问

F100防火墙策略无法完全阻断网站

数据过滤

2025-05-15提问

0关注
0收藏，466浏览

zhiliao_UQQ5jp

zhiliao_UQQ5jp 零段

粉丝：0人关注：0人

问题描述：

F100防火墙，第一条策略设置了禁止any访问163.com但是防火墙下得主机访问网163网站还是会出现网页文字，只是没有图片和排版

最佳答案

zhiliao_sEUyB

zhiliao_sEUyB 九段

粉丝：109人关注：9人

防火墙要做DNS代理

1 配置需求或说明

1.1 适用的产品系列

本案例适用于软件平台为Comware V7系列防火墙：本案例适用于如F5080、F5060、F5030、F5000-M等F5000、F5000-X系列的防火墙。

注：本案例是在F100-C-G2的Version 7.1.064, Release 9510P08版本上进行配置和验证的。

1.2 配置需求及实现的效果

防火墙部署在互联网出口，需要实现通过安全策略限制访问 www.baidu.com的目的。

2 组网图

配置步骤

1 配置步骤

1.1 防火墙连接互联网配置

上网配置略，请参考《轻轻松松配安全》2.1章节防火墙连接互联网上网配置方法案例。

1.2 开启本地DNS代理

#开启设备本地DNS代理功能，用于解析域名。

1.3 配置安全策略

#在“策略”>“安全策略”中点击新建，创建名称为“denybaidu”的安全策略，源安全域为“trust”，动作选择拒绝，目的地址位置点击下拉菜单后点击“添加IPV4地址对象组”。

#新建对象组名为“baidu”的对象组，点击添加按钮。

#对象选择主机名，输入www.baidu.com点击确定完成配置。

#检查配置无误后点击确认按钮完成配置；

#在“策略”>“安全策略”中继续新建名称为“passany”的安全策略，源安全域为“trust”、目的安全域为“untrust”、动作选择允许。

1.4 保存配置

1.5 测试结果

使用浏览器打开www.baidu.com,不能正常访问：

使用浏览器打开***.***,可以正常访问：

查看pc针对百度解析的地址为39.156.66.18：

查看设备的安全策略日志，可以看到针对改目的ip已成功拒绝（第三条）：

暂无评论

3 个回答

按时间按赞数

叫我靓仔

叫我靓仔九段

粉丝：128人关注：1人

因为现在的网站都是各种调用，不是单一url

你访问一个163，按下F12，会出现一堆网址

所以你要在浏览器界面按下F12，统计下163后端所有链接地址

暂无评论

zhiliao_东方老赢

zhiliao_东方老赢九段

粉丝：40人关注：3人

防火墙需要通过dns代理或者dns snooping实现基于域名的安全策略功能。
可参考如下：
1）开启本地DNS代理
\#开启设备本地DNS代理功能，用于解析域名。
system-view
System View: return to User View with Ctrl+Z.
[H3C]dns proxy enable
[H3C]dns server 114.114.114.114
2）修改DHCP服务器DNS为设备接口地址
\#如果防火墙作为DNS服务器则需要保证下发给终端地址时，客户端DNS为防火墙接口地址；
[H3C]dhcp server ip-pool 2
[H3C-dhcp-pool-2]gateway-list 192.168.2.1
[H3C-dhcp-pool-2]network 192.168.2.0 mask 255.255.255.0
[H3C-dhcp-pool-2]dns-list 192.168.2.1
[H3C-dhcp-pool-2]quit
防火墙开启DNS代理后，如果终端将DNS请求发向防火墙则防火墙会替代向外网发起DNS解析请求，DNS回应报文返回防火墙后再由防火墙转发至终端，这样做的目的是保证终端和防火墙解析的地址相同。
3）配置安全策略
\#创建地址对象组，地址对象组名称为baidu.使用基于主机的形式关联域名：www.baidu.com.
[H3C]object-group ip address baidu
[H3C-obj-grp-ip-baidu]0 network host name www.baidu.com
[H3C-obj-grp-ip-baidu]quit
\#创建安全策略规则1名称为“baidu-deny”源安全域为“trust”、目的IP为名称为“baidu”的地址对象，安全策略默认策略为拒绝；创建安全策略规则2名称为“passany”源安全域为“trust”、目的安全域为“untrust”，动作配置为“pass”放通所有数据。
[H3C]security-policy ip
[H3C-security-policy-ip]rule 1 name baidu-deny
[H3C-security-policy-ip-1-denybaidu]source-zone trust
[H3C-security-policy-ip-1-denybaidu]destination-ip baidu
[H3C-security-policy-ip-1-denybaidu]quit
[H3C-security-policy-ip]rule 2 name passany
[H3C-security-policy-ip-2-passany]action pass
[H3C-security-policy-ip-2-passany]source-zone trust
[H3C-security-policy-ip-2-passany]destination-zone untrust
[H3C-security-policy-ip-2-passany]quit
4）保存配置
[H3C]save force

可参考案例：
防火墙通过安全策略实现过滤HTTPS网站配置方法(WEB界面)：https://zhiliao.h3c.com/Theme/details/133027
防火墙通过安全策略实现过滤HTTPS网站配置方法（命令行）：https://zhiliao.h3c.com/Theme/details/133026
Comware V7防火墙URL过滤实现禁止访问某网站：https://zhiliao.h3c.com/Theme/details/7783