防火墙限制访问特定网站案例

近日遇到一个客户有个需求，限制内部用户只能访问互联网某些特定网站，
        其余都不行。想来没什么难度，域间策略放行了DNS地址和网站地址，
        测试，OK没问题。
         过了几日，客户说，网站打不开了，没人动过设备，这就奇怪了，去现场
         登陆设备查看，配置确实没有改动，PING了一下网站地址，是通的，
         把域间策略关闭，设置成所有放行，就通了，能够正常访问网站了。
         看来仍是域间策略出问题了，再次测试一下网站IP，发现变了。
         这就比较麻烦了，网站的IP会变。
         IP会变，可是域名不会变，因此经过域名来作控制能够避免这个问题，
         在写域名的时候要注意，例如要放行百度，能够写成 baidu.com，
         不要加www，否则百度的其余应用就打不开了。
         这样就解决了域名IP变化的问题。可是过了几天，
         能够要加一个新网站，继续按以前的操做，发现网页打不开，
         仍是继续打开域间策略，就能够访问了。
         看来仍是在域间策略的目的地址这一块。
         这里就有一个关键点了，如今的不少网站都再也不是单纯的本身制做
         所有内容了，会从别的地方调用一些东西，因此说你打开一个网页，
         实际是这个网页又会去告诉你从哪些IP那里再下载些什么东西。
         了解上面的状况，那接下来就是找到还须要放行哪些IP，这里要注意一点，
         真的是对互联网用户提供服务器的网站，网页内容十分丰富，
         会调用的外部IP可能会不少，因此去找这些IP，很麻烦，
         这里仍是针对一些内部OA，办公一类的网站，内容简单，用户专注。
         先打开域间策略能够访问，而后在防火墙内根据源IP查找会话列表，
         此时的会话列表确定有不少，要根据TCP会话的时间，
         查找和域名IP同时一块儿发起的链接的IP地址，再逐个测试排查。
         虽然麻烦点，最后仍是能测试出来具体哪一个IP。
         上述实际上是笨办法，若是由专门的应用控制设备，能够识别出应用，
         网站就会简单多了。