提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

【AF】应用控制放通网站的ip还是不能打开网站

|

问题描述

应用控制有一条默认拒绝所有的策略以及一条放通QQ和微信的策略,现在白名单添加www.baidu.com的域名,但打开网页后仍无法访问到百度的页面。

告警信息

打开网页后提示域名解析错误,使用PING命令会提示解析不正确的主机名。
ping测试:

处理过程

开启设备直通后资源可以正常访问,查看日志,发现访问域服务器的IP会被拒绝,将客户所使用的DNS服务器IP添加进白名单后,可以正常访问到百度。

根因

默认策略拒绝所有,包括域名服务器,因此无法正常解析到域名。

解决方案

1、将DNS服务器的ip和端口在应用控制中放通;
2、白名单优先级高于应用控制策略,将域名的IP添加进白名单放通,白名单配置路径:
(1)在AF标准版本6.8之前,是【全局排除地址】只能放行,不能全局封堵;
(2)从AF标准版本6.8开始,在【系统】-【全局放行与封堵】中进行配置,可以自定义放行名单和封堵名单;
(3)从AF标准版本7.4开始,在【策略】-【黑白名单】中进行配置,可以自定义放行和封堵名单。

建议与总结

建议用应用控制策略放通,因为添加到白名单会导致策略对排除的ip不生效,对于内网有安全风险,所以不建议添加名单。
张宇畅 发表于 2022-4-14 10:44
  
感谢分享学习资料,对工作很有帮助。

我要分享
文档编号: 53436
更新时间: 2018-09-07 15:50
适用版本: