防火墙F100-C-G5,安全策略
- 0关注
- 0收藏,98浏览
方案一:将安全策略动作改为“拒绝并发送重置报文”(最推荐)
- 操作方法:在Web界面的安全策略配置中,找到你的拒绝/阻断策略,将动作从“拒绝(Deny)”修改为“拒绝并发送重置报文(Reset)”(部分版本也叫“重置”)。
方案二:使用URL过滤功能替代纯IP/域名策略
- 操作方法:
- 进入“对象 > URL分类”或“URL过滤”配置页面,新建一个URL过滤配置文件。
- 在“黑名单”中添加你禁止访问的域名,并将动作配置为“重置”或“丢弃”(建议选重置)。
- 在“安全策略”中放行内网到外网的流量,并在该策略的“内容安全”或“应用控制”中引用你刚刚配置的URL过滤配置文件。
方案三:开启DNS代理(DNS Proxy)
- 操作方法:
- 在防火墙上开启本地DNS代理功能(命令参考:
dns proxy enable),并配置好上游DNS服务器(如dns server 114.114.114.114)。 - 确保内网终端的DNS服务器指向防火墙的内网接口地址(可以通过DHCP下发)。
- 这样防火墙可以第一时间截获DNS请求,在域名解析阶段就进行快速匹配和拦截。
- 在防火墙上开启本地DNS代理功能(命令参考:
你这个 “要等 10 秒才显示无法访问”,本质是:防火墙只在 IP 层拒绝,但没在 DNS 层面拦截—— 浏览器先等 DNS 解析超时,再报失败。要 “秒拒”,必须DNS 过滤 + URL 过滤 + 安全策略默认拒绝三层配合。下面给你 F100-C-G5(Comware V7)可直接照做的配置。
一、核心思路(先讲清楚原理)
现状:
安全策略:内网→外网,仅放行白名单域名的 IP
非白名单:DNS 先解析成功→TCP 建连→防火墙拒绝→浏览器转圈 10 秒后失败
秒拒要做到:
DNS 过滤(最关键):非白名单域名直接丢 DNS 请求,浏览器立刻 “找不到服务器”
URL 过滤:HTTP/HTTPS 层面再拦截一次
安全策略顺序 + 默认拒绝:避免匹配默认允许、会话残留
二、完整配置(Web + 命令行,F100-C-G5 适用)
1. 先做 DNS 过滤(秒拒核心)
Web 界面
对象 → 内容安全 → DNS 过滤 → 新建
名称:DNS_WhiteList
模式:白名单
添加域名:把你允许的域名填进去(如 *.***.***、baidu.com)
策略 → 安全策略 → 内网→外网策略
勾选 “DNS 过滤” → 选择 DNS_WhiteList
命令行
bash
运行
system-view
# 1. 创建DNS白名单(只允许指定域名解析)
dns-filter profile DNS_WhiteList
mode whitelist
rule 1 permit domain *.***.***
rule 2 permit domain baidu.com
rule 3 permit domain ***.***
quit
# 2. 在内网→外网安全策略绑定DNS过滤
security-policy ip
rule name Trust_to_Untrust_White
source-zone trust
destination-zone untrust
action pass
dns-filter profile DNS_WhiteList # 关键:绑定DNS白名单
quit
2. 配置 URL 过滤(应用层二次拦截)
Web 界面
对象 → 内容安全 → URL 过滤 → 新建
名称:URL_WhiteList
默认动作:拒绝
添加白名单 URL:*.***.***/*、baidu.com/*
安全策略 → 内网→外网 → 内容安全 → 勾选URL 过滤→选URL_WhiteList
命令行
bash
运行
# 1. 创建URL白名单
url-filter profile URL_WhiteList
default deny
rule 1 permit url *.***.***/*
rule 2 permit url baidu.com/*
quit
# 2. 安全策略绑定URL过滤
security-policy ip
rule name Trust_to_Untrust_White
profile url-filter URL_WhiteList
quit
3. 安全策略顺序 + 默认拒绝(避免漏过)
Web 界面
策略 → 安全策略 → 内网→外网
把白名单允许策略移到最前面
最后加一条:所有其他流量拒绝(动作 deny)
命令行
bash
运行
security-policy ip
# 白名单允许策略(放最前)
rule name Trust_to_Untrust_White
source-zone trust
destination-zone untrust
action pass
quit
# 默认拒绝策略(放最后)
rule name Trust_to_Untrust_Deny_All
source-zone trust
destination-zone untrust
action deny
quit
4. 关闭会话残留(可选,加速旧会话失效)
bash
运行
# 缩短非活跃会话老化时间(默认10秒,可改3秒)
session aging-time tcp 3
session aging-time udp 3
三、验证效果
访问白名单域名:正常打开
访问非白名单域名:
浏览器立刻显示 “无法访问此网站”(DNS 直接丢弃,无 10 秒等待)
防火墙日志:可看到DNS 请求被拒绝+URL 被拒绝
四、常见坑
❌ 只做安全策略 IP 白名单:DNS 解析成功→TCP 超时→10 秒延迟
❌ DNS 过滤用黑名单:非黑名单域名仍能解析→还是慢
✅ 必须DNS 白名单 + URL 白名单 + 默认拒绝三层叠加
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
可能是访问网址需要建立tcp连接,所以浏览器要等一会才显示无法访问