华为防火墙黑白名单网址过滤设置

Posted 2023-04-04 毛毛在江湖

项目背景：现在有一个新项目，要求设置网站黑白名单，即vlan84这个网段只允许访问*.kuaidi100.之类的，其他的不允许；vlan85这个网段.youku.*等视频网段不能访问外，其他的都可以访问。

要求如下：

vlan84

192.168.184.0/24 白名单设置：只允许访问以下网站
.kuaidi100.
.sf-express.
.yto.
.zto.
.800bestex.
…等等网址；

vlan85

192.168.185.0/24 黑名单设置：不允许访问以下这些网站，除此之外的网址都可以访问
.youku.
.bilibili.
.iqiyi.
.tudou.
…等等网址；

防火墙操作步骤如下：
一、作白名单操作，新建vlan84的安全策略

二、选择内容安全，作URL网址过滤
加密流量过滤：这里如果选中，对于加密的https网页也会起到过滤的作用，因为我这里大部分网页过滤都是https类型的，所以我这里选中；
缺省动作：有三个选项，允许/告警/阻断，因为我这里是除了我白名单这些网站可以访问外，其他的网址缺省动作会被阻断。
白名单URL/Host：这里写上你要过滤的网址

三、作黑名单操作，新建vlan85的安全策略

四、选择内容安全，作URL网址过滤
加密流量过滤：这里如果选中，对于加密的https网页也会起到过滤的作用，因为我这里大部分网页过滤都是https类型的，所以我这里选中；
缺省动作：有三个选项，允许/告警/阻断，因为我这里是除了我黑名单这些网站会被禁止访问，其他的网址缺省动作会被允许。
白名单URL/Host：这里写上你要过滤的网址

五、防火墙上提交
如做URL设置上的改变，防火墙上先选择“提交“”------“保存”
否则黑白名单设置会不生效。

linux dhcp 如何设置白名单？

dhcp服务器搞白名单？绑定MAC不就可以了嘛。1.给mac地址绑定ip地址并配置其通过相应的防火墙的过滤
首先修改dhcp的相应的配置文件vi /etc/dhcpd.conf在里面加入相应的记录 service dhcpd restart重启服务第二步，iptables -A FORWARD -s 192.168.1.228 -m mac --mac-source 00:25:11:22:12:E2 -j ACCEPT（也可以通过修改配置件/etc/sysconfig/iptables.save来实现防火墙的配置）；
第三步，/etc/init.d/iptables save保存对防火墙的修改。
2.将内部服务器通过防火墙映射到外网，实现外网可以访问内网的功能。
第一，iptables -t nat -A PREROUTING -d 124.193.140.66 -p tcp --dport 7080 -j DNAT --to 192.168.0.170:9080（让内网服务器的相应的端口通过nat映射到外网地址的相应的端口）。
删除 iptables -t nat -D PREROUTING
第二，iptables -A FORWARD -d 192.168.0.170 -p tcp --dport 9080 -j ACCEPT（允许内网服务器的相应的端口同过防火墙）
第三，/etc/init.d/iptables save（保存对防火墙的修改） 参考技术A 设置里有