Быстрый поиск
Russia Ukraine Belarus Israel Turkey Lithuania Latvia Estonia Mongolia Moldova Armenia Kazakhstan Georgia
Смотрите также
Вопрос: Как заблокировать доступ к сайту используя FQDN вместо URL фильтрации?

Ответ: 

Устройство DFL позволяет в IP политиках использовать в качестве адреса FQDN (доменное имя ) объект вместо обычных IP адресов. При помощи данной функции можно ограничить доступ к сайтам не используя http/https ALG или web policy.

Разница при использовании блокирования по FQDN в IP политике и другими методами, только в том, что пользователю не будет выводиться сообщение о том, что данный ресурс заблокирован.

В этом примере будет произведена блокировка сайтов vk.com и facebook.com.

ВНИМАНИЕ!! Убедитесь, что в настройках DFL System → DNS, установлен рабочий DNS сервер.

Создание FQDN объектов.

Пример для web интерфейса.

Пройдите в web интерфейсе Objects → Address Book, затем нажмите кнопку Add и из выпадающего меню выберите FQDN Address

Заполните поля следующим образом:

Name: vk
Address: vk.com

Затем нажмите Ок.

Создайте аналогично FQDN объект с параметрами:

Name: facebook
Address: facebook.com

Пример для CLI.

Выполните в CLI команды:

add Address FQDNAddress vk Address=vk.com
add Address FQDNAddress facebook Address=facebook.com

ВНИМАНИЕ!!! Следует помнить, что некоторые сайты могут иметь альтернативные доменные имена. В этом случае их так же надо блокировать. Так же сайты с www и без могут иметь разные IP (например если вы заблокируете только домен youtube.com, то www. youtube.com имеющий другой IP адрес будет открываться без ограничений ).

Объединим FQDN адреса в группу для упрощения настройки IP политики.

Пример для web интерфейса.

Пройдите в web интерфейсе Objects → Address Book, затем нажмите кнопку Add и из выпадающего меню выберите FQDN Group.

Укажите в поле «Name» значение «block» и добавьте объекты vk и facebook в меню selected.

Нажмите кнопку Ок.

Пример для CLI.

Выполните в CLI следующую команду:

add Address FQDNGroup block Members=vk,facebook

Создадим IP политику.

Пример для web интерфейса.

Пройдите в web интерфейсе Policies → Firewalling → Main IP Rules, затем нажмите кнопку Add и из выпадающего меню выберите IP Policy.

Заполните поля следующим образом:

Name: block
Deny Behavior: Reject

Source Interface: lan1
Source Network: lan1_net
Destination Interface: wan1
Destination Network: block
Service: all_services


Нажмите кнопку Ок.

Пример для CLI.

Выполните в CLI следующую команду:

add IPPolicy Name=block SourceInterface=lan1 SourceNetwork=InterfaceAddresses/lan1_net DestinationInterface=wan1 DestinationNetwork=block Service=all_services Action=Deny Reject=Yes

Теперь для того, чтоб это правило заработало, необходимо разместить это правило выше правила, которое разрешает доступ в интернет.

Пример для web интерфейса.
Кликните правой кнопкой мышки на созданную политику и выберите из открывшегося меню Move to Top.

Пример для CLI.

Выполните в CLI команду:

set IPPolicy 3(block) Index=1

Сохраните и активируйте настройки.

Продукты и решения | Поддержка  | Новости  | О компании |