtype

例如，若是DNS有2張網卡，一張對內，一張對外，外部客戶查詢DNS服務器外網卡是192.168.1.2，則只容許查詢某些QTYPE，而其餘QTYPE（如SRV或TXT記錄）由DNS服務器內網卡負責解析

Add-DnsServerQueryResolutionPolicy -Name "AllowListQType" -Action IGNORE -QType "NE,A,AAAA,MX,NS,SOA" –ServerInterface 「EQ,192.168.1.2」 -PassThru

這裏只是給你們介紹了方法，更多的須要你們在實際的業務場景中觸類旁通實現本身的業務需求，詳細的能夠參考：https://docs.microsoft.com/en-us/windows-server/networking/dns/deploy/apply-filters-on-dns-queries