*.baidu.com通配拦截全部子域名。system-view
# 1. 全局开启DNS代理
dns proxy enable
# 配置防火墙上游公共DNS
dns server 223.5.5.5
dns server 114.114.114.114
# 2. 创建DNS黑名单
dns filter denylist BAIDU_BLOCK
domain www.baidu.com
domain *.baidu.com
# 绑定黑名单到DNS代理全局生效
dns proxy dns-filter denylist BAIDU_BLOCK
# 3. 安全策略放行内网DNS流量(trust→untrust UDP53)
security-policy ip
rule 10 name PERMIT_DNS
source-zone trust
destination-zone untrust
service dns
action pass
logging enable
www.baidu.com、*.baidu.com,开启 DNS 代理绑定该黑名单。system-view
feature url-filter enable
# 创建URL过滤策略,拒绝百度域名
url-filter profile BLOCK_BAIDU
rule 1 deny url "*.baidu.com"
# 安全策略引用URL过滤
security-policy ip
rule 20 name BLOCK_BAIDU_WEB
source-zone trust
destination-zone untrust
action pass
url-filter-profile BLOCK_BAIDU
logging enable
system-view
# 创建域名地址对象
object-group ip address BAIDU_IP
network host name www.baidu.com
quit
# 安全策略拒绝访问
security-policy ip
rule 30 name BLOCK_BAIDU_IP
source-zone trust
destination-zone untrust
destination-address BAIDU_IP
action deny
logging enable
security-policy ip
rule 99 name BLOCK_ALL_DNS
source-zone trust
destination-zone untrust
service dns
action deny
acl number 3000
rule permit udp destination 192.168.1.10 0 destination-port eq 53
rule deny udp destination-port eq 53
security-policy ip
rule DNS_FORCE_PROXY
source-zone trust
destination-zone untrust
service udp 53
source-address any
destination-address any
acl 3000
action deny
dns proxy+DNS 过滤,仅靠域名地址组策略会失效,透明模式无法识别 DNS 域名报文。# 查看DNS过滤黑名单
display dns filter denylist
# 查看安全策略命中日志
display security-policy statistics
# 查看DNS代理会话
display dns proxy session
# 查看URL过滤匹配记录
display url-filter statistics
暂无评论
在H3C SecPath F1090防火墙上拦截DNS流量,可以通过多种方式实现,其核心思路是阻断客户端对特定域名的解析请求。
考虑到你提到的“访问百度的流量,直接能拦截”这一需求,最精准、高效的方法是采用DNS代理结合DNS黑名单的方案。
此方案通过拦截DNS解析请求,使客户端无法获取目标IP,从而实现彻底阻断。
配置步骤:
开启DNS代理:在系统视图下开启代理功能,并配置上游DNS服务器。
创建DNS黑名单:创建一个名为BAIDU_BLOCK的黑名单,并添加要拦截的域名,支持通配符。
配置安全策略:放行内网到防火墙的DNS(UDP 53)流量。
效果:内网终端ping www.baidu.com将提示找不到主机,浏览器会显示DNS_PROBE_FINISHED_NXDOMAIN。
此方案不阻断DNS解析,而是在客户端获取IP后,阻断其HTTP/HTTPS请求。
配置步骤:
开启URL过滤:
安全策略引用:
注意:如需拦截HTTPS流量,需同时开启SSL深度检测功能。URL过滤对加密流量(HTTPS)的拦截依赖于SNI,若客户端或应用不提供SNI,则可能无法生效。
此方案通过编写Snort规则来匹配DNS请求报文中的特定字段,灵活性高。
Snort规则示例:拦截域名中包含“abc”的UDP和TCP DNS请求。
配置步骤:
此方案基于域名动态解析出的IP进行拦截,时效性差,不推荐。
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论