处理大型黑名单:DNS 黑洞还是防火墙级别阻止更好

处理大型黑名单:DNS 黑洞还是防火墙级别阻止更好

为网络设置一些新的保护措施,我发现自己有两种不同的选择。

由于列表的大小(很容易就有 2,500,000 多个域),是否最好将 DNS 服务器设置为黑洞,然后转发到另一个本地 DNS 服务器,最后跳转到公共域的公共 DNS 服务器,还是仅使用防火墙来阻止访问这些域?

我担心的是,虽然 DNS 可以减轻防火墙的压力,但由于要经过 3 个 DNS 服务器和大量的域列表,因此可能会增加解析有效 DNS 条目的等待时间。

我的设置的视觉效果:

Pi-Hole ==> AD DNS 服务器 ==> Google DNS 服务器

其目的是阻止企业日常用户所面临的跟踪、广告、诈骗和其他威胁,同时又不会给日常运营带来太多开销。

虽然屏蔽 FB 和其他社交网站可能会有所帮助,但尽管被告知“仅限商业用途”,也无法阻止用户随意浏览网页

相关内容