? ? ? 因為有一些惡意域名, 已經在防火墻上做了封禁了, 但是如果收到中毒主機的請求, 還是要去做一次DNS查詢, 因此被上級單位通告, 因此想把惡意域名的DNS查詢封禁做到防火墻下聯的AC上面, 一方面因為防火墻的策略優先級DNS代理比較靠后, 另一方面也是為了減小防火墻壓力, 簡化配置:

? ? ??AC設備從上網行為管理12.0.41及全網行為管理13.0.7版本開始支持使用DNS代理功能,具體配置如下：
1、【流量管理】-【DNS代理】點擊新增
2、適用用戶選著對應需要匹配的用戶，訪問域名為需要解析的域名，目標DNS地址為當前用戶配置的DNS服務器地址
3、對應的代理策略可以選擇為
①、重定向至DNS服務器：指定到某個DNS服務器解析
②、解析為IP：指定解析為某個IP
③、丟棄：直接丟棄該數據包
④、重定向至指定線路：重定向到指定線路去解析

? ? ?這里我們把用戶設置為中毒主機, 來源IP添加進去, 然后在策略中選擇"丟棄"

? ? ? 然后把自己的IP加進去, 測試了一下, 果然DNS被攔截了, 策略有效!

*?注意：
1、策略優先級為：VPN路由>直連路由>靜態路由>動態路由>DNS代理[重定向至指定線路]>優先負載策略>默認負載策略>默認路由>系統默認路由
2、開啟代理模式下，不能做DNS代理。DNS請求是由本機做了代理發起，DNS代理的功能無法對本機發包再做代理