他會使用到fortiguard SDNS服務來進行DNS查詢，他因為直接從DNS下手，所以功能很簡單不太號資源。

運作方式

當使用者上網去查詢DNS時，使用者可能有自己設定的168.95.1.1的DNS這沒關係。當Fortifate發現有人在查詢DNS時，他同時也會把這一筆DNS拿去查fortiguard的 SDNS伺服器他的分類，當查詢到這筆DNS分類應該是要block掉的話，此時User的DNS server(168.95.1.1)回傳回來的那個資料就會被擋下來，會被我們複寫成一個阻擋頁面的IP(我們後面會設定到)，使用者打開就是會出現網頁被封鎖的畫面，反之則通過。

但是要注意，這個功能只有複寫掉DNS的查詢而已，要是使用者自己有DNS的紀錄了(可能之前上過)，或是他直接連IP那他還是可以去上他想要的網站。

[功能]重導 botnet C&C 訪問要求到阻擋頁面

這個功能顧名思義，不過他的資料庫來源來自於防毒更新訂閱(IPS授權內)，所以你要是訂閱過期了的話，就不會有新的資訊近來就是。

[功能]FortiGuard Category Based 過濾器(需付費授權)

這個功能跟我之前寫過[FORTIGATE]網頁過濾 這篇文章的分類過濾一樣，會針對你的domain來做一個分類過濾，所以你可以直接從這邊過濾掉整個色情網站的分類，就不用還要一個一個去找遍全世界的色情網站的domain來阻擋，以免被老闆罵上班怎一直在看。這個功能也是需要訂閱的，你在設定時雖然他不會告訴你，但是你要是沒有訂閱的話，你連所有網站都會變成被阻擋的頁面。

[功能]域名過濾器

他有支援一般domain或是你用正規表示、萬用字元都可以，可以讓她允許(Allow)、監看(monitor)、重新導向到阻擋入口頁面。這個功能跟網頁過濾的功能一樣，是優先於類別過濾的

檢查流程

這張圖我從網頁過濾拿過來的，基本上流程是依樣

[功能]DNS 轉譯

這個功能會把DNS解析出來的IP換成你想要的IP，就有點像是DNS汙染的概念。假如test.davidou.org解析出來IP是211.77.77.77 我把它更改192.168.2.1 這時候使用者上這個網站，他拿到的DNS 解析出來IP就會變成192.168.2.1就會被導向過去了。你可以在cmd命令提示字元PING測試看看就知道了。

你在上面設定時會發現一個遮罩功能，它可以讓你把整個段的ip全部一起轉過去，例如照上面第一條的設定，211.75.72.123就會被轉到192.168.2.123去，因為我遮罩設定255.255.255.0

[功能]重導目的地 IP

當DNS需要被阻擋時，我們就可以把它複寫成我們這邊設定的IP，可以使用fortigard預設的IP(應該是208.91.112.55)或是你想自己指定一個也是可以

[功能]紀錄所有 DNS 詢問及回應

你如果有開啟這功能，你就會在你的日誌與報表->dns查詢這個分頁看到你的使用者dns查詢的Log紀錄