F1000-E-G5是否支持配置域名访问黑名单? 需要配置授权吗?
- 0关注
- 0收藏,237浏览
问题描述:
F1000-E-G5是否支持配置域名访问黑名单? 需要配置什么授权?官网上参数配置指导哪个部分呢,麻烦提供一下链接,谢谢各位!
- 2024-06-04提问
- 举报
-
(0)
最佳答案
Q1: 实现基于域名的安全策略需要下发的配置能有哪些?
A1:安全策略放通dns解析流量;配置域名对象组;安全策略调用该域名对象组;开启dns snooping功能。示例如下:
#
dns snooping enable
#
object-group ip address dns_snooping
0 network host name ***.***
#
#
security-policy ip
rule 0 name dns
action pass
service dns-udp
rule 1 name dns_snooping
action pass
destination-ip dns_snooping
#
Q2:如何查看FW记录的解析结果
A2:参考命令如下:
#
RBM_P<FW_01>disp object-group ip host object-group-name dns_snooping ---显示主机名对应IP地址的相关信息
object group : dns_snooping
Object ID : 0
Host name : ***.***
VPN instance : -
Updated at : 2024-02-23 18:40:16
IP addresses :
106.11.45.35
106.11.211.236 ---域名对应的IP,该表项存在则安全策略生效
#
RBM_P[FW_01-probe]disp system internal dns snooping host ---显示DNS Snooping记录的域名解析信息,该表项的老化时间由dns回应报文的老化时间决定
Total number: 1
No. Host name Server TTL QType IP addresses
1 ***.*** 114.114.114.114 104 A 106.11.45.35
#
RBM_P[FW_01-probe]disp system internal dns kernel snooping-rule host ---显示内核中DNS Snooping监听域名解析结果的规则,查看配置是否生效
Slot: 1
Type:
D: Domain S: Subdomain
No. VPN instance Domain/Subdomain Rule-type QTYPE IgnoreVpn
1 ***.*** D A N
实际使用中,前两条命令经常会用到,以对比终端dns解析结果和FW上记录表项是否一致。
- 2024-06-04回答
- 评论(2)
- 举报
-
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
请问需要加授权吗?还是设备本身能实现呀
这个不需要,URL功能需要加授权