設(shè)置FortiGate DNS數(shù)據(jù)庫(kù)說明：本文檔針對(duì)所有FortiGate 設(shè)備的DNS 數(shù)據(jù)庫(kù)配置進(jìn)行說明。DNS 數(shù)據(jù)庫(kù)可以讓管理員在防火墻上手工設(shè)置一些域名對(duì)應(yīng)的IP 地址，已實(shí)現(xiàn)控制訪問某些域

設(shè)置FortiGate DNS

數(shù)據(jù)庫(kù)

說明：

本文檔針對(duì)所有FortiGate 設(shè)備的DNS 數(shù)據(jù)庫(kù)配置進(jìn)行說明。DNS 數(shù)據(jù)庫(kù)可以讓管理員在防火墻上手工設(shè)置一些域名對(duì)應(yīng)的IP 地址，已實(shí)現(xiàn)控制訪問某些域名的目的。當(dāng)防火墻后面的PC 把dns 服務(wù)器地址設(shè)置為內(nèi)網(wǎng)接口地址后，PC 的dns 請(qǐng)求先在DNS 數(shù)據(jù)庫(kù)中查找，有則返回?cái)?shù)據(jù)庫(kù)中的IP ；如果沒有可以選擇丟棄該請(qǐng)求或?qū)⑺D(zhuǎn)發(fā)到公網(wǎng)dns 服務(wù)器上。更多：http://www.fortinet.org.cn 環(huán)境介紹：

本文使用FortiGate310B 做演示。本文支持的系統(tǒng)版本為FortiOS v4.0 MR1。 步驟一： 配置DNS 服務(wù)器

在系統(tǒng)管理----網(wǎng)絡(luò)----選項(xiàng)中設(shè)置防火墻的DNS 服務(wù)器地址

步驟二：配置接口

在系統(tǒng)管理----網(wǎng)絡(luò)----接口中編輯內(nèi)網(wǎng)接口，勾選允許從此端口進(jìn)行DNS 查詢 Recursive ：先在防火墻DNS 數(shù)據(jù)庫(kù)中查找域名，如果沒有匹配則將請(qǐng)求發(fā)給步驟一中的DNS 服務(wù)器查詢。

Non-recursive ：在防火墻DNS 數(shù)據(jù)庫(kù)中查找域名，如果沒有匹配則丟棄請(qǐng)求。 本例選擇Recursive

步驟三：配置DNS 數(shù)據(jù)庫(kù)

在系統(tǒng)管理----網(wǎng)絡(luò)----DNS 數(shù)據(jù)庫(kù)中點(diǎn)擊新建，下面以test.com 為例 域名：最好寫一級(jí)域名例如test.com

TTL ：存儲(chǔ)的有效時(shí)間

點(diǎn)擊OK ，然后點(diǎn)擊新建，創(chuàng)建一條dns 記錄

文章來源于http://www.fortinet.org.cn 感謝閱讀！討論地址：http://bbs.utmwall.com/forum-10-1.html

- 1 -

類型：防火墻支持IPV4（地址A ），IPV6，NS 記錄，CNAME 記錄，

MX 記錄，本例選IPV4地址

主機(jī)名：該域的詳細(xì)域名

IP 地址：該主機(jī)名解析的IP

TTL ：存儲(chǔ)的有效時(shí)間，為0則使用整個(gè)記錄的

TTL

下圖為寫好的三條記錄，即將www.test.com 解析為10.0.0.1；將mail.test.com 解析為10.0.0.2；將news.test.com 解析為10.0.0.3

下面以163.com 為例說明將一級(jí)域名解析為IP 地址，創(chuàng)建域名為163.com 的dns 區(qū)域

在dns 記錄中將主機(jī)名設(shè)為163.com ，并給出IP 地址。則只有163.com 可以被解析，所有163.com 的二級(jí)和二級(jí)以下域名都不能被解析。

步驟四：測(cè)試

將PC 的dns 服務(wù)器地址設(shè)置為防火墻內(nèi)網(wǎng)地址，在windows 的cmd 中ping 相應(yīng)的域名看能不能解析出ＩＰ。

清除PC dns緩存的命令（在cmd 中）：ipconfig /flushdns

更多：http://www.fortinet.org.cn

文章來源于http://www.fortinet.org.cn 感謝閱讀！討論地址：http://bbs.utmwall.com/forum-10-1.html

- 2 -