华三防火墙F1000-E-XI怎么屏蔽比如百度的所有子域名？

正则表达式通配符的方式写域名进行匹配

H3C F1000-E-XI 屏蔽全部百度子域名完整配置（Comware V7）
核心说明
设备分两套拦截方案，推荐「URL 过滤（SNI 检测）」，可同时拦截 HTTP/HTTPS 下所有*.baidu.com、*.***.***；仅 DNS 拦截作为辅助兜底。
关键前提
F1000-E-XI 支持HTTPS SNI 域名识别，无需完整 SSL 解密即可读取 HTTPS 域名，性能损耗极低，优先使用。
方案一：URL 过滤（推荐，拦截所有百度子域名，HTTP+HTTPS 全生效）
1、命令行完整配置（可直接复制）
shell
# 1. 创建URL过滤自定义分类，添加百度通配域名
system-view
url-filter category BlockBaidu severity 10
# 匹配所有xxx.baidu.com
url-filter-category-BlockBaidu rule host text *.baidu.com
# 匹配百度国内cn后缀（如tieba.***.***）
url-filter-category-BlockBaidu rule host text *.***.***
quit

# 2. 创建URL过滤策略，命中后重置连接+记录日志
url-filter policy BaiduBlockPolicy
url-filter-policy-BaiduBlockPolicy category BlockBaidu action reset logging
quit

# 3. 绑定URL策略到DPI应用配置文件
app-profile Trust2Untrust_Inspect
url-filter apply policy BaiduBlockPolicy
quit

# 4. 全局激活深度检测配置（必须执行，否则URL过滤不生效）
inspect activate

# 5. 在内网访问外网的安全策略里调用该DPI配置文件
security-policy ip
rule name Trust_To_Untrust_BlockBaidu
source-zone trust
destination-zone untrust
action permit
app-profile Trust2Untrust_Inspect
quit
通配符匹配逻辑
*.baidu.com：星号在前，匹配任意前缀子域名，包含：
www.baidu.com、map.baidu.com、pan.baidu.com、fanyi.baidu.com、zhidao.baidu.com 等全部二级、三级子域名。
Web 界面配置步骤
对象→URL 过滤→分类：新建分类BlockBaidu，添加主机名*.baidu.com、*.***.***，匹配方式文本；
对象→URL 过滤→策略：新建策略，分类BlockBaidu动作选「重置连接」，开启日志；
对象→DPI 应用配置：新建配置文件，URL 过滤绑定上面策略；
策略→安全策略：内网 trust 访问外网 untrust 的放行策略，DPI 配置选择刚创建的文件，保存。
方案二：DNS 过滤兜底（拦截域名解析请求，辅助防护）
作用：终端发起 DNS 查询百度时直接拒绝解析，适合补充防护（但客户端自定义 DoH/DoT 会绕过）
shell
system-view
# 创建DNS过滤模板
dns-filter profile BlockBaiduDNS
# 阻断IPv4 A记录查询所有baidu子域名
rule 1 deny qtype A domain *.baidu.com
rule 2 deny qtype A domain *.***.***
# 阻断IPv6 AAAA记录查询
rule 3 deny qtype AAAA domain *.baidu.com
rule 4 deny qtype AAAA domain *.***.***
quit

# 绑定到内网trust入接口（所有内网终端DNS流量过滤）
interface GigabitEthernet 1/0/0 # 你的内网接口
dns-filter apply BlockBaiduDNS inbound
方案三：不推荐的方式（域名地址组，仅作备用）
通过object-group host-name添加*.baidu.com，安全策略 deny。
致命缺陷：
依赖防火墙 DNS 解析域名 IP，百度 IP 海量且频繁变动；
仅拦截 IP 流量，终端缓存 DNS 后仍可访问；
无法区分 HTTPS 域名，易漏封。
关键避坑点（F1000-E-XI 常见故障）
HTTPS 域名不拦截？
确认 DPI 配置已绑定 URL 策略、执行inspect activate；设备默认开启 SNI 域名解析，无需 SSL 解密。
通配符写法错误
不能写baidu.*（星号在后仅匹配域名后缀），屏蔽所有子域名必须写*.baidu.com（星号前置）。
安全策略顺序
拦截依赖的放行策略（trust→untrust permit）必须置顶，DPI 配置绑定在此放行规则；deny 规则不会触发 URL 过滤。
覆盖全百度域名
务必同时添加*.baidu.com + *.***.***，贴吧、部分业务使用 cn 后缀，漏写会导致部分子域名放行。
验证排查命令
shell
# 查看URL过滤匹配计数
display url-filter statistics policy BaiduBlockPolicy
# 查看DPI检测是否激活
display inspect configuration
# 查看DNS过滤匹配日志
display dns-filter statistics
# 查看安全策略命中
display security-policy statistics rule name Trust_To_Untrust_BlockBaidu
极简总结
生产环境首选 URL 过滤（SNI 检测），一条*.baidu.com通配拦截全部子域名，HTTP/HTTPS 全覆盖；
DNS 过滤作为补充，阻断域名解析环节；
不要只用域名地址组拦截，IP 动态变化极易失效。