问题描述:
大家好,
我这里有个需求,要求PCA 只能访问 *.baidu.com,其余都不能访问。
具体是怎样实现呢??
是在这里添加白名单吗?
然后策略该怎样做?? 策略是拒绝所有?然后内容安全选择新建的白名单??
组网及组网描述:
- 2021-10-29提问
- 举报
-
(0)
最佳答案
本案例适用于软件平台为Comware V7系列防火墙:如M9006、M9010、M9014等M9K系列的防火墙。
注:本案例是在F100-C-G2的Version 7.1.064, Release 9510P08版本上进行配置和验证的。
防火墙部署在互联网出口,需要实现通过安全策略限制访问www.baidu.com的目的。
2 组网图
配置步骤
上网配置略,请参考《轻轻松松配安全》2.1章节防火墙连接互联网上网配置方法案例。
1.2 开启本地DNS代理
#开启设备本地DNS代理功能,用于解析域名。
#在“策略”>“安全策略”中点击新建,创建名称为“denybaidu”的安全策略,源安全域为“trust
#新建对象组名为“baidu”的对象组,点击添加按钮。
#对象选择主机名,输入www.baidu.com点击确定完成配置。
#检查配置无误后点击确认按钮完成配置;
#在“策略”>“安全策略”中继续新建名称为“passany”的安全策略,源安全域为“trust”、目的安全域为“untrust”、动作选择允许。
使用浏览器打开www.baidu.com,不能正常访问:
使用浏览器打开***.***,可以正常访问:
查看pc针对百度解析的地址为39.156.66.18:
查看设备的安全策略日志,可以看到针对改目的ip已成功拒绝(第三条):
- 2021-10-29回答
- 评论(6)
- 举报
-
(0)
这案例我也看过,但达不到我想要的效果,对象中只能写死,要么是IP要么是主机名。我想要填的是通配符
可以模糊匹配
主机名不能模糊匹配的,只有在URL过滤那里才可以
可以写baidu.com
如果写baidu.com就达不到要求了
这个要求客户端dns改成防火墙地址吧?
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
这个要求客户端dns改成防火墙地址吧?