1.终端和设备配置相同的DNS服务器

电脑侧：

2.设备侧配置

（1）配置接口IP地址

根据组网规划的信息，配置各接口的IP地址

（2） 配置接口加入安全域

创建安全域，并将接口加入对应的安全域

security-zone name trust

import interface gigabitethernet 1/0/1

security-zone name dns

import interface gigabitethernet 1/0/2

security-zone name baidu

import interface gigabitethernet 1/0/3

（3）配置对象

创建名为baidu的IP地址对象组，并定义其主机名称为www.baidu.com

object-group ip address baidu

network host name www.baidu.com

（4）配置DNS服务器地址

指定DNS服务器的IP地址为114.114.114.114，确保设备可以获取到主机名对应的IP地址

dns server 114.114.114.114

（5）配置安全策略

配置名称为dns的安全策略规则，允许设备访问DNS服务器

security-policy ip

rule name dns

source-zone local

destination-zone dns

destination-ip-host 114.114.114.114

action pass

配置名称为host-dns的安全策略规则，允许内网主机访问DNS服务器

rule name host-dns

source-zone trust

destination-zone dns

destination-ip-host 114.114.114.114

service dns-udp

action pass

配置名称为host-baidu的安全策略规则，禁止192.168.1.0/24的主机访问百度

rule name host-baidu

source-zone host

destination-zone baidu

source-ip-subnet 192.168.1.0 24

destination-ip baidu

action drop

（6）配置dns snooping ，此配置在新版本中必须配置

dns snooping enable