环景：

华为USG6311E
VRP ® Software, Version 5.170 (USG6300E V600R007C00SPC200)
V200R007C00SPC091

PC联想win10专业版

谷歌浏览器版本 88.0.4324.182

问题描述：

华为防火墙配置了安全策略限制一台主机只能访问固定域名和IP地址，开启策略后打开网站速度加载很慢，关闭策略后访问秒开

原因分析：

可能部分域名访问还会跳转请求其他ip站点，未加入可访问策略，防火墙未放行

解决方案：

1.Wireshark抓包，防火墙web页面五元组抓包，防火墙会话采集分析看看有没异常
防火墙采集会话方法：
[USG] dia(进入诊断视图)
在诊断视图下输入：
display firewall session table detail source inside 192.168.1.1 （发起访问的设备的ip 地址，如果是公网地址使用global参数代替inside参数）destination inside 1.1.1.1（目的ip地址，如果是公网地址使用global参数代替inside参数），在发起访问的同时打印该信息*

2.谷歌浏览器按F12打开调试network

3.然后打开只能访问固定域名，查看它跳转请求其他ip站点（这个只是看到一些ip看第四步）

4.将站点要访问其他ip全加入防火墙可访问策略

最好找一台新安装系统别的什么也没安装的电脑测试，你要做策略的目的网站和IP地址，一个一个网站/IP测试，防火墙开启流统看看它们要访问哪些目的IP，收集这些IP

[USG]ACL 3333

[USG-acl-adv-3333]rule 5 permit ip source 测试端ip地址 0 destination 服务器ip 0

[USG-acl-adv-3333]rule 10 permit ip source 服务器ip 0 destination 测试端ip地址 0

[USG]diagnose

[USG-diagnose] firewall statistic acl 3333 enable
采集信息时请不断访问服务器，为了准确性每次都要清空浏览器历史记录，否则可能采集不到有效信息

[USG-diagnose] display firewall statistic acl

Protocol(tcp) SourceIp测试机(192.168.1.152) DestinationIp(1xx.2x.2x.52)
SourcePort(61163) DestinationPort(443) VpnIndex(public)
RcvnFrag RcvFrag Forward DisnFrag DisFrag
Obverse(pkts) : 3 0 0 3 0
Reverse(pkts) : 0 0 0 0 0

关闭流量统计功能
[USG-diagnose] undo firewall statistic

[USG-diagnose] reset firewall statistic acl all清除先前的统计信息。

将这个网站需要访问的目的地址1xx.2x.2x.52加入防火墙允许访问地址列表，有多少个就全要加入

5.检查复盘一下没问题，就OK了？