华三防火墙如何将某个域名划分黑名单

如下图所示，某公司内的各部门之间通过Device实现互连，公司内网中部署了域名为***.***的Web服务器用于公司财务管理，该域名已在内网DNS服务器中注册。通过配置安全策略，实现如下需求：

• 允许财务部通过HTTP协议访问财务管理Web服务器。

• 禁止市场部在任何时间通过HTTP协议访问财务管理Web服务器。

图-1 基于域名的安全策略典型配置组网图

配置步骤

1. 配置安全域

   # 选择“网络 > 安全域”，进入安全域配置页面，依次配置如下内容。

   • 创建名为web的安全域，并将接口GigabitEthernet1/0/1加入该安全域中

   • 创建名为market的安全域，并将接口GigabitEthernet1/0/2加入该安全域中

   • 创建名为finance的安全域，并将接口GigabitEthernet1/0/3加入该安全域中

   • 创建名为dns的安全域，并将接口GigabitEthernet1/0/4加入该安全域中

2. 配置接口IP地址

   # 单击接口GE1/0/1右侧的<编辑>按钮，配置如下。

   • 选择“IPv4地址”页签，配置IP地址/掩码：10.0.0.1/24

   • 其他配置项使用缺省值

   # 单击<确定>按钮，完成接口IP地址的配置。

   # 按照同样的步骤配置接口GE1/0/2，配置如下。

   • IP地址/掩码：10.0.12.1/24

   • 其他配置项使用缺省值

   # 按照同样的步骤配置接口GE1/0/3，配置如下。

   • IP地址/掩码：10.0.11.1/24

   • 其他配置项使用缺省值

   # 按照同样的步骤配置接口GE1/0/4，配置如下。

   • IP地址/掩码：10.0.10.1/24

   • 其他配置项使用缺省值

3. 配置地址对象组

   # 选择“对象> 对象组 > IPv4地址对象组”，进入IPv4地址对象组配置页面，创建名为web的IPv4地址对象组，并定义其主机名为***.***。

4. 配置DNS服务器地址

   # 选择“网络 > DNS > DNS客户端”，进入DNS客户端配置页面。

   # 输入域名服务器的IP地址为10.10.10.10，单击右侧<添加>按钮完成添加。

5. 创建源安全域local到目的安全域dns的安全策略，允许Device访问DNS服务器用于解析主机名

   # 选择“策略 > 安全策略 > 安全策略”，进入安全策略配置页面。

   # 单击<新建>按钮，选择新建策略，进入新建安全策略页面，配置如下。

   图-2 配置安全策略

   

   # 其他配置项保持默认情况即可。

   # 单击<确定>按钮，完成安全策略local-dns的配置。

6. 创建源安全域market、finance到目的安全域dns的安全策略，允许内网主机访问DNS服务器用于解析主机名

   # 选择“策略 > 安全策略 > 安全策略”，进入安全策略配置页面。

   # 单击<新建>按钮，选择新建策略，进入新建安全策略页面，配置如下。

   图-3 配置安全策略

   

   # 其他配置项保持默认情况即可。

   # 单击<确定>按钮，完成安全策略host-dns的配置。

7. 创建源安全域finance到目的安全域web的安全策略，允许财务部通过HTTP协议访问财务管理Web服务器

   # 选择“策略 > 安全策略 > 安全策略”，进入安全策略配置页面。

   # 单击<新建>按钮，选择新建策略，进入新建安全策略页面，配置如下。

   图-4 配置安全策略

   

   # 其他配置项保持默认情况即可。

   # 单击<确定>按钮，完成安全策略finance-web的配置。

8. 创建源安全域market到目的安全域web的安全策略，禁止市场部在任何时间通过HTTP协议访问财务管理Web服务器

   # 选择“策略 > 安全策略 > 安全策略”，选择新建策略，进入新建安全策略页面，进入安全策略配置页面。

   # 单击<新建>按钮，配置如下。

   图-5 配置安全策略

   

   # 其他配置项保持默认情况即可。

   # 单击<确定>按钮，完成安全策略market-web的配置。

验证配置

配置完成后，财务部可以访问财务管理服务器的Web服务，市场部任何时间均不可以访问财务管理服务器的Web服务。