USG FLEX H 防火牆如何使用 FQDN 物件阻擋特定網站 (例如 YouTube)

Zyxel小編 Corey

為什麼要用 FQDN 來阻擋網站？

雖然網路世界的實際通訊是基於 IP 位址，但現今的大型網站（如 Google, YouTube, Facebook）為了負載平衡與內容分發 (CDN)，一個網域名稱 (FQDN) 背後往往會對應到數十甚至數百個不斷變動的 IP 位址。

若只封鎖單一 IP，使用者很可能重新整理頁面後，就連上另一個 IP 而繞過了封鎖。因此，使用「FQDN 物件」來進行阻擋，讓防火牆自動去解析並封鎖該 FQDN 旗下所有的 IP，才是最有效且一勞永逸的方法。

版本資訊：本篇教學的截圖與操作，基於 USG FLEX 500H V1.32(ABZH.0) 版本。

適用產品 : USG FLEX H 系列防火牆

設定流程

以下我們將以「阻擋內部網路使用者存取 YouTube」為例。

步驟一：建立 FQDN 位址物件

首先，我們需要建立一個代表「YouTube 網站」的物件。由於 YouTube 的影片串流使用不同的網域，我們需要將相關網域都建立起來，並放入同一個群組。

設定目標：

建立一個包含所有 YouTube 相關網域的 FQDN 物件群組。

操作步驟：

1. 前往【物件 > 位址 > 位址】
2. 點擊「+新增」，建立第一個位址物件：
   • 名稱： youtube_domain (或任何易於識別的名稱)
   • 位址類型： FQDN
   • FQDN： *.youtube.com (星號 * 代表萬用字元，涵蓋所有 youtube.com 的子網域)
3. 重複步驟 2，建立第二個物件，FQDN 為 *.googlevideo.com (這是 YouTube 影片串流所使用的主要網域)。
4. 切換至「位址群組」頁籤，點擊「新增」，將剛剛建立的兩個 FQDN 物件加入同一個群組，並命名為 Block_Youtube_Group。透過搜尋快速找到所需的物件。

步驟二：建立防火牆阻擋規則

• 物件建立完成後，請前往【安全性策略 > 策略控制】頁面，點選「+新增」，建立一條防火牆規則，來套用這個物件。
• 建立一條規則，阻擋所有前往「YouTube 物件群組」的流量。

參數設定：

欄位	設定值	說明
名稱	Block_Youtube	自訂一個易懂的名稱。
從 (From)	any	流量從任何區域進來。
至 (To)	any	流量從任何區域離開。
目的地 (Destination)	Block_Youtube_Group	選擇您在步驟一建立的 FQDN 物件群組。
動作 (Action)	deny (拒絕)	將符合條件的流量全部丟棄。
其他欄位	any	來源、服務等保持 any，代表不限制。

步驟三：調整規則優先權並儲存

防火牆規則是由上至下比對的。為了確保這條「阻擋」規則，不會被下方預設的「允許 LAN1 到 WAN」規則所覆蓋，我們必須將它的優先權調到最高。

操作步驟：

1. 在防火牆規則列表中，找到您剛剛建立的 Block_Youtube 規則。
2. 「勾選」規則，點選移動到，輸入「1」按「Enter」，即可將規則移動到第一順位。