防火牆限制訪問特定網站案例

近日遇到一個客戶有個需求，限制內部用戶只能訪問互聯網某些特定網站， 其他都不行。想來沒什麼難度，域間策略放行了DNS地址和網站地址， 測試，OK沒問題。 過了幾日，客戶說，網站打不開了，沒人動過設備，這就奇怪了，去現場 登錄設備查看，配置確實沒有改動，PING了一下網站地址，是通的， 把域間策略關閉，設置成全部放行，就通了，可以正常訪問網站了。 看來還是域間策略出問題了，再次測試一下網站IP，發現變了。 這就比較麻煩了，網站的IP會變。 IP會變，但是域名不會變，所以通過域名來做控制可以避免這個問題， 在寫域名的時候要注意，例如要放行百度，可以寫成 baidu.com， 不要加www，不然百度的其他應用就打不開了。 這樣就解決了域名IP變化的問題。但是過了幾天， 可以要加一個新網站，繼續按之前的操作，發現網頁打不開， 還是繼續打開域間策略，就可以訪問了。 看來還是在域間策略的目的地址這一塊。 這裏就有一個關鍵點了，現在的很多網站都不再是單純的自己製作 全部內容了，會從別的地方調用一些東西，所以說你打開一個網頁， 實際是這個網頁又會去告訴你從哪些IP那裏再下載些什麼東西。 瞭解上面的情況，那接下來就是找到還需要放行哪些IP，這裏要注意一點， 真的是對互聯網用戶提供服務器的網站，網頁內容十分豐富， 會調用的外部IP可能會很多，所以去找這些IP，很麻煩， 這裏還是針對一些內部OA，辦公一類的網站，內容簡單，用戶專一。 先打開域間策略可以訪問，然後在防火牆內根據源IP查找會話列表， 此時的會話列表肯定有很多，要根據TCP會話的時間， 查找和域名IP同時一起發起的連接的IP地址，再逐個測試排查。 雖然麻煩點，最後還是能測試出來具體哪個IP。 上述其實是笨辦法，如果由專門的應用控制設備，可以識別出應用， 網站就會簡單多了。