防火墙访问指定域名
背景介绍
在现代企业网络环境中,网络安全已成为一个不可忽视的重要议题,防火墙作为网络安全的第一道防线,其配置和管理直接影响到整个网络的安全性和稳定性,随着互联网的快速发展,动态IP地址的普及使得传统的基于IP地址的防火墙策略变得不再适用,为了应对这一挑战,越来越多的企业开始采用域名组来代替IP地址,作为安全策略的匹配条件,本文将详细介绍如何在防火墙中配置域名组,以实现对指定域名的访问控制。
一、什么是域名组?
域名组是域名的集合,本质上也是IP地址组,在动态网络环境中,IP地址不断变化,网络管理员很难及时跟踪到IP地址的变化并更新安全策略,在这种情况下,可以使用域名组代替IP地址,作为安全策略的匹配条件,常见的场景包括:放行或阻断所有去往指定域名的流量;阻断去往某个指定域名的流量,但是放行去往其子域名的流量;禁止员工访问外网,但是允许软件自动更新。
二、域名组的工作原理
客户端以域名形式访问指定服务时,首先需要向DNS服务器发起DNS请求,防火墙从DNS服务器的应答报文中解析出域名和IP地址的映射关系,确认该域名归属于某域名组,并记录到域名映射表中,在客户端向服务端发起业务访问时,防火墙根据域名映射表检查安全策略,在这种场景下,客户端的DNS请求报文必须经过防火墙,否则防火墙无法从DNS应答报文中解析域名和IP地址的映射关系。
三、如何在防火墙中配置域名组?
配置域名组
以Windows系统更新场景为例,域名组的配置完整配置包括3个步骤。
配置域名组,Windows系统更新使用的域名较多,具体请以微软官方文档为准,此处仅为示例,不保证域名列表完整。
domain-set
name WindowsUpdate
add domain
windowsupdate.microsoft.com
add domain *.windowsupdate.microsoft.com
add domain *.update.microsoft.com
add domain *.windowsupdate.com
add domain download.microsoft.com
add domain wustat.windows.com
域名组中添加的域名信息,可以是具体的域名(如download.example.com),也可以使用通配符(如*.example.com),以下域名都可以匹配*.example.com:www.example.com、news.example.com、www.news.example.com,如果使用通配符,最多只能包含1个“*”且必须以“*”开头,其格式只能是表3-1支持的类型。
表3-1 使用通配符的域名格式
| 支持的域名格式 | 不支持的域名格式 |
| *.example.com<br/>*.a.example.com<br/>*.a.b.example.com | *.com或*.net (太多域名,无法处理)<br/>*.*.example.com (可以使用*.example.com)<br/>*.example.*.com (只能包含1个通配符)<br/>example.*.com (通配符必须位于开头)<br/>*example.com或example*.com (通配符必须是域名空间的一个节点)<br/>*.a.b.c.example.com (最多支持5级域名空间) |
在防火墙上配置DNS服务器
该DNS服务器必须与客户端使用的DNS服务器保持一致,此处以114DNS为例。
dns resolve
dns server 114.114.114.114
dns server 114.114.115.115
在安全策略中引用域名组
注意,请务必为DNS请求报文配置安全策略。
security-policy
rule name "Allow Windows update"
source-zone trust
destination-zone untrust
source-address 10.1.1.10 24
destination-address domain-set WindowsUpdate
//引用已创建的域名组。
action permit
rule-name "Allow DNS"
source-zone trust
//允许客户端DNS请求经过防火墙
source-zone local
//允许防火墙发送DNS请求报文
destination-zone untrust
//DNS服务器所在区域
destination-address address-set 114DNS
//目的地址是114DNS的地址
service dns
action permit
配置完成后,从客户端Ping域名组中的域名,触发DNS解析,然后使用display domain-set verbose domain-name命令查看解析出来的IP地址。
四、云防火墙中的域名接入
随着云计算的发展,越来越多的企业开始使用云防火墙来保护其云上资源,云防火墙同样支持通过域名组来实现对指定域名的访问控制,以下是腾讯云防火墙中接入运维域名和Web域名的操作指南。
登录云防火墙控制台
在左侧导航中,选择零信任运维 > 接入管理。
接入运维域名
运维域名用于指定地域下资产 SSH、RDP、数据库的公网远程登录和运维,仅限四层协议访问,接入后可实现通过公网访问域名代理。
单击接入域名,选择运维域名。
您可通过两种方法绑定运维域名。
由云防火墙提供的子域名:云防火墙指定域名后缀不可更改,您可以拟定一个四级域名,test.cfw.tencentcs.com,每个用户每个地域仅限创建一个,操作步骤:选择云防火墙提供选项,选择域名需要关联的地域,并填入自定义的子域名前缀,单击确定。
自有域名绑定:如果您需要使用自有域名进行运维,请选择此选项,请确保填入的域名已备案,否则可能无法正常接入,操作步骤:选择自有域名选项,选择域名需要关联的地域,并填入自有域名地址,单击确定。
完成接入,如果您选择的是云防火墙提供的子域名,无需手动更换解析地址,可直接通过域名进行公网运维,如果您选择的是自有域名,请在接入完成后,将自有域名的解析地址修改至列表中提供的 cname。
接入Web域名
Web 域名是用于资产 Web 网站访问的域名,请确保域名已备案,接入后可实现通过公网的反向代理访问,支持公网防护及身份访问控制。
单击接入域名,选择 Web 域名。
Web 域名仅支持接入自有域名,请确保填入的域名已备案,否则可能无法正常接入,根据提示选择域名需要关联的地域,并填入自定义的子域名前缀。
关联SSL证书,托管SSL证书后可用于零信任中 Web 防护的 HTTPS 访问,您需要从腾讯云托管证书中选择,如您暂未托管请前往 SSL证书控制台 管理,注意:若您需要使用公网 Web服务的无端运维,请确保关联域名已托管证书,否则将无法接入。
单击确定,完成接入,在接入完成后,尽快将自有域名的解析地址修改至列表中提供的 cname,注意:Web 域名仅限通过公网访问,如果您之前域名已挂载Web服务,请在完成域名绑定后再切换解析地址,否则可能导致找不到真实服务地址导致访问失败。
五、Windows系统中的限制访问设置
除了使用域名组来实现对指定域名的访问控制外,还可以通过Windows系统自带的防火墙功能来实现更细粒度的控制,只允许某些IP地址访问指定的端口或网站。
打开Windows安全中心
查看网络使用的那个防火墙(公用网络)。
点击下面高级设置。
点击入站规则。
比如要设置共享文件夹的只允许某个ip访问,要对445端口进行设置,找到配置文件是公用,右键属性,选中作用域,把需要访问的ip填入,别忘了启用规则,然后就可以了,也可对配置文件是所有的进行设置,即三种是都允许。
设置远程桌面的端口是3389,设置其他的自行搜索,如果没有对应端口,可以新建规则名称自取,并启用规则。
2. Windows防火墙出站规则只允许访问指定域名ip
公司内网的windows服务器因业务需要只需访问互联网指定的域名ip,其他的因出于系统网络安全考虑需要屏蔽阻止业务无关的其他所有域名和ip的访问,实现方案是在windows防火墙中进行设置,如果安装其他网络防火墙会存在安全隐患,公司不允许安装私人或非法的网络软件,因此只能基于windows自带的防火墙进行处理,不能安装类似瑞星、火绒之类的网络安全管理软件,实现思路是通过查询业务需要的域名对应的ip,在防火墙中设置这些ip的访问为允许通过,然后对应其他所有ip:0.0.0.0-254.254.254.254的所有IP范围中,除去业务需要的ip地址外,剩余的ip范围全部列入阻止出站,实现方法是用站长工具测试业务域名对应的IP地址,所有IP范围 业务所需的IP范围 = 剩余需阻止的ip范围,关键难度在于如何得到剩余阻止的ip范围,可以通过编程实现自动对允许访问的IP进行分析得到禁止访问的IP范围的终止ip和起始ip等,程序界面如下:比如业务允许访问的互联网ip为9.0.0.3,11.1.1.3以及局域网ip段10网段,172网段和192网段都允许访问其他的ip网段全部都不允许访问,通过程序分析后得到需要阻止的IP段为0.0.0.0-9.0.0.2,9.0.0.4-9.254.254.254;11.0.0.0-11.1.1.2;11.1.1.4-71.254.254.254;173.0.0.0-191.254.254.254;193.0.0.0-254.254.254.254替换remoteip的内容即可,然后管理员方式打开CMD输入命令netsh advfirewall firewall add rule name="disabledIP" dir=out action=block remoteip="0.0.0.0-9.0.0.2;9.0.0.4-9.254.254.254;11.0.0.0-11.1.1.2;11.1.1.4-71.254.254.254;173.0.0.0-191.254.254.254;193.0.0.0-254.254.254.254"注意替换remoteip的内容为上面工具分析处理的结果即可最后wf.msc打开高级防火墙即可出现已添加的出站阻止ip。
各位小伙伴们,我刚刚为大家分享了有关“防火墙 访问 指定域名”的知识,希望对你们有所帮助。如果您还有其他相关问题需要解决,欢迎随时提出哦!
原创文章,作者:未希,如若转载,请注明出处:https://www.kdun.com/ask/1286948.html
本网站发布或转载的文章及图片均来自网络,其原创性以及文中表达的观点和判断不代表本网站。如有问题,请联系客服处理。
发表回复