阿姆瑞特防火墻FQDN的應(yīng)用

阿姆瑞特防火墻支持基于FQDN的策略路由及安全規(guī)則，可實(shí)現(xiàn)基于域名的路由和特定NAT規(guī)則等，例如在多出口環(huán)境下通過(guò)缺省路由訪問(wèn)某些網(wǎng)站的時(shí)候，若出現(xiàn)卡頓或不能訪問(wèn)，則可使用FQDN規(guī)則進(jìn)行出站選路，將該網(wǎng)站牽引至其他鏈路，以實(shí)現(xiàn)正常訪問(wèn)。

在大多數(shù)環(huán)境下，內(nèi)部終端的DNS地址由DHCP下發(fā)，DHCP下發(fā)的DNS地址若與防火墻內(nèi)置DNS地址不一致，則會(huì)出現(xiàn)在解析同一個(gè)域名的時(shí)候防火墻解析的FQDN地址和內(nèi)部終端解析的IP地址不相同的情況，如此，則FQDN規(guī)則將失去作用，無(wú)法實(shí)現(xiàn)基于FQDN的路由和安全規(guī)則。

針對(duì)該問(wèn)題，解決辦法是將防火墻的DNS地址與內(nèi)部終端的DNS地址保持一致，通過(guò)兩種辦法均可實(shí)現(xiàn)：一是將防火墻的內(nèi)置DNS配置為校內(nèi)DNS地址，校內(nèi)終端下發(fā)校內(nèi)DNS，DNS不轉(zhuǎn)發(fā)；二是防火墻配置運(yùn)營(yíng)商DNS，內(nèi)部DNS配置轉(zhuǎn)發(fā)，將內(nèi)部終端轉(zhuǎn)發(fā)至運(yùn)營(yíng)商DNS。