DNS 请求过滤不允许的网站域

好处

DNS 过滤将对不允许的网站域的 DNS 请求重定向到沉洞服务器，同时防止任何操作系统的人看到不允许的域列表。这是因为不允许的域名采用加密格式。

不允许的域筛选器数据库文件

DNS 请求过滤需要一个不允许的域过滤器数据库.txt文件，用于标识每个不允许的域名、对不允许的域的 DNS 请求执行的操作，以及 DNS 沉洞服务器的 IP 地址或完全限定域名 （FQDN）。

DNS 过滤器配置文件

您可以配置 DNS 筛选器配置文件，以指定要使用的不允许的域筛选器数据库文件。您还可以指定执行 DNS 请求过滤的接口，将过滤限制为针对特定 DNS 服务器的请求，并将过滤限制为来自特定源 IP 地址前缀的请求。

概述

从 Junos OS 21.1R1 版开始，您可以为每个客户或 IP 子组配置自定义域源。您可以：

• 为多个租户配置域名和操作，以便可以基于每个租户管理域源。
• 按配置文件、每个 dns-filter-template 或每个 dns-filter-term 配置分层域源管理。
• 在 IP、子网或 CIDR 级别豁免域源。

若要实现对 DNS 过滤的 mutiltenant 支持，请禁用在模板或配置文件级别下创建域筛选器数据库文件。您无需在模板或配置文件级别指定文件。从 Junos OS 21.1R1 开始，默认情况下，可以使用具有固定名称、 nsf_multi_tenant_dn_custom_file.txt （纯文本格式）或 dnsf_multi_tenant_dn_custom_file_hashed.txt （加密文件）的全局文件。

数据库文件中的每个条目都包含以下项：

散列域名、IPv4 沉洞地址、IPv6 沉洞地址、沉洞 FQDN、ID、操作、源名称。

计算文件哈希并将其追加到文件中的域名条目列表中。文件哈希是使用全局密钥和方法计算的，该方法使用使用层次结构中 [edit services web-filter] 配置的哈希密钥计算的文件哈希进行验证。仅当计算出的文件哈希与文件中存在的文件哈希匹配时，文件验证才会成功。

文件中的每个条目nsf_multi_tenant_dn_custom_file.txt都由一个名为 feed-name 的附加字段组成。此源名称用作对域名集进行分组并将它们映射到租户（配置文件、模板、术语或 IP 地址）的指示器。

当从特定 SRC IP 地址接收 DNS 数据包时，将获取相应的源名称，并针对与术语关联的源名称映射的域名进行查找。如果未为该 IP 地址预配源名称，则该 IP 地址会回退到在模板级别配置的源名称，并针对与模板关联的源名称映射的域名进行查找。如果未在模板中配置源名，则查找将针对与配置文件关联的源名映射的域名。