版本7.1.064的SecBlade FW的防火牆怎樣在WEB設置URL過濾限製訪問指定域名

注：本案例是在F100-C-G2的Version 7.1.064, Release 9510P08版本上進行配置和驗證的。

配置步驟

如下圖所示，某公司內的各部門之間通過Device實現互連，公司內網中部署了域名為***.***的Web服務器用於公司財務管理，該域名已在內網DNS服務器中注冊。通過配置安全策略，實現如下需求：

• 允許財務部通過HTTP協議訪問財務管理Web服務器。

• 禁止市場部在任何時間通過HTTP協議訪問財務管理Web服務器。

圖-1 基於域名的安全策略配置組網圖

‌

配置步驟

1. 配置接口IP地址

# 根據組網圖中規劃的信息，配置各接口的IP地址，具體配置步驟如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 10.0.13.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

請參考以上步驟配置其他接口的IP地址，具體配置步驟略。

2. 配置接口加入安全域

# 請根據組網圖中規劃的信息，創建安全域，並將接口加入對應的安全域，具體配置步驟如下。

[Device] security-zone name web

[Device-security-zone-web] import interface gigabitethernet 1/0/1

[Device-security-zone-web] quit

[Device] security-zone name market

[Device-security-zone-market] import interface gigabitethernet 1/0/2

[Device-security-zone-market] quit

[Device] security-zone name finance

[Device-security-zone-finance] import interface gigabitethernet 1/0/3

[Device-security-zone-finance] quit

[Device] security-zone name dns

[Device-security-zone-dns] import interface gigabitethernet 1/0/4

[Device-security-zone-dns] quit

3. 配置對象

# 創建名為web的IP地址對象組，並定義其主機名稱為***.***，具體配置步驟如下。

[Device] object-group ip address web

[Device-obj-grp-ip-web] network host name ***.***

[Device-obj-grp-ip-web] quit

4. 配置DNS服務器地址

# 指定DNS服務器的IP地址為10.10.10.10，確保Device可以獲取到主機名對應的IP地址，具體配置步驟如下。

[Device] dns server 10.10.10.10

5. 配置安全策略

# 配置名稱為dnslocalout的安全策略規則，允許Device訪問DNS服務器，具體配置步驟如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name dnslocalout

[Device-security-policy-ip-0-dnslocalout] source-zone local

[Device-security-policy-ip-0-dnslocalout] destination-zone dns

[Device-security-policy-ip-0-dnslocalout] destination-ip-host 10.10.10.10

[Device-security-policy-ip-0-dnslocalout] action pass

[Device-security-policy-ip-0-dnslocalout] quit

# 配置名稱為host-dns的安全策略規則，允許內網主機訪問DNS服務器，具體配置步驟如下。

[Device-security-policy-ip] rule name host-dns

[Device-security-policy-ip-1-host-dns] source-zone finance

[Device-security-policy-ip-1-host-dns] source-zone market

[Device-security-policy-ip-1-host-dns] destination-zone dns

[Device-security-policy-ip-1-host-dns] source-ip-subnet 10.0.11.0 24

[Device-security-policy-ip-1-host-dns] source-ip-subnet 10.0.12.0 24

[Device-security-policy-ip-1-host-dns] destination-ip-host 10.10.10.10

[Device-security-policy-ip-1-host-dns] service dns-udp

[Device-security-policy-ip-1-host-dns] action pass

[Device-security-policy-ip-1-host-dns] quit

# 配置名稱為finance-web的安全策略規則，允許財務部通過HTTP協議訪問財務管理Web服務器，具體配置步驟如下。

[Device-security-policy-ip] rule name finance-web

[Device-security-policy-ip-2-finance-web] source-zone finance

[Device-security-policy-ip-2-finance-web] destination-zone web

[Device-security-policy-ip-2-finance-web] source-ip-subnet 10.0.11.0 24

[Device-security-policy-ip-2-finance-web] destination-ip web

[Device-security-policy-ip-2-finance-web] service http

[Device-security-policy-ip-2-finance-web] action pass

[Device-security-policy-ip-2-finance-web] quit

# 配置名稱為market-web的安全策略規則，禁止市場部在任何時間通過HTTP協議訪問財務管理Web服務器，具體配置步驟如下。

[Device-security-policy-ip] rule name market-web

[Device-security-policy-ip-3-market-web] source-zone market

[Device-security-policy-ip-3-market-web] destination-zone web

[Device-security-policy-ip-3-market-web] source-ip-subnet 10.0.12.0 24

[Device-security-policy-ip-3-market-web] destination-ip web

[Device-security-policy-ip-3-market-web] service http

[Device-security-policy-ip-3-market-web] action drop

[Device-security-policy-ip-3-market-web] quit

# 激活安全策略規則的加速功能，具體配置步驟如下。

[Device-security-policy-ip] accelerate enhanced enable

[Device-security-policy-ip] quit