1691507667,momo momo 零段 粉丝：0人 关注：0人

问题描述：

现在有一个下载网站我想屏蔽访问，一种是通过PING 网站得到IP，另外一种应该是通过URL屏蔽

问题是网站的IP太多了，URL的屏蔽支持吗，如何操作

组网及组网描述：

6小时前提问

1.可以nslookup    解析出对应域名的IP地址

2.新的版本支持针对域名进行管控

6小时前回答

新的版本是多少，我的是9333P26

momo

新建IP对象的时候、选择主机名，然后填写域名即可

看沃昵称干啥

基于域名的安全策略

6小时前回答

是这里吗，我截图标注的地方，不写白名单不影响吗

6小时前回答

防火墙开启DNS代理，内网终端的DNS配置为防火墙，这种情况下可以配置主机名的地址对象，安全策略调用地址对象将其禁用。

6小时前回答 (5)

这个网站有N个IP，地址对象太多，感觉和我现在用的黑名单差不多

momo

主机名的地址对象，不是IP地址

senc

object-group ip address 123 0 network host name address 前提是，你内网的主机要把DNS配置成防火墙，防火墙去解析域名

senc

哦，明白了。谢谢。问题是DNS现在一般都是114，这条路也走不通

momo

防火墙开启DNS代理之后，还要配置DNS server，不然防火墙本身无法提供域名解析的服务，你可以用运营商的，不建议使用114.114.114.114

senc

配置参考：

防火墙通过安全策略实现过滤 HTTPS 网站配置方法

1.1       适用的产品系列

本案例适用于软件平台为 Comware V7 系列防火墙：F100-X-G2、F1000-X-G2、

F100-WiNet、F1000-AK、F10X0 等

注：本案例是在 F100-C-G2 的 Version 7.1.064, Release 9510P08 版本上进行配置和验证的。

1.2       配置需求及实现的效果

防火墙部署在互联网出口，需要实现通过安全策略限制访问 www.baidu.com 的目的。

 

2       组网图

3       配置步骤

3.1       防火墙连接互联网配置

上网配置略，请参考《轻轻松松配安全》2.1 章节防火墙连接互联网上网配置方法案例。

3.2       开启本地 DNS 代理

#开启设备本地 DNS 代理功能，用于解析域名。

3.3       配置安全策略

#在“策略”>“安全策略”中点击新建，创建名称为“denybaidu”的安全策略，源安全域为“trust”， 动作选择拒绝，目的地址位置点击下拉菜单后点击“添加IPV4 地址对象组”。

#新建对象组名为“baidu”的对象组，点击添加按钮。

#对象选择主机名，输入 www.baidu.com 点击确定完成配置。

#检查配置无误后点击确认按钮完成配置；

# 在 “ 策略 ” > “ 安全策略 ” 中继续新建名称为 “ passany ” 的安全策略，源安全域为 “ t rust ” 、目的安全域 为 “ u n t rust ” 、动作选择允许 。

3.4        保存配置

3.5       测试结果

使用浏览器打开 www.baidu.com,不能正常访问：

查看 pc 针对百度解析的地址为 39.156.66.18

查看设备的安全策略日志，可以看到针对改目的ip 已成功拒绝（第三条）

5小时前回答

谢谢，这个应该可以。

momo

你正在内容来源：知了社区,F1050 如何屏幕一个网站，