使用DNS 原則進行DNS 查詢上的篩選套用 - Microsoft Docs

瞭解如何在Windows Server 2016 中設定DNS 原則，以根據您提供的準則建立查詢篩選準則。

跳到主要內容 已不再支援此瀏覽器。

請升級至MicrosoftEdge，以利用最新功能、安全性更新和技術支援。

下載MicrosoftEdge 其他資訊 目錄 結束焦點模式 儲存 共用 Twitter LinkedIn Facebook 電子郵件 WeChat 目錄 使用DNS原則進行DNS查詢上的篩選套用 11/24/2021 此頁面有所助益嗎？ 請為您的體驗評分 Yes No 還有其他意見反應嗎？ 系統會將意見反應傳送給Microsoft：按下[提交]按鈕，您的意見反應將用來改善Microsoft產品和服務。

隱私權原則。

送出 謝謝。

本文內容 適用于：Windowsserver2022、WindowsServer2019、WindowsServer2016 您可以使用本主題來瞭解如何設定WindowsServer®2016中的DNS原則，以根據您提供的準則建立查詢篩選準則。

DNS原則中的查詢篩選器可讓您根據傳送DNS查詢的DNS查詢和DNS用戶端，將DNS伺服器設定為以自訂的方式回應。

例如，您可以使用查詢篩選封鎖清單來設定DNS原則，以封鎖來自已知惡意網域的DNS查詢，以防止DNS回應這些網域的查詢。

因為不會從DNS伺服器傳送回應，所以惡意網域成員的DNS查詢會超時。

另一個範例是建立查詢篩選器允許清單，只允許一組特定的用戶端解析特定的名稱。

查詢篩選準則 您可以使用任何邏輯組合來建立查詢篩選，(及/或/不)下列準則。

Name 描述 用戶端子網 預先定義之用戶端子網的名稱。

用來驗證傳送查詢的子網。

傳輸通訊協定 查詢中所使用的傳輸通訊協定。

可能的值為UDP和TCP。

網際網路通訊協定 查詢中使用的網路通訊協定。

可能的值為IPv4和IPv6。

伺服器介面IP位址 接收DNS要求的DNS伺服器之網路介面的IP位址。

FQDN 查詢中記錄的完整功能變數名稱，而且可能會使用萬用字元。

查詢類型 正在查詢的記錄類型(A、SRV、TXT等)。

一天中的時間 收到查詢的當日時間。

下列範例示範如何建立DNS原則的篩選準則，以封鎖或允許DNS名稱解析查詢。

注意 本主題中的範例命令使用WindowsPowerShell命令DnsServerQueryResolutionPolicy。

如需詳細資訊，請參閱DnsServerQueryResolutionPolicy。

封鎖來自網域的查詢 在某些情況下，您可能會想要封鎖識別為惡意之網域的DNS名稱解析，或封鎖不符合組織使用指導方針的網域的DNS名稱解析。

您可以使用DNS原則來完成網域的封鎖查詢。

您在此範例中設定的原則不會在任何特定區域中建立，而是建立套用至DNS伺服器上所設定之所有區域的伺服器層級原則。

首先要評估伺服器層級原則，然後在DNS伺服器收到查詢時先進行比對。

下列範例命令會設定伺服器層級原則，以封鎖任何具有網域尾碼contosomalicious.com的查詢。

Add-DnsServerQueryResolutionPolicy-Name"BlockListPolicy"-ActionIGNORE-FQDN"EQ,*.contosomalicious.com"-PassThru 注意 當您使用[略過]值來設定Action參數時，DNS伺服器會設定為捨棄沒有回應的查詢。

這會導致惡意網域中的DNS用戶端超時。

封鎖子網的查詢 在此範例中，您可以封鎖子網的查詢（如果發現它受到某些惡意程式碼的感染），並嘗試使用您的DNS伺服器來與惡意網站聯繫。

'Add-DnsServerClientSubnet-Name"MaliciousSubnet06"-IPv4Subnet172.0.33.0/24-PassThru Add-DnsServerQueryResolutionPolicy-Name"BlockListPolicyMalicious06"-ActionIGNORE-ClientSubnet"EQ，MaliciousSubnet06"-PassThru' 下列範例示範如何搭配FQDN準則使用子網準則，以封鎖來自受感染子網的特定惡意網域的查詢。

Add-DnsServerQueryResolutionPolicy-Name"BlockListPolicyMalicious06"-ActionIGNORE-ClientSubnet"EQ,MaliciousSubnet06"–FQDN“EQ,*.contosomalicious.com”-PassThru 封鎖查詢類型 您可能需要在伺服器上封鎖特定查詢類型的名稱解析。

例如，您可以封鎖「任何」查詢，這可能會惡意地用來建立放大攻擊。

Add-DnsServerQueryResolutionPolicy-Name"BlockListPolicyQType"-ActionIGNORE-QType"EQ,ANY"-PassThru 只允許來自網域的查詢 您不僅可以使用DNS原則來封鎖查詢，也可以使用它們來自動核准來自特定網域或子網的查詢。

當您設定允許清單時，DNS伺服器只會處理來自允許網域的查詢，同時封鎖其他網域的所有其他查詢。

下列範例命令只允許contoso.com和子域中的電腦和裝置查詢DNS伺服器。

Add-DnsServerQueryResolutionPolicy-Name"AllowListPolicyDomain"-ActionIGNORE-FQDN"NE,*.contoso.com"-PassThru 只允許來自子網的查詢 您也可以建立IP子網的允許清單，如此就不會忽略源自這些子網的所有查詢。

Add-DnsServerClientSubnet-Name"AllowedSubnet06"-IPv4Subnet172.0.33.0/24-PassThru Add-DnsServerQueryResolutionPolicy-Name"AllowListPolicySubnet”-ActionIGNORE-ClientSubnet"NE,AllowedSubnet06"-PassThru 僅允許特定QTypes 您可以將允許清單套用至QTYPEs。

例如，如果您有外部客戶查詢DNS伺服器介面164.8.1.1，則只允許查詢特定的QTYPEs，而其他QTYPEs（例如SRV或TXT記錄）可供內部伺服器用來進行名稱解析或用於監視用途。

Add-DnsServerQueryResolutionPolicy-Name"AllowListQType"-ActionIGNORE-QType"NE,A,AAAA,MX,NS,SOA"–ServerInterface“EQ,164.8.1.1”-PassThru 您可以根據您的流量管理需求建立數千個DNS原則，而且會動態套用所有新原則，而不需要重新開機DNS伺服器上的傳入查詢。

本文內容