F1050 如何屏幕一个网站,
问题描述:
现在有一个下载网站我想屏蔽访问,一种是通过PING 网站得到IP,另外一种应该是通过URL屏蔽
问题是网站的IP太多了,URL的屏蔽支持吗,如何操作
组网及组网描述:
1.可以nslookup 解析出对应域名的IP地址
2.新的版本支持针对域名进行管控
6小时前回答新的版本是多少,我的是9333P26
momo新建IP对象的时候、选择主机名,然后填写域名即可
看沃昵称干啥基于域名的安全策略
6小时前回答是这里吗,我截图标注的地方,不写白名单不影响吗
6小时前回答防火墙开启DNS代理,内网终端的DNS配置为防火墙,这种情况下可以配置主机名的地址对象,安全策略调用地址对象将其禁用。
6小时前回答 (5)这个网站有N个IP,地址对象太多,感觉和我现在用的黑名单差不多
momo主机名的地址对象,不是IP地址
sencobject-group ip address 123 0 network host name address 前提是,你内网的主机要把DNS配置成防火墙,防火墙去解析域名
senc哦,明白了。谢谢。问题是DNS现在一般都是114,这条路也走不通
momo防火墙开启DNS代理之后,还要配置DNS server,不然防火墙本身无法提供域名解析的服务,你可以用运营商的,不建议使用114.114.114.114
senc配置参考:
防火墙通过安全策略实现过滤 HTTPS 网站配置方法
1.1 适用的产品系列
本案例适用于软件平台为 Comware V7 系列防火墙:F100-X-G2、F1000-X-G2、
F100-WiNet、F1000-AK、F10X0 等
注:本案例是在 F100-C-G2 的 Version 7.1.064, Release 9510P08 版本上进行配置和验证的。
1.2 配置需求及实现的效果
防火墙部署在互联网出口,需要实现通过安全策略限制访问 www.baidu.com 的目的。
2 组网图
3 配置步骤
3.1 防火墙连接互联网配置
上网配置略,请参考《轻轻松松配安全》2.1 章节防火墙连接互联网上网配置方法案例。
3.2 开启本地 DNS 代理
#开启设备本地 DNS 代理功能,用于解析域名。
3.3 配置安全策略
#在“策略”>“安全策略”中点击新建,创建名称为“denybaidu”的安全策略,源安全域为“trust”, 动作选择拒绝,目的地址位置点击下拉菜单后点击“添加IPV4 地址对象组”。
#新建对象组名为“baidu”的对象组,点击添加按钮。
#对象选择主机名,输入 www.baidu.com 点击确定完成配置。
#检查配置无误后点击确认按钮完成配置;
# 在 “ 策略 ” > “ 安全策略 ” 中继续新建名称为 “ passany ” 的安全策略,源安全域为 “ t rust ” 、目的安全域 为 “ u n t rust ” 、动作选择允许 。
3.4 保存配置
3.5 测试结果
使用浏览器打开 www.baidu.com,不能正常访问:
查看 pc 针对百度解析的地址为 39.156.66.18
查看设备的安全策略日志,可以看到针对改目的ip 已成功拒绝(第三条)
5小时前回答谢谢,这个应该可以。
momo你正在内容来源:知了社区,F1050 如何屏幕一个网站,