F1000-AI-25 和 F100-E-G5 係列防火牆URL過濾、主機名過濾策略不生效

1 配置需求或說明

1.1  適用的產品係列

本案例適用於軟件平台為Comware V7係列防火牆：如F1080、F1070、F5040、F5020等F10X0、F50X0係列的防火牆。

注：本案例是在F100-C-G2的Version 7.1.064, Release 9510P08版本上進行配置和驗證的。

1.2  配置需求及實現的效果

防火牆部署在互聯網出口，需要實現通過安全策略限製訪問www.baidu.com的目的。

2 組網圖

1 配置步驟

1.1  防火牆連接互聯網配置

上網配置略，請參考《輕輕鬆鬆配安全》2.1章節防火牆連接互聯網上網配置方法案例。

1.2  開啟本地DNS代理

#開啟設備本地DNS代理功能，用於解析域名。

1.3  配置安全策略

#在“策略”>“安全策略”中點擊新建，創建名稱為“denybaidu”的安全策略，源安全域為“trust”，動作選擇拒絕，目的地址位置點擊下拉菜單後點擊“添加IPV4地址對象組”。

 #新建對象組名為“baidu”的對象組，點擊添加按鈕。

#對象選擇主機名，輸入www.baidu.com點擊確定完成配置。

#檢查配置無誤後點擊確認按鈕完成配置；

#在“策略”>“安全策略”中繼續新建名稱為“passany”的安全策略，源安全域為“trust”、目的安全域為“untrust”、動作選擇允許。

1.4  保存配置

1.5  測試結果

使用瀏覽器打開www.baidu.com,不能正常訪問：

使用瀏覽器打開***.***,可以正常訪問：

查看pc針對百度解析的地址為39.156.66.18：

查看設備的安全策略日誌，可以看到針對改目的ip已成功拒絕（第三條）：