H3C F100 防火墙，支持地址组写域名吗，然后再策略里调用，只允许访问这几个域名。

可以的，但URL需要对应授权

1、域名配置，使用地址对象，选择【主机】对应填写域名。

2、安全策略，【 高级  】安全里，选择URL。

支持的

估计是版本问题，对象-->地址组-->没有域名对象

1. 在地址组里通过主机名的方式，添加域名

2. 在安全策略里目的地址调用 地址组

结果：不生效，没用。

解决：

 通过URL过滤，白名单方式

 1. 对象-->应用--URL过滤--配置文件--新建--默认黑名单--开启白名单模式、HTTPS--添加白名单

2. 安全策略里，调用URL

HTTPS 域名不生效：防火墙开启特征库 / 云端查询（url-filter policy DOMAIN-WHITE / cloud-query enable），需要 URL 特征库授权；
查看防火墙域名解析：display dns host；查看地址组域名：display object-group ip host ALLOW-DOMAIN；
若要模糊匹配所有子域名，用正则：add whitelist host regex .*\.baidu\.com。

 第一步：创建包含域名的地址对象组

• 操作：进入“对象” -> “地址” -> “地址组”，新建一个IPv4地址对象组（例如命名为 Allow_Domains）。
• 添加内容：在类型中选择“主机名”，然后依次填入你需要允许访问的域名，例如 ***.***、***.*** 等。

 第二步：配置安全策略（核心）

1. 放行策略（优先级最高）：
   • 源地址/区域：填写那台特定的内网主机IP（或所在的Trust区域）。
   • 目的地址：选择你刚刚创建的地址对象组 Allow_Domains。
   • 动作：允许（Permit/Pass）。
2. 拒绝策略（兜底）：
   • 源地址/区域：同样填写那台特定的内网主机IP。
   • 目的地址/区域：任意（Any）或 Untrust 区域。
   • 动作：拒绝（Deny/Drop）。

 第三步：开启 DNS 代理（成败关键！）

• 开启 DNS Proxy：在防火墙的系统视图或网络设置中，开启 DNS 代理（DNS Proxy） 功能。
• 配置 DNS 服务器：在防火墙上配置一个能正常上网的公网 DNS（如 114.114.114.114 或 223.5.5.5），让防火墙自己能解析出你填写的域名对应的 IP。
• 修改内网主机的 DNS：极其重要！ 你必须将那台特定内网主机的 DNS 服务器地址，修改为这台 H3C 防火墙的内网接口 IP。
  • 原理：只有这样，当这台主机访问 ***.*** 时，才会先向防火墙发起 DNS 请求。防火墙在代理解析的同时，就能准确知道该主机要访问哪个 IP，从而精准匹配你配置的安全策略。如果主机使用其他 DNS（如直接指向光猫或公网DNS），防火墙就无法将域名和策略对应起来，导致访问失败。