深信防火墙：应用控制策略进行域名拦截

深信防火墙：应用控制策略进行域名拦截

需要您先在系统——通用配置——网络参数—里面开启应用控制支持域名

AF限制内网用户访问某些域名可以通过如下方式
1、从标准版本8.0.7开始，应用控制策略支持目的添加域名，通过配置应用控制策略进行域名的拦截。
2、从标准版本8.0.32-8.0.48，黑名单支持添加域名进行封堵。
3、可以通过配置URL过滤进行放通或拦截；

应用控制策略基于域名配置如下：
1、新架构版本从AF标准版本8.0.59开始支持域名应用控制策略：
【对象】-【网络对象】点击【新增域名】，在【策略】-【访问控制】-【应用控制策略】对域名进行引用
2、从AF标准版本8.0.7到8.0.48版本，AF应用控制策略可以直接针对域名做策略。需要先在【系统】-【通用设置】-【网络参数】勾选【应用控制支持域名】，然后在去应用控制策略配置域名策略
3、在AF标准版本8.0.7之前，AF应用控制策略不能直接针对域名做策略。可以解析出对应域名的IP地址，在应用控制策略里针对解析后的IP地址做策略。

ps：勾选应用控制支持域名会重启控制台服务，重新登录控制台不会影响业务

注意事项
1、AF 应用控制策略中是否有勾选主动查询的功能，如果未开启，PC dns解析的数据会经过防火墙，可以不需要设备联网，只要DNS请求包能够正常到AF上就生效
2、截止标准版本AF8.0.48，基于域名的应用控制策略不支持通配符域名；从新架构标准版本AF8.0.59 开始。基于域名的应用控制策略支持通配符域名，如果输入的域名中包含通配符"*"，则该域名的长度范围是5-255，且必须以"*."开头，最多只能包含1个通配符"*",只支持输入2-4个".",并且"."不能连续，该域名不能以"."结尾。
3、AF基于域名的应用控制策略，针对域名对应的IP地址数据包进行控制，与域名是否为一级、二级、三级无关，只要解析出来的ip地址相同均可进行限制
4、1条应用控制策略中，域名最多能加250条

AF 8.0.26版本如何添加域名黑名单
1、【对象】-【内容识别库】-【url分类库】添加需要封堵的url
2、【对象】-【安全策略模板】-【内容安全】新增模板，在url过滤那里选择要封堵的url
3、【策略】-【安全策略】-【安全防护策略】里面新增【用户防护策略】调用【内容安全】的模版