H3C SecPath F1000
- 0关注
- 0收藏,58浏览
防火墙自身服务(如NTP、日志服务器、特征库/病毒库更新、云联动服务)采用域名配置触发解析;或系统内置升级服务发起域名解析请求。
排查步骤及命令
1. 检查自身服务的域名配置:
NTP:display ntp-service status
日志服务器:display info-center
特征库/病毒库更新:display ips signature-update status、display av update status
URL过滤/云联动:display url-filter policy、display cloud-service status
2. 查看DNS缓存及解析记录:display dns host、display dns statistics
解决办法及关键命令
1. 将域名形式的服务改为IP地址,示例:
修改NTP服务器:ntp-service unicast-server x.x.x.x
修改日志服务器:info-center loghost x.x.x.x
2. 关闭不必要的云联动服务:undo cloud-service enable
3. 关闭自动升级(若为升级服务触发):undo update auto-update enable
4. 配置DNS拒绝解析特定恶意域名:dns deny domain ***.***
重要提醒:操作前备份配置:save backup.cfg all
配置了域名封禁策略后,防火墙自身仍会发起DNS解析请求,这是它的一个正常工作机制,主要是为了准确识别并阻断对恶意域名的访问。简单来说,这个机制这样运作:
识别域名背后的IP:IP地址是数据的“门牌号”。当安全策略中配置了需要封禁的域名,防火墙必须解析该域名对应的IP地址,才能明确知道是哪个IP的数据需要阻断。
动态刷新IP:恶意网站的IP地址可能会随时变化,因此防火墙会定期(遵循DNS记录的TTL有效期)发起新的查询来刷新本地IP记录,确保封禁策略始终有效。你可以通过
display dns host命令查看这些DNS缓存记录。
所以,防火墙自身的DNS解析行为是其核心安全功能的组成部分,并非“偷偷跑流量”或配置错误。
如果你希望在DNS解析这个环节就直接阻断请求,而不是等解析为IP后再封禁,可以通过下面两种方式实现。
方法一:配置DNS Snooping
这是最常用的方法,能直接利用防火墙解析出的IP地址进行阻断。
开启DNS Snooping功能:在系统视图下执行:
[H3C] dns snooping enable配置安全策略:创建一条专门用于阻断恶意域名的安全策略。
将源安全域设为
trust,目的安全域设为untrust,动作设为拒绝。在目的IP地址的选择中,新建一个 “主机名” 类型的地址对象,输入需要封禁的域名。
配置完成后,当内网用户请求解析该域名时,防火墙会直接阻断其请求,不会放行DNS流量。
方法二:配置DNS过滤功能
此方法依赖于DNS代理(DNS proxy)功能,配置会更灵活,可以根据白名单或黑名单对DNS请求进行精细化控制。
配置DNS过滤策略:在系统视图下,选择一个模式并添加过滤域名:
白名单模式:直接放行名单内的域名,将其余所有解析请求丢弃。
黑名单模式:丢弃名单内的域名解析请求,其余请求均正常放行。
[H3C] dns filter denylist hostname baidu.com# 例如,配置一个黑名单,禁止解析baidu.com开启DNS代理和DNS过滤:
[H3C] dns filter enable # 开启DNS过滤[H3C] dns proxy enable # 开启DNS代理
此外,你也可以在安全规则中直接阻止防火墙本机与外部的DNS通信,让IT人员检查已配置的DNS服务器地址(一般位于系统>设备管理>设备设置),从根本上阻止自身的DNS请求。
操作提醒
全局性影响:上述配置都会对网络产生影响。方法一依赖于防火墙学习到的IP地址表项,如果表项老化,可能会导致瞬时阻断失效;方法二则会影响所有经过防火墙的DNS流量。建议先在有测试条件的环境进行操作,确认无误再上线。
替代策略:技术上可行,但如果网络中有专门的DNS服务器,也可在内网DNS服务器上直接屏蔽恶意域名,如此防火墙之间则无需额外配置。
验证与保存:配置可通过
display dns snooping host命令验证;成功后务必用save命令保存配置,以防丢失。
暂无评论
一、为什么封禁了恶意域名,防火墙自己还在解析?
- 域名对象需要先解析成 IP,才能生成转发表项
- 你在策略里写
destination=恶意域名.com - 防火墙会主动用系统 DNS 去把这个域名解析成 IP,然后生成 “拒绝” 的 IP 策略
- 只要域名对象存在,防火墙就会周期性刷新解析(默认几分钟到几十分钟)
- 你在策略里写
- 全局开启了
dns snooping(DNS 监听)- 为了让域名字段在策略里生效,很多人会全局配置:plaintext
dns snooping enable - 开启后,防火墙会主动解析所有策略中出现的域名,用于缓存和匹配
- 为了让域名字段在策略里生效,很多人会全局配置:
- 防火墙自身有系统 DNS,且允许 local→untrust 的 DNS 流量
- 防火墙配置了
dns server 223.5.5.5之类 - 安全策略放通了 local(防火墙本机)→untrust 的 DNS(UDP/53)
- 于是防火墙本机的解析请求能正常发出去,被审计系统抓到
- 防火墙配置了
二、能不能彻底禁止防火墙自身解析恶意域名?
- 不让防火墙本机主动解析恶意域名
- 但保留内网用户访问恶意域名时被阻断
三、推荐做法(四步,直接复制配置)
1)把 “恶意域名” 从【域名对象】改成【DNS 过滤黑名单】
- 内网用户解析恶意域名时,防火墙直接丢弃 DNS 请求
- 防火墙本机不会主动去解析黑名单域名
# 1. 开启DNS代理(全局)
system-view
dns proxy enable
# 2. 创建DNS过滤黑名单
dns filter denylist name MALICIOUS_DOMAINS
domain ***.***
domain *.***.***
domain ransomware.test
# 3. 在DNS代理下应用黑名单
dns proxy
dns filter denylist MALICIOUS_DOMAINS
2)关闭全局 dns snooping(关键)
undo dns snooping enable
- 防火墙不再主动解析策略中的域名
- 内网用户的 DNS 过滤(黑名单)依然生效
3)放通内网用户 DNS,拒绝防火墙本机 DNS
- 允许
trust→untrust的 DNS(UDP/53) - 拒绝
local→untrust的 DNS(UDP/53)
# 创建拒绝本机DNS的策略(放最前面)
security-policy
rule name DENY_LOCAL_DNS
source-zone local
destination-zone untrust
service dns
action deny
# 允许内网用户DNS
rule name PERMIT_USER_DNS
source-zone trust
destination-zone untrust
service dns
action permit
4)清除旧的域名对象策略(避免残留解析)
四、效果验证
- ✅ 内网用户访问恶意域名:DNS 请求被丢弃,无法解析,无法访问
- ✅ 防火墙本机:不会主动解析恶意域名,审计告警消失
- ✅ 防火墙正常解析(系统升级、license、日志上传等):保留正常 DNS,不受影响
五、常见误区提醒
- ❌ 只删 DNS 服务器:会导致防火墙正常功能(升级、授权、日志)异常
- ❌ 只在安全策略 deny 域名:防火墙仍会解析,只是转发被拒
- ✅ 正确:DNS 过滤黑名单 + 关闭 snooping + 拒绝 local→untrust DNS
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论