H3C SecPath F5030 防火墙策略配置放通问题
- 0关注
- 0收藏,93浏览
问题描述:
防火墙版本信息:
H3C Comware Software, Version 7.1.064, Release 9606P29
Copyright (c)2004-2019 New H3C Technologies Co., Ltd. All rights reserved.
网络结构如下:
运营商网线连接客户路由器设备,实现客户终端访问互联网
现在的需求: 实现防火墙串接在运营商和客户路由器设备之间,最好以透明的方式,实现用户终端可以访问互联网且阻断特定的域名访问,以百度www.baidu.com这个域名进行测试。 测试不成功,求问配置步骤和注意事项?
组网及组网描述:
测试过程
在防火墙上创建内网安全域和外网安全域,内网安全域加入接口G 1/0/3 连接客户路由器设备,外网安全域加入接口G1/0/2连接运营商网线,
创建安全策略,双向放通内网和外网所有ip的流量,调用url阻断www.baidu.com阻断设置, 将安全策略置顶。
这时,百度仍然能够访问。 更改G 1/0/3 和G1/0/2接口为三层接口后,其他策略不变,所有互联网访问都不成功。
找不到问题在哪里
网络拓扑分析
互联网 ←→ GE1/0/3(DX_wai1) ←→ 防火墙 ←→ GE1/0/0(DX_nei1) ←→ 客户路由器 ←→ 用户终端
第一步:配置透明模式基础网络
1.1 创建二层桥组
# 进入系统视图
system-view
# 创建桥组(透明模式核心配置)
bridge 1 enable
# 将接口加入桥组(创建二层接口)
interface Bridge-Aggregation 1
port link-mode bridge
# 将物理接口加入桥组
interface GigabitEthernet1/0/0
port link-mode bridge
port link-aggregation group 1
interface GigabitEthernet1/0/3
port link-mode bridge
port link-aggregation group 1
1.2 配置接口IP(管理用途)
# 创建VLAN接口用于管理(可选)
interface Vlan-interface100
ip address 192.168.100.1 255.255.255.0
# 或者使用环回口管理
interface LoopBack0
ip address 192.168.100.1 255.255.255.255
第二步:配置安全域和接口绑定
2.1 确认当前安全域配置
根据您的截图,已有:
DX_nei1安全域:包含GE1/0/0(内网侧)
DX_wai1安全域:包含GE1/0/3(外网侧)
2.2 配置安全域参数
# 配置内网安全域
security-zone name DX_nei1
import interface GigabitEthernet1/0/0
# 配置外网安全域
security-zone name DX_wai1
import interface GigabitEthernet1/0/3
第三步:配置域名阻断策略
3.1 创建URL过滤配置文件
# 创建URL分类(阻断百度)
url-filter category deny_baidu
add pattern "baidu.com"
add pattern "www.baidu.com"
# 创建URL过滤配置文件
url-filter profile block_baidu
category pre-defined deny_baidu action deny
category pre-defined others action permit
3.2 创建应用层检测策略
# 创建APR(应用层检测)策略
app-profile baidu_block
url-filter apply profile block_baidu
3.3 配置安全策略启用应用检测
根据您的截图,现有策略"DX1"需要修改:
Web界面操作路径:
进入"策略" → "安全策略"
编辑"DX1"策略
在"内容安全"选项卡中配置:
# 对应命令行配置
security-policy ip
rule name DX1
source-zone DX_nei1
destination-zone DX_wai1
source-ip any
destination-ip any
action pass
application all
# 关键:启用应用层检测
profile app baidu_block
第四步:DNS过滤配置(增强阻断)
4.1 配置DNS过滤策略
# 创建DNS过滤配置文件
dns-filter profile block_baidu_dns
blacklist url "baidu.com"
blacklist url "www.baidu.com"
# 创建DNS过滤策略
dns-filter policy 1
profile block_baidu_dns
4.2 应用DNS过滤到安全策略
security-policy ip
rule name DX1
profile dns-filter dns-filter-policy 1
第五步:Web界面配置步骤
5.1 配置URL过滤(Web操作)
进入"对象" → "内容安全" → "URL过滤"
创建URL分类:"deny_baidu"
添加URL模式:*.baidu.com、baidu.com
创建URL过滤配置文件
名称:"block_baidu"
对"deny_baidu"分类设置动作为"阻断"
5.2 配置安全策略(关键步骤)
进入"策略" → "安全策略"
编辑现有策略"DX1"或新建策略
源安全域:DX_nei1
目的安全域:DX_wai1
动作:允许
内容安全配置:
URL过滤:选择"block_baidu"配置文件
应用检测:启用
第六步:高级域名阻断方案
6.1 使用DPI深度检测
# 创建应用识别特征
app-function baidu_app
signature 1 name "baidu_web"
protocol tcp
pattern "Host:.*baidu"
# 应用识别配置文件
app-profile dpi_baidu_block
app-function baidu_app action deny
6.2 SSL加密流量识别(如支持)
# 配置SSL解密策略(如防火墙支持)
ssl decryption policy baidu_ssl
rule 1 domain baidu.com action decrypt
第七步:验证和测试配置
7.1 检查策略状态
# 查看安全策略配置
display security-policy ip
# 查看URL过滤统计
display url-filter statistics
# 查看会话信息
display session table domain baidu.com
7.2 测试步骤
基础连通性测试
# 从内网测试到外网连通性
ping 8.8.8.8
域名阻断测试
# 测试百度域名访问
nslookup www.baidu.com # DNS应正常解析
telnet www.baidu.com 80 # HTTP连接应被阻断
流量监控
# 实时监控策略命中
display security-policy hit-count rule-name DX1
第八步:故障排查指南
8.1 常见问题解决
问题1:策略不生效
检查策略是否启用
确认"立即加速"已执行
查看策略命中计数
问题2:域名仍可访问
检查URL分类规则是否正确
确认流量匹配安全策略
测试HTTPS访问(可能需要SSL解密)
问题3:网络中断
检查桥组配置是否正确
确认接口物理状态
验证安全策略动作为"允许"
8.2 诊断命令
# 完整诊断信息
display diagnostic-information
# 会话详细信息
display session table verbose
# 策略调试
debugging security-policy all
注意事项
策略生效:配置变更后务必点击"立即加速"
内容安全提交:URL过滤配置需要提交生效
HTTPS流量:如需要阻断HTTPS访问,需配置SSL解密
性能影响:应用层检测会稍微影响性能
许可证要求:确认URL过滤功能许可证有效
按照以上步骤配置,应该能够实现透明模式部署并有效阻断百度域名访问。如果仍有问题,请提供具体的测试结果和错误信息。
www.baidu.com,而百度现在默认使用HTTPS协议。如果只配置HTTP过滤,HTTPS流量仍然可以正常访问。HTTPS URL过滤的必要性
当前网络流量特征
- 百度访问:95%以上为HTTPS加密流量
- HTTP重定向:即使输入http://www.baidu.com,也会重定向到HTTPS
- 加密挑战:HTTPS流量加密,传统URL过滤无效
HTTPS过滤方案对比
| 方案 | 原理 | 优点 | 缺点 | 适用场景 |
|---|---|---|---|---|
| SNI过滤 | 提取TLS握手阶段的SNI字段 | 性能好,无需解密 | 只能识别域名,不能识别完整URL | 推荐用于域名阻断 |
| SSL解密 | 中间人解密HTTPS流量 | 可识别完整URL路径 | 需要部署证书,性能开销大 | 需要精细URL控制的场景 |
方案一:SNI过滤(推荐用于域名阻断)
1.1 配置SSL代理策略(SNI检测)
# 创建SSL客户端策略(检测出站HTTPS流量)
ssl client-policy sni_detect
session cache-size 10000
session timeout 3600
# 创建SSL动作策略
ssl action-policy baidu_block
action drop
cipher-suite all
client-verify-fail allow
# 创建SSL规则匹配百度域名
ssl rule-policy block_baidu
rule 1 domain baidu.com action-policy baidu_block
rule 2 domain www.baidu.com action-policy baidu_block1.2 应用SSL策略到安全策略
security-policy ip
rule name DX1
source-zone DX_nei1
destination-zone DX_wai1
source-ip any
destination-ip any
action pass
application all
# 应用SSL策略
profile ssl-client sni_detect
profile ssl-rule-policy block_baidu方案二:SSL解密(全面HTTPS控制)
2.1 配置SSL解密策略
# 创建CA证书(用于中间人解密)
pki domain baidu_decrypt
certificate request from terminal
# 创建SSL解密策略
ssl decryption policy baidu_decrypt
ca-certificate apply domain baidu_decrypt
rule 1 domain baidu.com action decrypt
rule 2 domain www.baidu.com action decrypt
# 配置解密参数
ssl decryption algorithm rsa general
ssl decryption mirror-to interface null02.2 应用SSL解密到安全策略
security-policy ip
rule name DX1
profile ssl-decryption baidu_decrypt
profile app baidu_block # 原有的URL过滤策略方案三:DNS过滤 + SNI过滤(最实用方案)
3.1 增强DNS过滤配置
# 创建增强的DNS过滤策略
dns-filter profile block_baidu_enhanced
blacklist url "baidu.com"
blacklist url "www.baidu.com"
blacklist url "*.baidu.com"
# 启用HTTPS网站过滤
https-sni-block enable
# 应用DNS过滤
dns-filter policy 1
profile block_baidu_enhanced
action block3.2 完整的安全策略配置
security-policy ip
rule name Block_Baidu_All
description "阻断所有百度访问"
source-zone DX_nei1
destination-zone DX_wai1
source-ip any
destination-ip any
# 应用多层过滤
profile dns-filter dns-filter-policy 1 # DNS层阻断
profile ssl-client sni_detect # HTTPS SNI检测
profile url-filter block_baidu # HTTP URL过滤
action deny # 直接拒绝规则
rule name DX1
source-zone DX_nei1
destination-zone DX_wai1
source-ip any
destination-ip any
action pass
application allWeb界面配置步骤
4.1 配置SSL解密/检测(Web操作)
- 进入"策略" → "内容安全" → "SSL解密"
- 创建SSL解密策略:"block_baidu_sni"
- 解密动作:选择"阻断"或"解密"
- 添加域名规则:
baidu.com,www.baidu.com
- 配置DNS过滤增强
- 进入"对象" → "内容安全" → "DNS过滤"
- 启用"HTTPS SNI阻断"
- 添加泛域名规则:
*.baidu.com
4.2 安全策略集成配置
- 编辑安全策略"DX1"
- 在"内容安全"选项卡中启用:
- ✅ SSL解密策略:选择"block_baidu_sni"
- ✅ DNS过滤:选择增强的DNS过滤配置文件
- ✅ URL过滤:保留原有的HTTP过滤配置
验证HTTPS阻断效果
5.1 测试命令
# 测试HTTPS访问
curl -I https://www.baidu.com
# 预期结果:连接被重置或超时
# 测试HTTP访问(会重定向到HTTPS)
curl -I http://www.baidu.com
# 预期结果:可能看到301重定向,但最终访问失败5.2 监控和日志查看
# 查看SSL解密会话
display ssl decryption session
# 查看DNS过滤统计
display dns-filter statistics
# 查看安全策略命中
display security-policy hit-count性能优化建议
6.1 SSL处理优化
# 启用SSL硬件加速(如支持)
ssl offload enable
# 限制解密范围,避免性能过载
ssl decryption policy baidu_decrypt
rule 1 domain baidu.com action decrypt
rule 2 domain www.baidu.com action decrypt
rule 10 any action bypass # 其他域名不解密6.2 会话参数优化
# 调整会话参数应对HTTPS流量
session aging-time https 3600
session max-packet-per-flow 10000故障排查重点
7.1 HTTPS阻断不生效排查
- 检查SNI支持:确认客户端支持SNI(现代浏览器都支持)
- 查看SSL策略命中:
display ssl decryption statistics - 验证证书有效性:如果是SSL解密,检查CA证书状态
7.2 性能问题排查
# 监控CPU和内存使用
display health
# 查看SSL解密负载
display ssl decryption statistics总结建议
对于您的需求,我推荐采用方案三:DNS过滤 + SNI过滤配置优先级:
- DNS过滤:第一道防线,阻止域名解析
- SNI过滤:第二道防线,阻断HTTPS连接建立
- URL过滤:第三道防线,处理HTTP流量
关键配置要点:
- ✅ 启用DNS过滤的HTTPS SNI阻断功能
- ✅ 配置SSL客户端策略进行SNI检测
- ✅ 在安全策略中同时应用DNS、SSL、URL过滤
- ✅ 设置专门的阻断规则(action deny)优先于放通规则
谢谢解答
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
谢谢,去确认是否有url授权