防火墙F1000-AI-A

建议安全策略限制，可以做一个脚本批量导入。

安全策略也可以限制域名 ，黑名单不支持。

一、能不能批量导入黑名单？
能（仅支持 IP 黑名单批量导入），域名不支持在 “IP 黑名单” 里批量导入。
Web 界面（推荐）
菜单：网络 → 主动防护 → 黑名单 → IP 黑名单
右上角：导入导出 → 导入配置
准备 txt 文件，一行一个 IP/IP 段：
plaintext
1.1.1.1
2.2.2.0/24
3.3.3.3 255.255.255.255
上传并导入，直接生效。
命令行方式
bash
运行
# 1. 把IP列表文件上传到设备（TFTP/FTP）
# 2. 执行导入
import blacklist ip filename tftp://192.168.0.100/ip-blacklist.txt
二、黑名单在哪加域名？
IP 黑名单不能直接加域名；域名封禁要走 URL 过滤（推荐） 或 地址对象组 + DNS 解析。
方式 1：URL 过滤（标准、推荐，支持通配符）
Web：对象 → 应用安全 → URL 过滤 → 配置文件 → 新建


名称：domain-blacklist，缺省动作：允许
黑名单 → 添加：
匹配模式：文本
主机名：***.*** 或 *.***.***
保存后，在安全策略中引用该 URL 过滤文件，动作选丢弃。
命令行：
bash
运行
url-filter profile domain-blacklist
blacklist-common host ***.***
blacklist-common host *.***.***
quit

security-policy
rule name trust-untrust
source-zone trust
destination-zone untrust
url-filter profile domain-blacklist
action permit
quit
方式 2：地址对象组（域名转 IP）
对象 → 地址 → 地址对象 → 新建 → 类型：域名
填入域名，设备会自动解析 IP（需配置 DNS）
将该对象加入安全策略→拒绝，或加入IP 黑名单。
三、关键结论
IP 黑名单：只认 IP，支持批量导入；不能直接填域名。
域名封禁：用 URL 过滤（最稳，支持通配符），或域名地址对象组。
不要把域名填进 IP 黑名单，会匹配不到、不生效。

1. 能否批量导入黑名单？

• 将需要拉黑的 IP 地址整理在 Excel 的 A 列。
• 在 B 列使用公式 =CONCATENATE("blacklist ip ", A1) 拼接出完整的命令行（例如生成 blacklist ip 1.1.1.1）。
• 将生成好的一整列命令复制，直接粘贴到防火墙的命令行界面中执行，即可实现快速批量添加。
• 部分型号也支持通过导入 TXT/CSV 文件的方式来批量添加黑白名单。

2. 黑名单在哪加域名？

• 方法一：配置 URL 过滤（推荐）
  这是最标准的方法。你可以在防火墙的 Web 界面中找到“对象”或“安全策略”模块，创建 URL 对象组，将需要封禁的恶意域名添加进去。然后在安全策略中调用这个对象组，并将动作设置为“拒绝”，即可阻断对该域名的访问。
• 方法二：配置 DNS 过滤
  如果你希望彻底关闭对该域名的解析（让终端根本解析不出 IP），可以配置 DNS 过滤策略。通过创建 DNS 过滤对象，拒绝特定域名的 DNS 查询请求（qname），从而实现从根源上封禁。