H3C SecPath F1000 URL分类

一、先搞懂 4 个字段的含义（核心）
你截图里的 4 个参数，作用如下：
表格
字段 作用 常用选择
匹配模式（第一个） 决定主机名的匹配规则 文本（最常用，精确 / 后缀匹配）
主机名 要拦截的域名 / 网址 填你要管控的域名（如 zgapiej.biz）
匹配模式（第二个，URI） 决定 URI（域名后路径）的匹配规则 --NONE--（只拦域名，不拦路径，最常用）
URI 域名后的具体路径（如 /login） 留空（只拦整个域名时）
二、90% 场景的标准配置（直接照填）
场景：拦截整个域名（如 zgapiej.biz 及其所有子域名、所有页面）
表格
字段 配置值 说明
第一个匹配模式 文本 用文本模式匹配主机名
主机名 zgapiej.biz 填要拦截的根域名
第二个匹配模式（URI） --NONE-- 不限制 URI，只要主机名匹配就拦截
URI 留空 无需填路径
✅ 效果：zgapiej.biz、www.zgapiej.biz、a.zgapiej.biz、zgapiej.biz/xxx 全部被拦截。
三、其他常用场景配置
1. 只拦截特定子域名（如 ***.***，不拦 ***.*** 主域名）
表格
字段 配置值
匹配模式 文本
主机名 ***.***
URI 匹配模式 --NONE--
URI 留空
2. 只拦截域名下的特定路径（如 zgapiej.biz/login）
表格
字段 配置值
匹配模式 文本
主机名 zgapiej.biz
URI 匹配模式 文本
URI /login
3. 用通配符批量拦截（如所有 .ru 后缀域名）
表格
字段 配置值
匹配模式 通配符
主机名 *.ru
URI 匹配模式 --NONE--
URI 留空
四、关键注意事项（避坑）
匹配模式优先级
文本模式：支持后缀匹配（填 zgapiej.biz 会自动匹配所有子域名），是最常用的模式。
通配符模式：支持 * 通配（如 *.com），适合批量拦截，但性能略低于文本模式。
正则表达式：仅在复杂匹配时使用（如 ^https?://.*\.biz$），不推荐日常使用。
URI 留空的意义第二个匹配模式选 --NONE--、URI 留空，代表只要主机名匹配，就拦截该域名下的所有页面，是拦截整个网站的标准做法。
生效顺序自定义分类的优先级（你截图里的1000）越高，匹配越优先，建议自定义分类优先级高于预定义分类。
最终配置步骤
自定义分类选网络威胁，优先级1000。
添加规则：匹配模式文本，主机名填要拦截的域名，URI 匹配模式--NONE--，URI 留空。
在 URL 过滤策略中，引用该自定义分类，动作设为阻断。
将策略应用到安全域 / 接口，保存配置生效。
五、一句话总结
日常拦截网站，直接选：匹配模式 = 文本，主机名 = 要拦的域名，URI 匹配模式 =--NONE--，URI 留空，99% 场景都适用。

关于文本方式匹配中通配符的使用限制

使用文本方式对主机名和URI字段进行匹配时，对星号“*”有如下的限制：

• 匹配主机名字段时，“*”只能出现在开头或结尾，表示通配符，代表0到多个任意字符。

• 匹配URI字段时，当“*”出现在开头或结尾，表示通配符，代表0到多个任意字符；当“*”出现在其他位置时，则作为普通字符进行匹配。

关于正则表达式的使用限制

• 正则表达式中，总的分支不能超过四个。例如"abc(c|d|e|\x3D)"有效，"abc(c|onreset|onselect|onchange|style\x3D)"无效。

• 正则表达式中，括号不能嵌套，即括号中不能有括号。例如"ab((abcs*?))"无效。

• 正则表达式中，分支不支持串联，即分支后面不能有分支。例如"ab(a|b)(c|d)^\\r\\n]+?"无效。

• 正则表达式中，零次重复量词"*"和"?"前面必须有四个确定字符。例如"abc*"无效，"abcd*DoS\x2d\d{5}\x20\x2bxi\\r\\nJOIN"有效。