華三防火牆F5020，訪問控製策略目的地址為域名的解析問題

防火牆解析的，需要做dns代理

防火牆配置基於域名的安全策略：

方案一：直接在設備上配置域名對象組，並在安全策略中調用該對象組。設備檢測到基於host name的對象組配置之後，會主動向dns server解析請求該域名對應的IP地址。表項老化後再次解析。

示例如下：

#
object-group ip address baidu
 0 network host name www.baidu.com
#
 dns server 10.158.2.10        ----dns server必須配置，否則設備無法解析到地址對象組中域名對應的IP
#

該方案配置簡單，由於設備上本質還是基於IP做安全策略檢查，因此需要確保終端和設備本身關於域名的解析結果一致。可以使用如下命令查看解析結果：

RBM_P<F5080D_1>disp dns host 
Type:
  D: Dynamic    S: Static
 
Total number: 1
No.  Host name           Interface    Type  TTL      QType  IP addresses
1    www.baidu.com       -            D     3146     A      101.1.1.1               ----確保設備上解析結果和終端解析結果一致
 
RBM_P<F5080D_1>disp object-group ip host object-group-name baidu 
Object group       : baidu
  Object ID        : 0
    Host name      : www.baidu.com
    VPN instance   : -
    Updated at     : 2024-01-03 15:43:04
    IP addresses   : 
      101.1.1.1

需要注意的是，如果設備不做DNS代理，即終端的DNS指向單獨的DNS服務器而非設備，是無法針對於模糊域名（例如*.baidu.com）做安全策略限製的。由此引出方案二。

方案二：設備做DNS代理，終端的DNS指向FW設備。FW設備需要增加配置如下：

#
 dns proxy enable       ---開啟dns代理功能
#

現網實際使用中，以上方案可能遇到如下問題：

1.  域名老化的太快。終端的訪問是持續的，其域名對應的IP沒有變化。但是設備上重新解析得到的IP是新的，兩邊不匹配。

解決方案：可以嚐試配置dns cache ttl命令調整域名表項老化時間。

2. 終端和設備關於某個域名的解析結果不一致，導致策略無法通過。

解決方案：該問題和DNS服務器行為有關，針對終端和FW設備的DNS請求返回不同的解析結果。可以嚐試設備上配置DNS代理解決。

FW本質是基於IP匹配安全策略，需要保證終端DNS的解析結果和FW設備一致。

如果按照以上調整仍不能解決現網問題，可以嚐試配置dns snooping功能（老版本不支持）。

參考：

https://zhiliao.h3c.com/Theme/details/224261