【AF】应用控制策略放通域名不生效

一、问题现象描述

域名对象配置的ACL策略不生效。

二、处理过程

1、防火墙本身到dns服务器不通，配置静态路由测试后，可以解析到业务域名对应的IP，但是ping不通域名，怀疑设备主动解析域名有问题

2、看不到解析的域名缓存IP列表，但是主动去ping或者tcpdump就会产生缓存了，这个时候也可以ping通域名了

3、判断部分域名解析的ip为cdn地址，防火墙和终端dns不一致，导致缓存的ip不一样，导致访问异常

4、域名对象配置的主动解析，设备自身DNS发包优先会看DNS透明代理配置的外网DNS服务器。检查配置DNS透明代理外网DNS服务器和服务器的DNS配置不一致。

5、调整DNS配置和服务器一致，验证策略可以正常生效

三. 问题原因

1、设备自身DNS发包优先会看DNS透明代理配置的外网DNS服务器，该配置和内网服务器DNS配置不一致。

2、调整设备DNS透明代理的外网DNS配置和服务器一致即可。