防火墙 记录

一、结论：能看到被拒绝的域名记录，但默认不全，需要手动开

1. 普通会话日志（默认）：

   只能看到：源 IP、目的 IP、端口、协议、动作（拒绝 / 允许）

   ❌ 看不到域名（因为已经被解析成 IP 了）
2. DNS 日志 + 应用日志 + 策略拒绝日志（全开）：

   ✅ 能看到：源 IP、访问的域名、拒绝原因、匹配的策略

二、H3C F1000 怎么查 “被拒绝的域名”

1）先开三个关键日志（必须）

• 系统 → 日志配置：
  开启：DNS 日志、会话日志、应用控制日志、安全策略日志
• 安全策略 → 每条拒绝策略：
  勾选：记录日志、记录会话详情

2）查 “域名被拒” 的地方（三个入口）

① 查 DNS 解析日志（最准，直接看域名）

• 筛选：动作 = 拒绝 / 丢弃
• 字段：源 IP、域名、解析结果、动作

② 查安全策略拒绝日志（看为什么被拒）

• 筛选：动作 = 拒绝、源 IP = 终端 IP
• 字段：源 IP、目的 IP / 域名、策略名、拒绝原因

③ 查应用 / URL 日志（看 HTTP/HTTPS 域名）

• 筛选：动作 = 拒绝、应用类型 = HTTP/HTTPS
• 字段：源 IP、Host / 域名、URL、动作

三、常见误区（为什么你现在看不到）

1. 只开了会话日志：只有 IP，没有域名
2. 没开 DNS 日志：域名解析过程没记，只能看到 IP 会话被拒
3. 策略没勾 “记录日志”：拒绝了但不生成日志
4. HTTPS 加密流量：没开SSL 解密，只能看到 IP，看不到 Host / 域名

四、一句话总结

关于防火墙能否看到被策略拒绝的域名，答案是：能，但有前提条件。需要满足以下两点：

1. 有日志记录：策略中必须开启日志记录功能。

2. 采用特定配置：需要采用安全策略（V7系列）或高级的域名过滤功能（如DNS Snooping、域名信誉），并正确配置。

如果策略未开启日志记录，或防火墙版本较老，你可能在日志中找不到域名，只能看到对应的IP地址。

 如何查看被拒记录

在确保相关策略已开启日志功能后，可以通过以下几种方式查看：

1. 通过Web界面查看：
   这是最直观的方式。登录防火墙Web管理界面，通常可以在 “监控” → “安全日志” → “安全策略日志” 路径下找到被拒绝的记录，日志条目中会包含源、目的地址和最终动作。

   注意：在部分工控防火墙系列上，拒绝动作的日志只会以syslog格式发送，而不会显示在本地Web页面中。

2. 通过命令行查看：
   如果无法使用Web界面，可以通过命令行登录设备，使用 display logbuffer 命令查看。如果想快速筛选，可以执行以下命令：

   <H3C> display logbuffer | include "deny"该命令会筛选出所有包含“deny”关键字的日志，帮助你快速定位被拒绝的连接记录。

3. 部署日志服务器：
   这是最推荐、最专业的方式。防火墙本地存储的日志条数有限（通常是数千条），数据可能会被快速覆盖。配置Syslog日志服务器后，所有日志（包括拒绝日志）都会被发送到外部服务器，便于长期存储、审计和深度分析。

 确保能查到域名日志的配置

V7系列防火墙的“安全策略”对“拒绝”动作有特殊处理：只有配置为“允许”再结合应用过滤进行阻断，才会在本地生成详细日志。因此，推荐使用以下两种方式记录域名访问记录：

• 方法一：利用DNS Snooping（最推荐）
  DNS Snooping功能可以让防火墙“偷看”内网终端发出的DNS请求和服务器返回的DNS应答，从中提取并记录“域名↔IP地址”的对应关系。这样一来，即使在会话日志中看到的是IP，也能通过这些记录反查到对应的域名。

  部分高端防火墙系列支持此功能。 如果需要开启，可参考以下命令行配置：

  # 1. 启用DNS Snooping功能

  [H3C] dns snooping enable # 2. 配置设备信任的DNS服务器地址 [H3C] dns server 223.5.5.5 # 3. 查看DNS Snooping记录（通常可在Web界面的“监控”或“网络”菜单下找到）

• 方法二：使用域名信誉功能（便捷但需授权）
  这是一个基于云端特征库的智能方案。开启此功能后，设备会自动匹配并记录访问恶意域名、僵尸网络等风险域名的行为。

  注意：该功能属于高级安全特性，需要购买并正确安装License才能使用。

  配置路径通常为：“策略 > 主动防护 > 威胁情报 > 域名信誉”，勾选启用即可。