AF如何配置基于域名的应用控制策略？

AF限制内网用户访问某些域名可以通过如下方式

1、从标准版本8.0.7开始，应用控制策略支持目的添加域名，通过配置应用控制策略进行域名的拦截。

2、从标准版本8.0.32-8.0.48，黑名单支持添加域名进行封堵。

3、可以通过配置URL过滤进行放通或拦截；

应用控制策略基于域名配置如下：

1、新架构版本从AF标准版本8.0.59开始支持域名应用控制策略：

【对象】-【网络对象】点击【新增域名】，在【策略】-【访问控制】-【应用控制策略】对域名进行引用

2、从AF标准版本8.0.7到8.0.48版本，AF应用控制策略可以直接针对域名做策略。需要先在【系统】-【通用设置】-【网络参数】勾选【应用控制支持域名】，然后在去应用控制策略配置域名策略

3、在AF标准版本8.0.7之前，AF应用控制策略不能直接针对域名做策略。可以解析出对应域名的IP地址，在应用控制策略里针对解析后的IP地址做策略。

ps：勾选应用控制支持域名会重启控制台服务，重新登录控制台不会影响业务

注意事项

1、AF 应用控制策略中是否有勾选主动查询的功能，如果未开启，PC dns解析的数据会经过防火墙，可以不需要设备联网，只要DNS请求包能够正常到AF上就生效

2、截止标准版本AF8.0.48，基于域名的应用控制策略不支持通配符域名；从新架构标准版本AF8.0.59 开始。基于域名的应用控制策略支持通配符域名，如果输入的域名中包含通配符"*"，则该域名的长度范围是5-255，且必须以"*."开头，最多只能包含1个通配符"*",只支持输入2-4个".",并且"."不能连续，该域名不能以"."结尾。

3、AF基于域名的应用控制策略，针对域名对应的IP地址数据包进行控制，与域名是否为一级、二级、三级无关，只要解析出来的ip地址相同均可进行限制

4、1条应用控制策略中，域名最多能加250条

逐句地看完这个帖子以后，我的心久久不能平静，震撼啊!为什么会有如此好的帖子!我纵横社区多年，自以为再也不会有任何帖子能打动我，没想到今天看到了如此精妙绝伦的这样一篇帖子。