H3C SecPath F1000-AK123防火墙做了dns代理dns客户端也可以解析出来地址 但是终端就是访问不了解析出的网页

1. 安全策略阻断 

     确认安全策略已放通终端到外网的HTTP/HTTPS流量（目的端口80/443），并确保策略作用于正确的源/目的安全域（如Trust→Untrust）。 

2. NAT配置问题 

     检查是否存在动态NAT策略（如源IP+源安全域转换），若缺失会导致终端流量无公网出口。 

3. 应用层检测干扰 

    关闭临时检测功能 

    如启用了URL过滤/IPS等特性，临时关闭以排除策略误阻断（参考某局点经验：CPU阈值过高会导致DPI功能bypass）。 

    命令检查：display dpi status 确认检测引擎是否正常运行。

4. DNS解析结果与访问策略冲突 

    验证实际访问IP 

     终端执行nslookup 目标域名，对比解析出的IP与防火墙安全策略/NAT规则中的目的地址是否一致。 

     常见陷阱：域名解析IP变更后，策略仍限制旧IP（需刷新DNS缓存：reset dns host ip）。

5. HTTPS访问的特殊性 

    检查SNI放行 

     若网站强制HTTPS且使用SNI（Server Name Indication），需确认安全策略允许TLS握手报文通过（目的端口443）。 

     排障建议：临时改为HTTP访问测试，若HTTP成功则证明HTTPS策略异常。

若上述步骤无效： 

1. 启用临时全通策略 

   创建临时策略：源安全域=Trust、目的安全域=Untrust、动作=允许（源/目的IP=any）。 

   若网页恢复访问，则原策略配置有误；若仍失败，需检查外部链路或目标服务器状态。 

2. 收集诊断信息 

   执行以下命令并联系H3C技术支持（4008100504）： 

   display currentconfiguration | include "dns|nat|policy" 

   debugging ip packet acl <抓包策略 

   debugging securitypolicy packet