防火墙平台怎么封禁域名
- 0关注
- 0收藏,238浏览
安全策略里限制就可以
配置步骤
1.终端和设备配置相同的DNS服务器
电脑侧:
2.设备侧配置
(1)配置接口IP地址
根据组网规划的信息,配置各接口的IP地址
(2) 配置接口加入安全域
创建安全域,并将接口加入对应的安全域
security-zone name trust
import interface gigabitethernet 1/0/1
security-zone name dns
import interface gigabitethernet 1/0/2
security-zone name baidu
import interface gigabitethernet 1/0/3
(3)配置对象
创建名为baidu的IP地址对象组,并定义其主机名称为www.baidu.com
object-group ip address baidu
network host name www.baidu.com
(4)配置DNS服务器地址
指定DNS服务器的IP地址为114.114.114.114,确保设备可以获取到主机名对应的IP地址
dns server 114.114.114.114
(5)配置安全策略
配置名称为dns的安全策略规则,允许设备访问DNS服务器
security-policy ip
rule name dns
source-zone local
destination-zone dns
destination-ip-host 114.114.114.114
action pass
配置名称为host-dns的安全策略规则,允许内网主机访问DNS服务器
rule name host-dns
source-zone trust
destination-zone dns
destination-ip-host 114.114.114.114
service dns-udp
action pass
配置名称为host-baidu的安全策略规则,禁止192.168.1.0/24的主机访问百度
rule name host-baidu
source-zone host
destination-zone baidu
source-ip-subnet 192.168.1.0 24
destination-ip baidu
action drop
(6)配置dns snooping ,此配置在新版本中必须配置
dns snooping enable
配置关键点
2.8860P13及之后版本要配置dns snooping,并且不能配置dns代理
配置dns snooping需要注意:
1)DNS Snooping设备只有位于DNS客户端与DNS服务器之间,或DNS客户端与DNS代理设备之间时,DNS Snooping功能配置后才能正常工作。
2)DNS Snooping功能和DNS源地址透明代理功能不能同时使用。
说明:DNS Snooping功能适用于基于域名过滤用户流量的场景。基于域名过滤用户流量时,需要获取域名对应的IP地址才能真正实现流量过滤。开启DNS Snooping功能后,设备会监听过路的DNS请求报文和DNS应答报文,如果DNS请求报文中的域名与过滤规则中的域名相同,设备会在收到该域名的响应报文时记录域名解析结果,并上报给过滤规则,使得过滤规则可以基于此域名对应的IP地址实现流量过滤。如果DNS请求报文中的域名与过滤规则中的域名不同,设备不会记录域名解析结果。
- 2025-08-08回答
- 评论(0)
- 举报
-
(0)
参考这个链接,web界面有直接可以把域名加入黑名单我也补充下:
https://www.h3c.com/cn/pub/Document_Center/2023/08/WebHelp_H3C_SecPath_FHQCP_DXPZALJ(V7)/default_auto.htm?CHID=904195
检索url过滤
域名可以配合通配符:
使用文本方式对主机名和URI字段进行匹配时,对星号“*”有如下的限制:
· 匹配主机名字段时,“*”只能出现在开头或结尾,表示通配符,代表0到多个任意字符。
· 匹配URI字段时,当“*”出现在开头或结尾,表示通配符,代表0到多个任意字符;当“*”出现在其他位置时,则作为普通字符进行匹配
# 选择“对象 > 应用安全 > URL过滤 > 配置文件”,单击<新建>按钮,进入新建URL过滤配置文件页面。创建名为urlfilter的URL过滤配置文件。
# 基础配置区域的配置如下。
· 名称:urlfilter
· 缺省动作:允许
· 勾选记录日志的复选框
· 其他配置项使用缺省值
# 在黑名单区域,单击<添加>按钮,进入“添加黑名单”页面,配置如下。
· 匹配模式:文本
· 主机名:***.***
图-2 配置黑名单
- 2025-08-08回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论