F1000-AI-35 是否可以限制访问外网域名呢

可以的，域间策略里匹配就行了，前提是设备本身需要配置DNS，能够解析域名

可以

您好，请知：

可以的。使用URL过滤。

以下是配置举例：

如图-1所示，Device作为安全网关部署在内网边界。通过配置URL过滤功能，实现如下需求：

·     为提高员工工作效率，禁止内网用户访问娱乐类和商业类网站。

·     禁止内网用户访问土豆网（***.***）。

图-1 URL过滤配置组网图

使用版本

本举例是在F5040的Ess 9320版本上进行配置和验证的。

配置步骤

1.     配置各接口IP地址并将接口加入对应的安全域

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 选中接口GE1/0/1前的复选框，单击<编辑>按钮，配置如下。

·     加入安全域：Trust。

·     IP地址/掩码：10.1.1.1/24。

·     其他配置项保持默认情况即可。

# 按照同样的步骤配置接口GE1/0/2，配置如下。

·     加入安全域：Untrust。

·     IP地址/掩码：20.1.1.1/24。

·     其他的配置项保持默认情况即可。

2.     创建内网地址对象组

# 选择“对象 > 对象组 > IPv4地址对象组”，单击<添加>按钮，进入新建IPv4地址对象组页面，添加名为private的内网地址对象组。

# 在新建IPv4地址对象组页面中，单击<添加>按钮，进入添加对象页面，配置如下。

·     对象：网段。

·     IPv4地址/掩码长度：10.1.1.0/24。

3.     升级URL过滤特征库到最新版本（配置步骤略）

4.     新建URL过滤配置文件

# 选择“对象 > 应用安全 > URL过滤 > 配置文件”，单击<新建>按钮，进入新建URL过滤配置文件页面。创建名为urlfilter的URL过滤配置文件。

# 基础配置区域的配置如下。

·     名称：urlfilter。

·     缺省动作：允许。

·     勾选记录日志的复选框。

·     其他配置项保持缺省情况即可。

# 在黑名单区域，单击<添加>按钮，进入“添加黑名单”页面，配置如下。

·     匹配模式：文本。

·     主机名：***.***。

图-2 配置黑名单

# 单击<确定>按钮，完成黑名单的配置。

# 在URL过滤分类区域，配置预定义分类中商业类和娱乐类的动作为丢弃和记录日志。

图-3 配置预定义URL过滤分类动作

# 单击<确定>按钮，完成名为urlfilter的URL过滤配置文件的配置。

# 单击<提交>按钮，使新建的URL过滤配置文件生效。

5.     创建源安全域Trust到目的安全域Untrust的安全策略，并引用URL过滤配置文件

# 选择“策略 > 安全策略”，单击<新建>按钮，进入新建安全策略页面。具体配置如下。

·     名称：URL过滤

·     源安全域：Trust

·     目的安全域：Untrust

·     动作：允许

·     源IP地址：private

·     内容安全中引用URL过滤策略：urlfilter

·     其他配置项保持缺省情况即可。

# 单击<确定>按钮，完成配置。

验证配置

以上配置完成后，可以对内网用户访问的URL进行控制。测试结果如下：

·     内网用户无法访问商业类和娱乐类的网站。

·     内网用户无法访问土豆网。

·     管理员可在“监控 > 安全日志 > URL过滤日志”中，查看URL过滤的日志信息。