防火墙上如何设置只允许内网电脑访问***.***/?from=openv ***.***/这两个网址,其他网址都不能访问
- 0关注
- 1收藏,4151浏览
问题描述:
- 2021-03-02提问
- 举报
-
(0)
最佳答案
防火墙URL过滤只能过滤http的网站,其次可以使用安全策略过滤https的,可以参考如下案例。
本案例适用于软件平台为Comware V7系列防火墙:如F1080、F1070、F5040、F5020等F10X0、F50X0系列的防火墙。
注:本案例是在F100-C-G2的Version 7.1.064, Release 9510P08版本上进行配置和验证的。
防火墙部署在互联网出口,需要实现通过安全策略限制访问www.baidu.com的目的。
2 组网图
配置步骤
上网配置略,请参考《轻轻松松配安全》2.1章节防火墙连接互联网上网配置方法案例。
1.2 开启本地DNS代理
#开启设备本地DNS代理功能,用于解析域名。
#在“策略”>“安全策略”中点击新建,创建名称为“denybaidu”的安全策略,源安全域为“trust
#新建对象组名为“baidu”的对象组,点击添加按钮。
#对象选择主机名,输入www.baidu.com点击确定完成配置。
#检查配置无误后点击确认按钮完成配置;
#在“策略”>“安全策略”中继续新建名称为“passany”的安全策略,源安全域为“trust”、目的安全域为“untrust”、动作选择允许。
使用浏览器打开www.baidu.com,不能正常访问:
使用浏览器打开***.***,可以正常访问:
查看pc针对百度解析的地址为39.156.66.18:
查看设备的安全策略日志,可以看到针对改目的ip已成功拒绝(第三条):
- 2021-03-02回答
- 评论(0)
- 举报
-
(0)
可以采用基于域名的方式做策略,主要步骤如下:
1、地址对象组直接配置域名
2、安全策略引用该对象组
3、设备和客户端配置相同的可以出公网的DNS服务器保持客户端和设备域名解析结果相同
例:配合安全策略,放通trust域访问https://www.baidu.com
#
object-group ip address baidu
0 network host name www.baidu.com
#
#
rule 200 name passbaidu
action pass
source-zone trust
destination-ip baidu
#
#
dns proxy enable
dns server 10.72.66.37
dns server 10.72.66.36
#
要求设备配置DNS服务器,可以对主机名进行解析。
实现原理是防火墙对主机名进行解析,得到IP地址,安全/域间策略在工作时依旧匹配IP地址。
设备每5分钟更新一次,可以使用命令display dns host查询解析结果。
- 2021-03-02回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论