本案例适用于软件平台为Comware V7系列防火墙:如F1000-A-G2、F1000-S-G2、F100-M-G2、F100-S-G2等F1000-X-G2、F100-X-G2系列的防火墙。
注:本案例是在F100-C-G2的Version 7.1.064, Release 9510P08版本上进行配置和验证的。
防火墙部署在互联网出口,需要实现通过安全策略限制访问www.baidu.com的目的。
上网配置略,请参考《轻轻松松配安全》2.1章节防火墙连接互联网上网配置方法案例。
1.2 开启本地DNS代理
#开启设备本地DNS代理功能,用于解析域名。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C]dns proxy enable
[H3C]dns server 114.114.114.114
1.3 修改DHCP服务器DNS为设备接口地址
#如果防火墙作为DNS服务器则需要保证下发给终端地址时,客户端DNS为防火墙接口地址;
[H3C]dhcp server ip-pool 2
[H3C-dhcp-pool-2]gateway-list 192.168.2.1
[H3C-dhcp-pool-2]network 192.168.2.0 mask 255.255.255.0
[H3C-dhcp-pool-2]dns-list 192.168.2.1
[H3C-dhcp-pool-2]quit
防火墙开启DNS
#创建地址对象组,地址对象组名称为baidu.使用基于主机的形式关联域名:www.baidu.com.
[H3C]object-group ip address baidu
[H3C-obj-grp-ip-baidu]0 network host name www.baidu.com
[H3C-obj-grp-ip-baidu]quit
#创建安全策略规则1名称为“baidu-deny”源安全域为“trust
[H3C]security-policy ip
[H3C-security-policy-ip]rule 1 name baidu-deny
[H3C-security-policy-ip-1-denybaidu]source-zone trust
[H3C-security-policy-ip-1-denybaidu]destination-ip baidu
[H3C-security-policy-ip-1-denybaidu]quit
[H3C-security-policy-ip]rule 2 name passany
[H3C-security-policy-ip-2-passany]action pass
[H3C-security-policy-ip-2-passany]source-zone trust
[H3C-security-policy-ip-2-passany]destination-zone untrust
[H3C-security-policy-ip-2-passany]quit
[H3C]save force
使用浏览器打开www.baidu.com,不能正常访问:
使用浏览器打开***.***,可以正常访问:
查看pc
查看设备的安全策略日志,可以看到针对改目的ip
无
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作