华为防火墙配置了限制一台主机只能访问固定域名和IP的安全策略后打开网站加载速度很慢半天打不开

最新推荐文章于 2023-11-07 09:17:13 发布
最新推荐文章于 2023-11-07 09:17:13 发布
阅读量4.1k 收藏 5
点赞数
分类专栏: 防火墙 文章标签: 华为
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42672685/article/details/120862013
版权

环景:

华为USG6311E
VRP ® Software, Version 5.170 (USG6300E V600R007C00SPC200)
V200R007C00SPC091

PC联想win10专业版

谷歌浏览器版本 88.0.4324.182

问题描述:

华为防火墙配置了安全策略限制一台主机只能访问固定域名和IP地址,开启策略后打开网站速度加载很慢,关闭策略后访问秒开

原因分析:

可能部分域名访问还会跳转请求其他ip站点,未加入可访问策略,防火墙未放行

解决方案:

1.Wireshark抓包,防火墙web页面五元组抓包,防火墙会话采集分析看看有没异常
防火墙采集会话方法:
[USG] dia(进入诊断视图)
在诊断视图下输入:
display firewall session table detail source inside 192.168.1.1 (发起访问的设备的ip 地址,如果是公网地址使用global参数代替inside参数)destination inside 1.1.1.1(目的ip地址,如果是公网地址使用global参数代替inside参数),在发起访问的同时打印该信息*

2.谷歌浏览器按F12打开调试network

3.然后打开只能访问固定域名,查看它跳转请求其他ip站点(这个只是看到一些ip看第四步)
在这里插入图片描述

4.将站点要访问其他ip全加入防火墙可访问策略

最好找一台新安装系统别的什么也没安装的电脑测试,你要做策略的目的网站和IP地址,一个一个网站/IP测试,防火墙开启流统看看它们要访问哪些目的IP,收集这些IP

[USG]ACL 3333

[USG-acl-adv-3333]rule 5 permit ip source 测试端ip地址 0 destination 服务器ip 0

[USG-acl-adv-3333]rule 10 permit ip source 服务器ip 0 destination 测试端ip地址 0

[USG]diagnose

[USG-diagnose] firewall statistic acl 3333 enable
采集信息时请不断访问服务器,为了准确性每次都要清空浏览器历史记录,否则可能采集不到有效信息

[USG-diagnose] display firewall statistic acl

Protocol(tcp) SourceIp测试机(192.168.1.152) DestinationIp(1xx.2x.2x.52)
SourcePort(61163) DestinationPort(443) VpnIndex(public)
RcvnFrag RcvFrag Forward DisnFrag DisFrag
Obverse(pkts) : 3 0 0 3 0
Reverse(pkts) : 0 0 0 0 0

关闭流量统计功能
[USG-diagnose] undo firewall statistic

[USG-diagnose] reset firewall statistic acl all清除先前的统计信息。

将这个网站需要访问的目的地址1xx.2x.2x.52加入防火墙允许访问地址列表,有多少个就全要加入

5.检查复盘一下没问题,就OK了?

玩人工智能的辣条哥
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
windows10、11只允许访问指定IP域名访问
m0_57544199的博客
05-07 2020
2、Windows 11,只能访问指定IP地址(192.168.20.240)选择目的地址-任何IP地址(要阻止全部访问,如果选择任何IP地址)鼠标右键,选择管理IP筛选器列表和筛选操作。点击刚才创建的策略-选择添加IP安全规则。创建IP筛选器列表(阻止策略)-选择添加。在IP筛选器中,已经显示刚才创建策略。同时也可以限制端口或是网站等。目的地址:选择允许访问IP地址。选择源地址-选择任何IP地址。筛选器操作(策略动作)-添加。选择刚刚创建允许筛选器操作。选择刚刚创建的筛选器操作。添加允许IP地址策略。
华为防火墙配置安全策略限制一台主机只能访问两个域名其他不能访问
玩人工智能的辣条哥的博客
04-28 3487
设备 华为USG6311E V200R007C00SPC091 配置说明 内网一台主机安全策略限制只能访问两个域名其他不能访问 1·先把相关对象设置好 2· rule name dns source-zone local #放通防火墙自身发送的dns请求报文 source-zone trust #放通客户端发送的dns请求报文过墙 destination-zone untrust destination-address address-set
防火墙简单介绍
lovelhg的博客
03-14 670
防火墙基础
华为防火墙,如何配置禁止一网段IP上网
玩人工智能的辣条哥的博客
03-29 9102
环境: 华为USG6311E VRP ® Software, Version 5.170 (USG6300E V600R007C00SPC200) V200R007C00SPC091 问题描述: 华为防火墙,如何配置禁止一网段IP上网 解决方案: 1.新建要禁止的对象,假设为名称为1禁内容为192.168.1.2、、、192.168.1.250 2.策略-新建安全策略,最后动作选禁止,确定就完成配置 3.如后期新上线ip为192.168.1.33是在禁止对象里面的,他开始是不能上网,要将它从对象内容删除
windows防火墙出站规则只允许访问指定域名ip,其他出站ip全部阻止的方法
baozou_jianghuxing的专栏
06-01 1万+
需求背景:公司内网的windows服务器因业务需要只需访问互联网指定的域名ip,其他的因出于系统网络安全考虑需要屏蔽阻止业务无关的其他所有域名ip访问。实现方案:在windows防火墙中进行设置,如果安装其他网络防火墙会存在安全隐患,公司不允许安装私人或非法的网络软件,因此只能基于windows自带的防火墙进行处理,不能安装类似瑞星、火绒之类的网络安全管理软件。实现思路:通过查询业务需要的域名对应的ip,在防火墙中设置这些ip访问允许通过。然后对应其他所有ip:0.0.0.0-254.254.254
配置防火墙内外访问外网
T061129的博客
11-07 2274
1 、给接⼝配置 IP 地址(默认是存在的)2 、允许接⼝所有服务类型,其中包括 ping , https[USG6000V1-GigabitEthernet0/0/0]service-manage enable //开启服务管理[USG6000V1-GigabitEthernet0/0/0]service-manage all permit //允许所有服务3 、将接⼝加⼊防⽕墙安全区域。
华为防火墙双出口,如何配置指定IP访问特定目的地址的流量自动转发至指定出口
玩人工智能的辣条哥的博客
03-10 2315
环景: 华为USG6311E VRP ® Software, Version 5.170 (USG6300E V600R007C00SPC200) V200R007C00SPC091 电信宽带:拨号 接口:0/0/8 联通宽带:固定IP 12.25.35.xx 接口:0/0/9 内网接口0/0/3 问题描述: 华为防火墙双出口,如何配置内网特定一个IP :192.168.200.16主机访问公网云服务器ip:45.56.X.X的流量走指定联通出口,访问云服务器ip以外任何地址的流量走原来电信出口,原来有一
华为防火墙USG6000V-基于IP地址和端口的安全策略.pdf
05-12
华为防火墙USG6000V-基于IP地址和端口的安全策略.pdf
华为防火墙安全策略管理与配置的原则
09-16
安全策略管理与配置的原则
华为防火墙安全策略基础
09-16
安全策略基础
华为防火墙安全区域及安全策略实验配置
11-11
华为防火墙安全区域及安全策略基础实验配置,包含配置
华为防火墙如何为NAT开放安全策略
09-16
如何为NAT开放安全策略
华为防火墙 设置当访问指定IP的流量时转发至另一个防火墙出口
一直被模仿,从未被超越
11-12 985
需求:上海与福州通过两边防火墙IPSec已成功建立VPN,实现内网互通 阿里部署了OpenVPN,且开通了上海的白名单,上海可以通过OpenVPN可以连接阿里内网 但是福州没有固定IP,无法开通白名单,怎么办? 可以通过NAT解决,让福州访问阿里的IP时,从上海出,这样福州就可以用OpenVPN了 环境: 阿里外网:61.218.73.79 福州内网:10.3.8.0/24 上海外网:210.13.101.130 内网:10.3.0.0/24 1、上海 创建NAT untrust到u..
路由器局域网设置_无线路由器防火墙过滤设置方法【图文教程】
weixin_39604045的博客
10-21 1014
  路由器 的防火墙过滤主要有IP地址过滤、MAC地址过滤、端口过滤、域名过滤和网址过滤等。下面让我们进去了解一下他们都起什么作用。  进入路由器的设置页面点击“过滤设置”进入防火墙过滤设置页面  “过滤控制”是IP 地址过滤、MAC 地址过滤、网址关键字过滤以及域名关键字过滤和应用程序过滤的总开关。如果选择禁用,那就是不使用路由器的防火墙功能。启用过滤控制之后,才能实现过滤功能。如下图:  1、...
防火墙限制IP访问
疏笃
08-23 1523
配置好后重启一下防火墙使生效。启动防火墙限制IP访问
防火墙放行域名
A soul tortured by desire
09-10 4967
公司用的是华为USG6315E防火墙,deny了即时通讯,当然包括了微信,但是很多开发同事需要访问微信公众平台和微信开放平台 思考和咨询华为售后大半天,终于解决了这个问题,在此分享具体方法 1、在地址——域名组 中新建域名组 2、找到“微信开放平台”“微信公众号”所运用的域名,这个是个难点,一旦确实域名网站虽然可以访问,但是将不能正常全面的显示出该有的界面 比如说,我们要将“微信开放平台“用哪些域名 首先,浏览器打开微信开放平台 我们知道了需要open.weixin.qq.com这个域
华为防火墙简单介绍
weixin_53049621的博客
04-08 6655
防火墙防火墙分类第一代防火墙:包过滤防火墙包过滤防火墙的缺点第二代防火墙:代理防火墙第三代防火墙:状态防火墙第四代防火墙:UTM防火墙第五代防火墙:下一代防火墙华为防火墙介绍安全策略防火墙的会话表 防火墙分类 第一代防火墙:包过滤防火墙 属于第一代防火墙技术,在没有专用防火墙设备时,一般由路由器实现该功能。将网络上传送数据包的IP首部以及 TCP/UDP首部,获取发送源的 IP地址和端口号,以及目的地的IP地址和端口号,并将这些信息作为过滤条件,决定是否将该分组转发至目的地网络分组过滤的执行需要设置访问控制
window10设置防火墙允许指定 IP 访问指定端口
CodeRain的博客
07-12 9501
背景 为了接口联调更加方便快捷,前后端可以通过连接同一个局域网对接,作为后端给前端朋友访问自己的电脑后端项目接口(如8080) 当然网上有一些粗暴手段,直接把防火墙关闭,以及将自己的电脑所有接口暴露局域网内,虽说便捷,但是很不安全。 设置某些ip访问的电脑通过指定端口(如8080)访问我的电脑这样才更安全。 步骤 1、依次打开控制面板 -> 系统和安全 -> Windows Defe...
Linux防火墙firewall只允许特定IP访问
热门推荐
挣扎技术
07-26 1万+
服务A使用端口9001,只有允许的应用才可以访问,其它未经允许服务无法正常访问(即默认应用无法正常访问)。
华为打开usb调试需要登录华为账号
最新发布
01-03
华为打开usb调试需要登录华为账号是为了保护用户的个人信息安全。当用户连接手机到电脑上时,如果开启usb调试模式,电脑可以访问手机的一些敏感信息,比如文件、照片、通讯录等。为了防止用户的个人数据被第三方恶意获取,华为要求用户在开启usb调试模式时登录华为账号,以确保手机连接到的是用户本人的设备,避免了一些未授权的访问和操作。 通过登录华为账号,华为也能在一定程度上保护用户的手机安全。当用户的手机丢失或者被盗时,可以通过华为账号实现手机的远程锁定、定位、清除数据等功能,有效保护了用户的个人隐私和手机信息不被泄露。 另外,通过登录华为账号,用户的手机网络数据也能更好地进行加密和传输,提高了数据的安全性。 总的来说,华为要求用户在打开usb调试模式时登录华为账号,是为了保护用户的个人信息安全,防止未授权的访问和操作。这对用户自身和数据都是有利的,所以大家应该配合并且理解这一作法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

玩人工智能的辣条哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值