USG6650基于域名的安全策略配置后不生效

发布时间:  2016-10-28 浏览次数:  145 下载次数:  0
问题描述

USG6650基于域名的安全策略配置后不生效

关键配置:
domain-set name www.baidu.com     //配置域名组
  add domain www.baidu.com
rule name 百度test
  policy logging
  session logging
  source-zone trust
  destination-zone untrust
  destination-address domain-set www.baidu.com   //调用域名组
  action permit

故障现象:内网电脑不能ping通 www.baidu.com

处理过程

1.内网主机 ping www.baidu.com的情况下:

(1)查看会话信息:无会话信息。

(2)display dns dynamic-host查看域名缓存区中的动态DNS表项信息:无任何信息。

2.防火墙主动去ping www.baidu.com后,这时内网主机去ping www.baidu.com可以通,防火墙有会话,有dns dynamic-host信息:

3.内网主机尝试解析www.baidu.com,能够解析到:

4.  基于域名的安全策略的功能要求现网DNS的报文经过防火墙(这样防火墙才能根据DNS报文解析出域名和IP地址的对应关系)。根据当前情况:主机访问百度时,防火墙没有解析到DNS记录,但是主机又能解析出www.baidu.com域名,怀疑是DNS报文没有经过防火墙。

5. 排查DNS流量走向后,确认是现网DNS流量没有经过防火墙,导致防火墙学习不到域名和IP地址的对应关系。

 

根因
基于域名的安全策略要求现网DNS的报文经过防火墙,这样防火墙才能根据DNS报文解析出域名和IP地址的对应关系。
解决方案
调整网络中的DNS流量走向,使其经过防火墙。

END