SecPath F1000-AI-80

对组网有限一定限制，必须保障fw和client解析情况一致。否则策略无法准确命中

FW能解析正确目的域名，就是可以的。

可以 

核心配置方法

1. 创建地址对象组：在系统中创建一个 IPv4 地址对象组。
2. 添加域名：在对象组的类型中选择“主机名（host name）”，然后输入您需要限制的域名（如 www.baidu.com）。
3. 应用安全策略：新建或编辑安全策略规则，在“目的地址”字段中直接引用刚刚创建的包含域名的地址对象组即可。

 关键注意事项与常见误区

• 必须开启 DNS 代理：基于域名的安全策略高度依赖设备的 DNS 解析功能。您需要在防火墙上全局开启本地 DNS 代理功能，并配置正确的公网 DNS 服务器（如 114.114.114.114），以保证防火墙能实时获取准确的域名解析结果。
• 作用范围限制：通过安全策略中的“地址对象组+域名”方式，通常只能阻断 HTTP/HTTPS 访问。它无法从底层彻底阻断该域名的 DNS 解析请求。
• 不要将域名用于源地址：这种机制仅适用于控制内网用户访问外网的“目的地址”。如果试图用它来限制外部动态 IP 用户的访问（即作为源地址），由于缺乏可靠的反向解析机制，策略将无法生效。

 进阶建议：更彻底的域名封禁方案

1. 开启全局 DNS 代理（dns proxy enable）。
2. 创建 DNS 过滤黑名单（dns filter denylist），将需要封禁的域名加入其中。
3. 关闭全局 DNS Snooping（undo dns snooping enable），防止防火墙本机主动解析这些域名产生无效告警。
4. 配合安全策略拒绝来自 Local 区域去往 Untrust 区域的 DNS（UDP/53）流量。

F1000-AI-80（V7.1.064 R8660P24）结论：IPv4 地址对象组支持直接填写域名（主机名 FQDN），不用录入 IP，安全策略可直接引用该地址组
该版本原生支持 FQDN 域名对象，必须配套配置 DNS 客户端 + 开启 DNS 代理，域名才能自动解析为 IP 生效


Web地址对象组入口


新增地址组


填入域名主机名
一、命令行完整配置（CLI）
1、配置防火墙 DNS（必须，设备用来解析域名）
plaintext
#指定公共DNS
dns server 223.5.5.5
dns server 114.114.114.114
#开启全局DNS代理（核心，内网终端走防火墙代理解析域名）
dns proxy enable
2、创建域名地址对象组（只写域名，无 IP）
plaintext
#新建IPv4地址对象组
object-group ip address DOMAIN_WHITE
#添加域名：network host name + 完整域名
network host name ***.***
network host name ***.***
quit
多条域名重复network host name ***.***即可，不需要填写任何 IP 地址
3、安全策略引用地址组
plaintext
security-policy ip
rule permit source-zone trust dest-zone untrust destination-address DOMAIN_WHITE
二、WEB 界面配置步骤
菜单：对象→对象组→IPv4 地址对象组→新建，自定义组名
添加条目：对象类型选【主机名】，填入完整域名，保存
安全策略→新建策略，目的地址直接选择建好的域名地址组
三、关键注意事项（配置必看）
域名解析更新机制：防火墙周期性向 DNS 查询域名 IP，域名 IP 变动后设备自动刷新地址列表，策略无需手动改 IP；
放通内网 DNS：trust→untrust 需要放行 UDP53 端口 DNS，否则终端域名解析失败，域名策略失效；
plaintext
security-policy ip
rule permit source-zone trust dest-zone untrust service domain
区分：地址组域名 = 基于 IP 放行；URL 过滤 = 应用层域名拦截（需要 URL 特征库 License），无授权优先用地址组 FQDN 方案；
通配符：该版本不支持 *.***.***泛域名，只能逐条填写完整 FQDN。
四、校验命令
plaintext
#查看域名解析出来的IP列表
display object-group ip address DOMAIN_WHITE
#查看DNS解析缓存
display dns cache