F5030-6GW 不支持通配符放通整个域名吗

支持使用通配符配置域名安全策略，但需注意以下要点：

1. 通配符使用规则：

   通配符位置：通配符*仅支持前置匹配，如*.baidu.com表示匹配所有baidu.com的子域名。配置www.baidu.*或类似后置通配符无效。

   对象组配置：在地址对象组中，需以network host name *.baidu.com形式声明通配符域名，并确保DNS代理功能开启，使设备能动态解析域名。

2. DNS相关配置：

   DNS代理：需启用本地DNS代理（dns proxy enable），确保设备代替终端进行DNS解析，避免终端与设备解析结果不一致。

   DNS服务器可达性：检查设备到DNS服务器的连通性，若无法解析域名，策略会因无IP匹配而失效。

3. 策略配置验证：

   安全策略日志：通过display security-policy statistics查看策略命中情况，确认是否因规则顺序或优先级问题未匹配。

   DNS Snooping：使用display system internal dns snooping host验证设备是否监听到域名解析记录，确保动态IP被策略识别。

4. 特殊场景处理：

   VPN实例：若涉及多VRF场景，需在地址对象组中添加vpn-instance参数，如network host name *.baidu.com vpn-instance xxx，确保跨域解析生效。

5. 版本兼容性：确认防火墙软件版本为D045分支及以上（如R9628P2416），早期版本（如D032分支）可能不支持策略组或特定通配符功能。

配置示例：

# 创建地址对象组

object-group ip address Baidu_Group

 0 network host name *.baidu.com

# 应用安全策略

security-policy ip

 rule 10 name Allow_Baidu

  action pass

  source-zone trust

  destination-zone untrust

  destination-ip Baidu_Group

若仍不生效，建议依次排查DNS解析、策略顺序、会话表（display session table verbose）及版本兼容性，确保通配符策略正确执行。