• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

防火墙标识通配符问题

2025-06-19提问
  • 0关注
  • 1收藏,371浏览
粉丝:0人 关注:0人

问题描述:

5000作为公网出口防火墙,不想内网用户去访问一些指定网站,现在拿淘宝做测试,主机名写了*淘宝.com,目的是前缀不管是什么,只要匹配了方问淘宝.com,都给它拒绝掉。但是访问淘宝后发现还是能正常上网。即使主机名直接写www.淘宝.com依然可以访问。是f5000不支持的地址对象里的主机名,不支持标识符还是我的策略写得有问题呢?

最佳答案

粉丝:116人 关注:9人

缺省情况下,设备仅对HTTP流量进行URL过滤,如果需要对HTTPS流量进行URL过滤,则可以选择如下方式:


①:使用SSL解密功能:先对HTTPS流量进行解密,然后再进行URL过滤。有关SSL解密功能的详细介绍,请参见“DPI深度安全配置指导”中的“代理策略”。

②:开启HTTPS流量过滤功能:不对HTTPS流量进行解密,直接对客户端发送的HTTPS的Client HELLO报文中的SNI(Sever Name Indication extension)字段进行检测,从中获取用户访问的服务器域名,使用获取到的域名与URL过滤策略进行匹配。


由于SSL解密功能涉及大量的加解密操作,会对设备的转发性能会产生较大的影响,建议在仅需要对HTTPS流量进行URL过滤业务处理的场景下开启HTTPS流量过滤功能。


本案例介绍使用SSL解密方式,测试PC在trust域,运营商出口在untrust域


配置步骤

一、生成CA证书

具体可以参考我的另一个案例:https://zhiliao.h3c.com/theme/details/140116 

需要注意的是,导入到防火墙的CA证书需要包含密钥对,且要配置密码


二、防火墙导入SSL解密证书

策略---应用代理---SSL证书---SSL解密证书


三、配置代理策略

策略---应用代理---代理策略


四、配置URL过滤配置文件

对象---应用安全---URL过滤---配置文件


五、安全策略调用URL过滤配置文件

策略---安全策略



六、激活DPI配置

对象---应用安全---高级---配置激活


七、PC安装前面的可信证书到“信任的根证书颁发机构”

八、验证




配置关键点

1、导入到防火墙的CA证书需要包含密钥对,且要配置密码

2、SSL解密功能涉及大量的加解密操作,会对设备的转发性能会产生较大的影响,建议在仅需要对HTTPS流量进行URL过滤业务处理的场景下开启HTTPS流量过滤功能





  1. HTTPS流量未解密

    • 淘宝等大型网站普遍采用HTTPS加密(URL以https://开头)。
    • 防火墙默认无法解密HTTPS流量,因此无法检测加密报文中的Host字段(如***.***)。
    • 即使配置了主机名过滤规则,对HTTPS流量无效。
  2. 淘宝的域名结构复杂

    • 淘宝页面依赖多个子域名(如***.****.***.***等)。
    • 仅阻断主域名***.***会导致子资源加载失败(图片无法显示),但基础页面仍可能打开。

解决方案(按优先级推荐)

方案1:启用HTTPS解密(彻底阻断)

# 步骤1:导入CA证书(需自行生成或购买) system-view object-group certificate ca-cert # 创建证书对象组 certificate import pem ca.p12 # 导入CA证书 # 步骤2:配置SSL解密策略 ssl decrypt policy TAOBAO_BLOCK cipher-suite all # 解密所有加密算法 ca-certificate ca-cert # 绑定证书对象组 action decrypt # 执行解密操作 # 步骤3:应用解密策略到安全策略 security-policy ip rule name BLOCK_TAOBAO source-zone Trust destination-zone Untrust profile ssl-decrypt TAOBAO_BLOCK # 调用解密策略 url-filter apply policy BLOCK_TAOBAO_URL # 添加URL过滤策略 action deny # 拒绝访问

终端操作

  • 在用户浏览器安装CA证书(否则会报证书错误)。

方案2:DNS层阻断(快速生效但有限制)

# 创建DNS过滤策略阻止淘宝域名解析 dns-filter policy BLOCK_TAOBAO_DNS rule 1 deny type qname pattern "****.***" # 阻断所有***.***解析 rule 2 deny type qname pattern "****.***" # 天猫域名通常关联 # 应用策略到内网接口 interface GigabitEthernet1/0/2 # 内网接口 dns-filter apply policy BLOCK_TAOBAO_DNS

效果

  • 用户访问淘宝时显示"无法解析域名",但无法阻止IP直连或VPN翻墙

方案3:启用HTTPS SNI检测(无需解密)

# 使用HTTPS SNI扩展识别域名 url-filter policy BLOCK_TAOBAO rule 1 deny host sni "*.***.***" # 匹配TLS握手SNI字段

前提条件

  • 防火墙版本需支持SNI检测(V7平台R8860P03+版本支持)。


操作优先级
① 先尝试 DNS过滤方案(快速验证效果);
② 若需深度阻断,采用 HTTPS解密 或 SNI检测(根据设备版本选择)。

若您的设备版本不支持SNI检测且无法部署HTTPS解密,建议优先通过DNS过滤配合安全策略放通必要业务域名(如办公系统),其余域名默认拒绝。



暂无评论

0 个回答

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明