组网:
PC-----FW----公网
现场想在FW上做基于域名的安全策略,使PC(192.168.4.0网段)只能访问exmai.qq.com,其它网站不能访问
现场在地址对象组中只调用exmail.qq.com,结果PC打不开该网页
方法
1.
然后PC测试,将主域名对应的各个域名都找到
url-filter category ceshi severity 2000
rule 1 host text exmail.qq.com
url-filter policy ceshi
https-filter enable
default-action drop logging
category ceshi action permit
category Pre-Games action drop logging
security-policy ip
rule 100 name ceshi
action pass
source-zone trust
destination-zone untrust
source-ip ceshi
destination-ip ceshi1
rule 11 name guanli
比如exmail对应了以下8个域名
exmail.qq.com
rule 1 host text exmail.qq.com
rule 2 host text ***.***
rule 3 host text ***.***
rule 4 host text ***.***
rule 5 host text ***.***
rule 6 host text ***.***
rule 7 host text ***.***
rule 8 host text ***.***
然后安全策略目的地址域名对应加上即可
object-group ip address ceshi1
0 network host name exmail.qq.com
10 network host name ***.***
20 network host name ***.***
30 network host name ***.***
40 network host name ***.***
50 network host name ***.***
60 network host name ***.***
70 network host name update.googleapis.c
基于域名的安全策略通用方法
首先将PC的DNS指向FW,FW做DNS代理
FW配置DNS服务器
安全策略
Trust到local的,用于PC向FW拿地址 rule id 11
Local到UNtrust,用于FW向公网拿地址rule id 10
Trust到UNtrust,用于PC访问特定的域名rule id 100
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作