问
F1000-AI-60问题
13小时前提问
- 0关注
- 0收藏,44浏览
zhiliao_Gixe
五段
配置步骤(F1000-AI-60)
1. 开启DNS安全防护:
system-view
[FW] dns security enable
2. 创建拒绝域名规则:
[FW] dns filter rule 1 deny domain 实际域名(如***.***)
3. 应用规则到终端接入接口:
[FW] interface GigabitEthernet X/X/X // 替换为终端所在接口
[FW-GigabitEthernetX/X/X] dns filter apply inbound
启用说明
上述配置完成后,规则自动生效,终端向该接口发送的指定域名解析请求会被拦截。
查看禁用日志
[FW] display logbuffer | include "DNS filter deny"
(日志会记录被拦截的域名解析请求时间、源IP等信息)
1. 开启DNS安全防护:
system-view
[FW] dns security enable
2. 创建拒绝域名规则:
[FW] dns filter rule 1 deny domain 实际域名(如***.***)
3. 应用规则到终端接入接口:
[FW] interface GigabitEthernet X/X/X // 替换为终端所在接口
[FW-GigabitEthernetX/X/X] dns filter apply inbound
启用说明
上述配置完成后,规则自动生效,终端向该接口发送的指定域名解析请求会被拦截。
查看禁用日志
[FW] display logbuffer | include "DNS filter deny"
(日志会记录被拦截的域名解析请求时间、源IP等信息)
没有dns security enable这个命令
zhiliao_OR4gJ4
发表时间:13小时前
更多>>
没有dns security enable这个命令
zhiliao_OR4gJ4
发表时间:13小时前
F1000-AI-60 禁止指定域名完整配置(可直接照着做)
一、实现原理
用 URL 过滤 + 安全策略 封禁域名,支持
***.*** 通配符,能拦截域名解析和网页访问,比单纯封 IP 更彻底。二、Web 界面配置步骤(最简单、推荐)
1、新建 URL 过滤策略,加入黑名单域名
- 登录防火墙 Web 管理
- 菜单:对象 → 应用安全 → URL 过滤
- 新建 URL 配置文件(自定义名称:比如
block_domain) - 新增规则:
- 匹配类型:主机名 / 文本
- 填写域名:
***.***(支持通配符) - 动作:拒绝
- 勾选:记录日志
2、引用到安全策略(放行中插入封禁)
- 菜单:策略 → 安全策略
- 新建 / 编辑内网出向策略(内网→外网)
- 在内容安全里勾选引用刚才的
block_domainURL 过滤模板 - 保存并提交激活配置
3、必须开启日志总开关
菜单:系统 → 日志设置
开启 DPI/URL 过滤日志 采集,不然看不到拦截记录。
三、命令行配置(备用)
plaintext
system-view
# 1 创建URL过滤模板
url-profile block_domain
rule 1 deny host text ***.*** log
quit
# 2 在安全策略调用该模板
security-policy ip
rule 内网访问外网 内容安全引用 url-profile block_domain
四、如何查看禁用 / 拦截日志
Web 查看路径
监控 → 安全日志 → URL 过滤日志
可看到:
- 拦截时间
- 终端源 IP
- 被访问域名
- 拦截动作(拒绝 / 丢弃)
命令行查看
plaintext
display logbuffer | include URL
五、关键点说明
- 需确保防火墙 URL 过滤 License 正常;
- 封禁后终端无法域名解析、也无法打开网页;
- 通配符
***.***可以匹配所有子域名,全覆盖; - 开启记录日志才能审计谁访问被拦截域名。
在 H3C F1000-AI-60 防火墙上禁止终端解析特定域名(如
***.***),最推荐且最彻底的方法是使用 URL过滤 功能。这种方法直接匹配域名,不受域名动态解析 IP 地址变化的影响。以下是具体的配置、启用以及查看日志的步骤:
如何配置和启用域名禁止解析
- 创建 URL 过滤策略并添加禁止规则:
进入系统视图,创建一个 URL 过滤策略(例如命名为block_domain),并添加规则拒绝目标域名。支持使用通配符(*)来匹配子域名。
1system-view
2url-filter profile block_domain
3rule 1 deny url "*.***.***" # 替换为你需要禁止的实际域名
4rule 2 deny url "***.***" # 支持添加多个域名
5quit- 在安全策略中应用该 URL 过滤策略:
创建或修改一条安全策略,将源区域(如内网 trust)到目的区域(如外网 untrust)的流量动作设为允许,并关联刚刚创建的 URL 过滤策略。
1security-policy ip
2rule name Block_Specific_Domain
3source-zone trust # 源区域为内网
4destination-zone untrust # 目的区域为外网
5action pass # 动作必须为 pass,才能触发 URL 过滤进行检测
6profile url-filter block_domain # 关联 URL 过滤策略
7quit(注:URL 过滤策略必须在
action pass 的安全策略中调用才能生效。)编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明