使用防火墙禁止域名解析的IP , 比如色情网站“www.sexxxx.com” 

该域名能ping通，解析的 IP 比如 198.154.217.154

1、[对象管理]→[应用对象]→[域名对象]，点击“添加”，填入要禁止的域名、备注，选择所属分类，比如选择为“自定义1”

注意：填入域名，sexxxx.com ,表示匹配 sexxxx.com 结尾的，即 www.sexxxx.com ，aaa.sexxxx.com , bbb.sexxxx.com ..... 都被包含了

如果需要精确匹配的话，则需要填入完整的域名，比如 aaa.hhh.sexxxx.com 

2、[行为控制]→[防火墙]→[防火墙规则]，添加防火墙规则，“应用类型”选择“自定义1”，“源地址对象、时间、目的地址、端口”均为“ANY”，勾选外网线路。策略为“直接阻止”。

禁止后，ping 该域名，能解析到IP，并对这个IP进行拦截，如下图测试所示，已经为ping不通。

---------------------------------------------------------------------------------------------------------------------------------------------------------

注意：防火墙禁止某个域名，是拦截 域名解析后的IP地址  ，如果有多个域名，共用一个IP的时候，可能存在误杀。

比如 aaa.xxxooo.com 和 bbb.xxxooo.com 属于同个服务器，IP地址都比如为 147.147.6.6 ，两域名解析的地址都一样。

此时防火墙禁止 aaa.xxxooo.com 该域名的时候，相当于连同 bbb.xxxooo.com  给禁止了

现实场景中，各种云机房，云加速，阿里云，腾讯云等等。不同的网站，网站里面的图片资源，视频资源可能都 引用了一些开放的云资源，可能IP地址就一样。

随意的用防火墙去禁止一些公共的域名，可能会导致其他网站打不开的风险

只是简单要禁止某个网站的需求，建议用域名跳转的方式来做，请看教材 《如何禁止某个网站》