• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

F100防火墙策略无法完全阻断网站

2025-05-15提问
  • 0关注
  • 0收藏,404浏览
粉丝:0人 关注:0人

问题描述:

F100防火墙,第一条策略设置了禁止any访问163.com但是防火墙下得主机访问网163网站还是会出现网页文字,只是没有图片和排版

最佳答案

粉丝:116人 关注:9人

防火墙要做DNS代理


配置需求或说明

1.1  适用的产品系列

本案例适用于软件平台为Comware V7系列防火墙:本案例适用于如F5080、F5060、F5030、F5000-M等F5000、F5000-X系列的防火墙。

注:本案例是在F100-C-G2Version 7.1.064, Release 9510P08版本上进行配置和验证的。

1.2  配置需求及实现的效果

防火墙部署在互联网出口,需要实现通过安全策略限制访问www.baidu.com的目的。

组网图


配置步骤

配置步骤

1.1  防火墙连接互联网配置

上网配置略,请参考《轻轻松松配安全》2.1章节防火墙连接互联网上网配置方法案例。

1.2  开启本地DNS代理

#开启设备本地DNS代理功能,用于解析域名。

 

1.3  配置安全策略

#在“策略”>“安全策略”中点击新建,创建名称为“denybaidu”的安全策略,源安全域为“trust”,动作选择拒绝,目的地址位置点击下拉菜单后点击“添加IPV4地址对象组”。


 #新建对象组名为“baidu”的对象组,点击添加按钮。


#对象选择主机名,输入www.baidu.com点击确定完成配置。


#检查配置无误后点击确认按钮完成配置;


#在“策略”>“安全策略”中继续新建名称为“passany”的安全策略,源安全域为“trust”、目的安全域为“untrust”、动作选择允许。


1.4  保存配置


 

1.5  测试结果

使用浏览器打开www.baidu.com,不能正常访问:


使用浏览器打开***.***,可以正常访问:


查看pc针对百度解析的地址为39.156.66.18


查看设备的安全策略日志,可以看到针对改目的ip已成功拒绝(第三条):

暂无评论

3 个回答
粉丝:125人 关注:1人

因为现在的网站都是各种调用,不是单一url

你访问一个163,按下F12,会出现一堆网址

所以你要在浏览器界面按下F12,统计下163后端所有链接地址


暂无评论

粉丝:40人 关注:6人

防火墙需要通过dns代理或者dns snooping实现基于域名的安全策略功能。
可参考如下:
1)开启本地DNS代理
\#开启设备本地DNS代理功能,用于解析域名。
system-view
System View: return to User View with Ctrl+Z.
[H3C]dns proxy enable
[H3C]dns server 114.114.114.114
2)修改DHCP服务器DNS为设备接口地址
\#如果防火墙作为DNS服务器则需要保证下发给终端地址时,客户端DNS为防火墙接口地址;
[H3C]dhcp server ip-pool 2
[H3C-dhcp-pool-2]gateway-list 192.168.2.1
[H3C-dhcp-pool-2]network 192.168.2.0 mask 255.255.255.0
[H3C-dhcp-pool-2]dns-list 192.168.2.1
[H3C-dhcp-pool-2]quit
防火墙开启DNS代理后,如果终端将DNS请求发向防火墙则防火墙会替代向外网发起DNS解析请求,DNS回应报文返回防火墙后再由防火墙转发至终端,这样做的目的是保证终端和防火墙解析的地址相同。
3)配置安全策略
\#创建地址对象组,地址对象组名称为baidu.使用基于主机的形式关联域名:www.baidu.com.
[H3C]object-group ip address baidu
[H3C-obj-grp-ip-baidu]0 network host name www.baidu.com
[H3C-obj-grp-ip-baidu]quit
\#创建安全策略规则1名称为“baidu-deny”源安全域为“trust”、目的IP为名称为“baidu”的地址对象,安全策略默认策略为拒绝;创建安全策略规则2名称为“passany”源安全域为“trust”、目的安全域为“untrust”,动作配置为“pass”放通所有数据。
[H3C]security-policy ip
[H3C-security-policy-ip]rule 1 name baidu-deny
[H3C-security-policy-ip-1-denybaidu]source-zone trust
[H3C-security-policy-ip-1-denybaidu]destination-ip baidu
[H3C-security-policy-ip-1-denybaidu]quit
[H3C-security-policy-ip]rule 2 name passany
[H3C-security-policy-ip-2-passany]action pass
[H3C-security-policy-ip-2-passany]source-zone trust
[H3C-security-policy-ip-2-passany]destination-zone untrust
[H3C-security-policy-ip-2-passany]quit
4)保存配置
[H3C]save force

可参考案例:
防火墙通过安全策略实现过滤HTTPS网站配置方法(WEB界面):https://zhiliao.h3c.com/Theme/details/133027
防火墙通过安全策略实现过滤HTTPS网站配置方法(命令行):https://zhiliao.h3c.com/Theme/details/133026
Comware V7防火墙URL过滤实现禁止访问某网站:https://zhiliao.h3c.com/Theme/details/7783


暂无评论

粉丝:32人 关注:1人

检查一下你的防火墙是否能正常解析域名,不能的话需要单独的配置DNS服务器

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明