防火牆限制訪問特定網站案例

近日遇到一個客戶有個需求，限制內部用戶只能訪問互聯網某些特定網站，
        其餘都不行。想來沒什麼難度，域間策略放行了DNS地址和網站地址，
        測試，OK沒問題。
         過了幾日，客戶說，網站打不開了，沒人動過設備，這就奇怪了，去現場
         登陸設備查看，配置確實沒有改動，PING了一下網站地址，是通的，
         把域間策略關閉，設置成所有放行，就通了，能夠正常訪問網站了。
         看來仍是域間策略出問題了，再次測試一下網站IP，發現變了。
         這就比較麻煩了，網站的IP會變。
         IP會變，可是域名不會變，因此經過域名來作控制能夠避免這個問題，
         在寫域名的時候要注意，例如要放行百度，能夠寫成 baidu.com，
         不要加www，否則百度的其餘應用就打不開了。
         這樣就解決了域名IP變化的問題。可是過了幾天，
         能夠要加一個新網站，繼續按以前的操做，發現網頁打不開，
         仍是繼續打開域間策略，就能夠訪問了。
         看來仍是在域間策略的目的地址這一塊。
         這裏就有一個關鍵點了，如今的不少網站都再也不是單純的本身製做
         所有內容了，會從別的地方調用一些東西，因此說你打開一個網頁，
         實際是這個網頁又會去告訴你從哪些IP那裏再下載些什麼東西。
         瞭解上面的狀況，那接下來就是找到還須要放行哪些IP，這裏要注意一點，
         真的是對互聯網用戶提供服務器的網站，網頁內容十分豐富，
         會調用的外部IP可能會不少，因此去找這些IP，很麻煩，
         這裏仍是針對一些內部OA，辦公一類的網站，內容簡單，用戶專注。
         先打開域間策略能夠訪問，而後在防火牆內根據源IP查找會話列表，
         此時的會話列表確定有不少，要根據TCP會話的時間，
         查找和域名IP同時一塊兒發起的鏈接的IP地址，再逐個測試排查。
         雖然麻煩點，最後仍是能測試出來具體哪一個IP。
         上述實際上是笨辦法，若是由專門的應用控制設備，能夠識別出應用，
         網站就會簡單多了。