F100-C-A5防火墙能否用正则表达式匹配主机地址
- 0关注
- 1收藏,1650浏览
问题描述:
我要在防火墙上放行,所有 *.***.*** 主机的443端口,比如download.***.*** , images.***.*** , res-front-cdn.***.*** 这些主机的443端口,其它域名或者主机的443端口不允许访问。我的问题是, F100-C-A5防火墙在做域间策略时,能否支持使用正则表达式匹配所有 *.***.*** 的二级域名的主机地址 (timeask\.cn$)。
组网及组网描述:
我要在防火墙上放行,所有 *.***.*** 主机的443端口,比如download.***.*** , images.***.*** , res-front-cdn.***.*** 这些主机的443端口,其它域名或者主机的443端口不允许访问。我的问题是, F100-C-A5防火墙在做域间策略时,能否支持使用正则表达式匹配所有 *.***.*** 的二级域名的主机地址 (timeask\.cn$)。
- 附件下载: H3C.png
- 2020-07-12提问
- 举报
-
(0)
最佳答案
您好,请知:
可尝试在对象组里面对主机名(host)进行绑定,可参考如下配置要点:
在服务器端修改主机名为域名后添加试下。
1.3 配置IPv4地址对象组
(1) 进入系统视图。
system-view
(2) 创建IPv4地址对象组,并进入对象组视图。
object-group ip address object-group-name
缺省情况下,存在系统默认的IPv4地址对象组,名称为any。
(3) (可选)配置对象组的描述信息。
description text
缺省情况下,没有描述信息。
(4) 创建IPv4地址对象。
[ object-id ] network { host { address ip-address | name host-name } | subnet ip-address { mask-length | mask | wildcardwildcard } | range ip-address1 ip-address2 | group-object object-group-name | user user-name [ domain domain-name ] |user-group user-group-name [ domain domain-name ] }
(5) 配置IPv4地址对象中排除的IPv4地址。
object-id network exclude ip-address
缺省情况下,IPv4地址对象中不存在排除的IPv4地址。
(6) (可选)配置IPv4地址对象组所属的安全域。
security-zone security-zone-name
缺省情况下,未配置地址对象组所属的安全域。
以下是F100-C-A的用户手册链接,请参考:
https://www.h3c.com/cn/Service/Document_Software/Document_Center/IP_Security/FW_VPN/F100-C-A/
- 2020-07-12回答
- 评论(1)
- 举报
-
(0)
经测试,正则表达式只认识 *
可以用正则表达式,直接写***.***
- 2020-07-13回答
- 评论(2)
- 举报
-
(0)
对象组只能是匹配IP地址吧?不能匹配主机名吧?我之前做过的允许访问哪些主机名都是通过URL过滤的,如果还要限制端口号的话,就再安全策略里边调用一个服务
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
经测试,正则表达式只认识 *