在策略中使用FQDN

收藏

一、定义域名作为地址对象

在防火墙策略中可以使用域名方式来定义防火墙的地址对象,如下所示:

在定义域名对象时,应该注意域名写法要符合一定规则:

1、不要带”https://”和”http://”

  1. 不要带目录,比如”www.sina.com.cn/sport”

  1. 域名作为地址的工作原理

防火墙在处理域名地址对象时,首先是将它翻译成IP地址。防火墙是根据自身的DNS设置,来查询DNS服务器,获得域名对应的IP。这里有两个注意事项:

  1. 因为同样的域名,有可能是对应多个IP,所以防火墙本身的DNS设置,应与客户端DNS设置保持一致

  2. 如果防火墙启用Vdom的,发出DNS解析的vdom是“管理vdom”,所以需要”管理vdom”能够访问DNS服务器。

我们可以使用命令:dump firewall iprope list来查看当前策略实际对应的地址。如下图所示,可以看到FQDN地址对象已经被解析成IP了。

  1. 调试工具

在命令行下提供了工具可以对FQDN解析进行操作。

dump test application dnsproxy

1. Clear DNS cache

2. Show stats

3. Dump DNS setting

4. Reload FQDN

5. Requery FQDN

6. Dump FQDN

7. Dump DNS cache

8. Dump DNS DB

9. Reload DNS DB

10. DNS debug bit mask

©2020Easynetworks(简网科技)All Rights Reserved.