WinSrv2019使用DNS策略实现DNS查询上的应用筛选

以前介绍了使用DNS策略实现感知等场景的智能DNS服务，那么这里将给你们分享基于DNS策略的筛选参数有哪些可使用，让DNS策略更适应复杂的场景，好比下面的这个表能够看出能够根据不少条件来进行筛选：

参考https://docs.microsoft.com/en-us/powershell/module/dnsserver/add-dnsserverqueryresolutionpolicy?view=win10-ps

下面我就罗列一些场景来介绍：

• 阻止具备域名后缀abc.com的任何查询请求

Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicy" -Action IGNORE -FQDN "EQ,*.abc.com" -PassThru

备注：Action配置的参数为ignore时，DNS服务器配置为删除彻底没有响应的查询，这会致使DNS客户端解析该域名超时。

• 阻止某段子网的查询请求

Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyChengduSubnet" -Action IGNORE -ClientSubnet "EQ,ChengduSubnet" -PassThru

• 阻止某子网对qq.com域名的解析，访问其余域名不受影响

Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyChengduSubnet" -Action IGNORE -ClientSubnet "EQ,ChengduSubnet" -FQDN "EQ,*.qq.com"-PassThru

• 仅容许对*.basehome.com.cn的查询请求，其余域的查询所有阻止（配置容许列表时，DNS服务器仅处理来自容许域的查询，同时阻止来自其余域的全部其余查询）

Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicyDomain" -Action IGNORE -FQDN "NE,*.basehome.com.cn" -PassThru

• 仅容许来自子网的查询

还能够为IP子网建立容许列表，以便忽略不是源自这些子网的全部查询

Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicySubnet” -Action IGNORE -ClientSubnet "NE, BeijingSubnet" -PassThru

• 仅容许某些Qtype

例如，若是DNS有2张网卡，一张对内，一张对外，外部客户查询DNS服务器外网卡是192.168.1.2，则只容许查询某些QTYPE，而其余QTYPE（如SRV或TXT记录）由DNS服务器内网卡负责解析

Add-DnsServerQueryResolutionPolicy -Name "AllowListQType" -Action IGNORE -QType "NE,A,AAAA,MX,NS,SOA" –ServerInterface “EQ,192.168.1.2” -PassThru

这里只是给你们介绍了方法，更多的须要你们在实际的业务场景中触类旁通实现本身的业务需求，详细的能够参考：https://docs.microsoft.com/en-us/windows-server/networking/dns/deploy/apply-filters-on-dns-queries