ACG1000怎么配置访问白名单

参考： 

• 首先配置基于域名的地址对象组，并配置源地址对象组为需要限制的内网网段，目的地址对象组为这
  个域名地址对象组。 
   
  
• 配置相关策略进行限制
  
  
• ACG1000要配置DNS服务器：
  
  

• 注意要放通DNS协议，设备上也要配置DNS服务器。
• 如果现场想放通的网站调用了许多公网域名，不建议用白名单形式策略，建议使用黑名单

能，H3C ACG支持只允许访问几个固定网站的需求，通过“网站白名单”功能即可实现。

核心原理是建立一个“允许访问”的网站列表，然后设备会只放行这个列表里的网站，并默认拒绝其他所有网站。这也就是常说的“白名单”模式。在H3C ACG上，主要通过 IPv4策略 配合 URL过滤 功能来完成。

方法一：标准“白名单”法（推荐）

这是最常用的方法，直接为某个网段或用户开启“白名单”模式。

• 实现思路：针对某个用户或网段，先创建一条策略只放行特定的URL，再创建一条更靠后的策略，拒绝该用户或网段访问所有其他URL。

• 配置要点：两条策略的匹配顺序至关重要，放行特定URL的策略必须排在拒绝所有URL的策略之前。

方法二：“全局白名单”精细化控制

如果希望更精细地控制哪些网站能访问，可以使用“全局白名单”功能。

• 实现思路：在控制策略中将URL过滤的默认动作设为“拒绝”，然后将被允许的网站加入URL白名单对象中。

• 配置要点：在控制策略中，URL过滤部分选择“URL白名单”作为审计对象，白名单内放行，其他默认拒绝。策略匹配时，仍需确保白名单规则的优先级高于默认的拒绝规则。

方法三：结合应用和URL的精细化控制

这个思路更灵活，适合需要精确控制某类应用和某些网站的场景。

• 实现思路：可以在同一条策略中，同时配置“应用过滤”和“URL过滤”，实现“既能用微信，又只能上特定网站”这类复杂需求。

• 配置要点：在“IPv4策略”中，同时配置“应用控制”和“URL审计”两部分，应用控制部分放行需要允许的应用（如微信），URL审计部分限制只能访问特定的URL。