防火墙限制访问特定网站案例

    近日遇到一个客户有个需求，限制内部用户只能访问互联网某些特定网站，其他都不行。想来没什么难度，域间策略放行了DNS地址和网站地址，测试，OK没问题。
             过了几日，客户说，网站打不开了，没人动过设备，这就奇怪了，去现场登录设备查看，配置确实没有改动，PING了一下网站地址，是通的，把域间策略关闭，设置成全部放行，就通了，可以正常访问网站了。看来还是域间策略出问题了，再次测试一下网站IP，发现变了。这就比较麻烦了，网站的IP会变。
             IP会变，但是域名不会变，所以通过域名来做控制可以避免这个问题，在写域名的时候要注意，例如要放行百度，可以写成 baidu.com，不要加www，不然百度的其他应用就打不开了。
             好，这样就解决了域名IP变化的问题。但是过了几天，可以要加一个新网站，继续按之前的操作，发现网页打不开，还是继续打开域间策略，就可以访问了。看来还是在域间策略的目的地址这一块。
             这里就有一个关键点了，现在的很多网站都不再是单纯的自己制作全部内容了，会从别的地方调用一些东西，所以说你打开一个网页，实际是这个网页又会去告诉你从哪些IP那里再下载些什么东西。
             了解上面的情况，那接下来就是找到还需要放行哪些IP，这里要注意一点，真的是对互联网用户提供服务器的网站，网页内容十分丰富，会调用的外部IP可能会很多，所以去找这些IP，很麻烦，这里还是针对一些内部OA，办公一类的网站，内容简单，用户专一。
             先打开域间策略可以访问，然后在防火墙内根据源IP查找会话列表，此时的会话列表肯定有很多，要根据TCP会话的时间，查找和域名IP同时一起发起的连接的IP地址，再逐个测试排查。虽然麻烦点，最后还是能测试出来具体哪个IP。
             上述其实是笨办法，如果由专门的应用控制设备，可以识别出应用，网站就会简单多了。