问题描述:
5000作为公网出口防火墙,不想内网用户去访问一些指定网站,现在拿淘宝做测试,主机名写了*淘宝.com,目的是前缀不管是什么,只要匹配了方问淘宝.com,都给它拒绝掉。但是访问淘宝后发现还是能正常上网。即使主机名直接写www.淘宝.com依然可以访问。是f5000不支持的地址对象里的主机名,不支持标识符还是我的策略写得有问题呢?
- 2025-06-19提问
- 举报
-
(0)
最佳答案
缺省情况下,设备仅对HTTP流量进行URL过滤,如果需要对HTTPS流量进行URL过滤,则可以选择如下方式:
①:使用SSL解密功能:先对HTTPS流量进行解密,然后再进行URL过滤。有关SSL解密功能的详细介绍,请参见“DPI深度安全配置指导”中的“代理策略”。
②:开启HTTPS流量过滤功能:不对HTTPS流量进行解密,直接对客户端发送的HTTPS的Client HELLO报文中的SNI(Sever Name Indication extension)字段进行检测,从中获取用户访问的服务器域名,使用获取到的域名与URL过滤策略进行匹配。
由于SSL解密功能涉及大量的加解密操作,会对设备的转发性能会产生较大的影响,建议在仅需要对HTTPS流量进行URL过滤业务处理的场景下开启HTTPS流量过滤功能。
本案例介绍使用SSL解密方式,测试PC在trust域,运营商出口在untrust域
配置步骤
一、生成CA证书
具体可以参考我的另一个案例:https://zhiliao.h3c.com/theme/details/140116
需要注意的是,导入到防火墙的CA证书需要包含密钥对,且要配置密码
二、防火墙导入SSL解密证书
策略---应用代理---SSL证书---SSL解密证书
三、配置代理策略
策略---应用代理---代理策略
四、配置URL过滤配置文件
对象---应用安全---URL过滤---配置文件
五、安全策略调用URL过滤配置文件
策略---安全策略
六、激活DPI配置
对象---应用安全---高级---配置激活
七、PC安装前面的可信证书到“信任的根证书颁发机构”
八、验证
配置关键点
1、导入到防火墙的CA证书需要包含密钥对,且要配置密码
2、SSL解密功能涉及大量的加解密操作,会对设备的转发性能会产生较大的影响,建议在仅需要对HTTPS流量进行URL过滤业务处理的场景下开启HTTPS流量过滤功能
HTTPS流量未解密
- 淘宝等大型网站普遍采用HTTPS加密(URL以
https://开头)。 - 防火墙默认无法解密HTTPS流量,因此无法检测加密报文中的Host字段(如
***.***)。 - 即使配置了主机名过滤规则,对HTTPS流量无效。
- 淘宝等大型网站普遍采用HTTPS加密(URL以
淘宝的域名结构复杂
- 淘宝页面依赖多个子域名(如
***.***、*.***.***等)。 - 仅阻断主域名
***.***会导致子资源加载失败(图片无法显示),但基础页面仍可能打开。
- 淘宝页面依赖多个子域名(如
解决方案(按优先级推荐)
方案1:启用HTTPS解密(彻底阻断)
# 步骤1:导入CA证书(需自行生成或购买)
system-view
object-group certificate ca-cert # 创建证书对象组
certificate import pem ca.p12 # 导入CA证书
# 步骤2:配置SSL解密策略
ssl decrypt policy TAOBAO_BLOCK
cipher-suite all # 解密所有加密算法
ca-certificate ca-cert # 绑定证书对象组
action decrypt # 执行解密操作
# 步骤3:应用解密策略到安全策略
security-policy ip
rule name BLOCK_TAOBAO
source-zone Trust
destination-zone Untrust
profile ssl-decrypt TAOBAO_BLOCK # 调用解密策略
url-filter apply policy BLOCK_TAOBAO_URL # 添加URL过滤策略
action deny # 拒绝访问
终端操作:
- 在用户浏览器安装CA证书(否则会报证书错误)。
方案2:DNS层阻断(快速生效但有限制)
# 创建DNS过滤策略阻止淘宝域名解析
dns-filter policy BLOCK_TAOBAO_DNS
rule 1 deny type qname pattern "****.***" # 阻断所有***.***解析
rule 2 deny type qname pattern "****.***" # 天猫域名通常关联
# 应用策略到内网接口
interface GigabitEthernet1/0/2 # 内网接口
dns-filter apply policy BLOCK_TAOBAO_DNS
效果:
- 用户访问淘宝时显示"无法解析域名",但无法阻止IP直连或VPN翻墙。
方案3:启用HTTPS SNI检测(无需解密)
# 使用HTTPS SNI扩展识别域名
url-filter policy BLOCK_TAOBAO
rule 1 deny host sni "*.***.***" # 匹配TLS握手SNI字段
前提条件:
- 防火墙版本需支持SNI检测(V7平台R8860P03+版本支持)。
操作优先级:
① 先尝试 DNS过滤方案(快速验证效果);
② 若需深度阻断,采用 HTTPS解密 或 SNI检测(根据设备版本选择)。
若您的设备版本不支持SNI检测且无法部署HTTPS解密,建议优先通过DNS过滤配合安全策略放通必要业务域名(如办公系统),其余域名默认拒绝。
- 2025-06-19回答
- 评论(0)
- 举报
-
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论